Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems.

JurisdictionEuropean Union
Date16 July 2020
CourtCourt of Justice (European Union)

ARRÊT DE LA COUR (grande chambre)

16 juillet 2020 (*)

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 47 – Règlement (UE) 2016/679 – Article 2, paragraphe 2 – Champ d’application – Transferts de données à caractère personnel vers des pays tiers à des fins commerciales – Article 45 – Décision d’adéquation de la Commission – Article 46 – Transferts moyennant des garanties appropriées – Article 58 – Pouvoirs des autorités de contrôle – Traitement des données transférées par les autorités publiques d’un pays tiers à des fins de sécurité nationale – Appréciation du caractère adéquat du niveau de protection assuré dans le pays tiers – Décision 2010/87/UE – Clauses types de protection pour le transfert de données à caractère personnel vers des pays tiers – Garanties appropriées offertes par le responsable du traitement – Validité – Décision d’exécution (UE) 2016/1250 – Adéquation de la protection assurée par le bouclier de protection des données Union européenne-États-Unis – Validité – Plainte d’une personne physique dont les données ont été transférées depuis l’Union européenne vers les États-Unis »

Dans l’affaire C‑311/18,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par la High Court (Haute Cour, Irlande), par décision du 4 mai 2018, parvenue à la Cour le 9 mai 2018, dans la procédure

Data Protection Commissioner

contre

Facebook Ireland Ltd,

Maximillian Schrems,

en présence de :

The ,

Electronic Privacy Information Centre,

BSA Business Software Alliance Inc.,

Digitaleurope,

LA COUR (grande chambre),

composée de M. K. Lenaerts, président, Mme R. Silva de Lapuerta, vice-présidente, M. A. Arabadjiev, Mme A. Prechal, MM. M. Vilaras, M. Safjan, S. Rodin, P. G. Xuereb, Mme L. S. Rossi et M. I. Jarukaitis, présidents de chambre, MM. M. Ilešič, T. von Danwitz (rapporteur) et D. Šváby, juges,

avocat général : M. H. Saugmandsgaard Øe,

greffier : Mme C. Strömholm, administratrice,

vu la procédure écrite et à la suite de l’audience du 9 juillet 2019,

considérant les observations présentées :

– pour le Data Protection Commissioner, par M. D. Young, solicitor, MM. B. Murray et M. Collins, SC, ainsi que par Mme C. Donnelly, BL,

– pour Facebook Ireland Ltd, par M. P. Gallagher et Mme N. Hyland, SC, Mme A. Mulligan et M. F. Kieran, BL, ainsi que par MM. P. Nolan, C. Monaghan, C. O’Neill et R. Woulfe, solicitors,

– pour M. Schrems, par Me H. Hofmann, Rechtsanwalt, MM. E. McCullough, J. Doherty et S. O’Sullivan, SC, ainsi que par M. G. Rudden, solicitor,

– pour The United States of America, par Mme E. Barrington, SC, Mme S. Kingston, BL, ainsi que par MM. S. Barton et B. Walsh, solicitors,

– pour l’Electronic Privacy Information Centre, par Mme S. Lucey, solicitor, Mme G. Gilmore et M. A. Butler, BL, ainsi que par M. C. O’Dwyer, SC,

– pour BSA Business Software Alliance Inc., par Mes B. Van Vooren et K. Van Quathem, advocaten,

– pour Digitaleurope, par Mme N. Cahill, barrister, M. J. Cahir, solicitor, et M. M. Cush, SC,

– pour l’Irlande, par M. A. Joyce et Mme M. Browne, en qualité d’agents, assistés de M. D. Fennelly, BL,

– pour le gouvernement belge, par MM. J.-C. Halleux et P. Cottin, en qualité d’agents,

– pour le gouvernement tchèque, par MM. M. Smolek, J. Vláčil et O. Serdula ainsi que par Mme A. Kasalická, en qualité d’agents,

– pour le gouvernement allemand, par MM. J. Möller, D. Klebs et T. Henze, en qualité d’agents,

– pour le gouvernement français, par Mme A.-L. Desjonquères, en qualité d’agent,

– pour le gouvernement néerlandais, par Mmes C. S. Schillemans, M. K. Bulterman et M. Noort, en qualité d’agents,

– pour le gouvernement autrichien, par Mme J. Schmoll et M. G. Kunnert, en qualité d’agents,

– pour le gouvernement polonais, par M. B. Majczyna, en qualité d’agent,

– pour le gouvernement portugais, par M. L. Inez Fernandes ainsi que par Mmes A. Pimenta et C. Vieira Guerra, en qualité d’agents,

– pour le gouvernement du Royaume-Uni, par M. S. Brandon, en qualité d’agent, assisté de M. J. Holmes, QC, et de M. C. Knight, barrister,

– pour le Parlement européen, par Mme M. J. Martínez Iglesias et M. A. Caiola, en qualité d’agents,

– pour la Commission européenne, par MM. D. Nardi, H. Krämer et H. Kranenborg, en qualité d’agents,

– pour le comité européen de la protection des données (EDPB), par Mme A. Jelinek et M. K. Behn, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 19 décembre 2019,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte, en substance,

– sur l’interprétation de l’article 3, paragraphe 2, premier tiret, des articles 25 et 26 ainsi que de l’article 28, paragraphe 3, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), lus à la lumière de l’article 4, paragraphe 2, TUE et des articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »),

– sur l’interprétation et la validité de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46 (JO 2010, L 39, p. 5), telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016 (JO 2016, L 344, p. 100) (ci-après la « décision CPT »), ainsi que

– sur l’interprétation et la validité de la décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (JO 2016, L 207, p. 1, ci-après la « décision BPD »).

2 Cette demande a été présentée dans le cadre d’un litige opposant le Data Protection Commissioner (commissaire à la protection des données, Irlande) (ci-après le « commissaire ») à Facebook Ireland Ltd et à M. Maximillian Schrems au sujet d’une plainte introduite par celui-ci concernant le transfert de ses données à caractère personnel par Facebook Ireland à Facebook Inc. aux États-Unis.

Le cadre juridique

La directive 95/46

3 L’article 3 de la directive 95/46, intitulé « Champ d’application », énonçait, à son paragraphe 2 :

« La présente directive ne s’applique pas au traitement de données à caractère personnel :

– mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,

[...] »

4 L’article 25 de cette directive disposait :

« 1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel [...] ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.

2. Le caractère adéquat du niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données ; [...]

[...]

6. La Commission peut constater, conformément à la procédure prévue à l’article 31 paragraphe 2, qu’un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.

Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission. »

5 L’article 26, paragraphes 2 et 4, de ladite directive prévoyait :

« 2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

[...]

4. Lorsque la Commission décide, conformément à la procédure prévue à l’article 31 paragraphe 2, que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission. »

6 Aux termes de l’article 28, paragraphe 3, de la même directive :

« Chaque autorité de contrôle dispose notamment :

– de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle,

– de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en œuvre des traitements, conformément à l’article 20, et d’assurer une publication appropriée de ces avis ou celui d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement, ou celui d’adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir...

To continue reading

Request your trial
58 practice notes
  • État luxembourgeois contra B.
    • European Union
    • Court of Justice (European Union)
    • 6 October 2020
    ...privada y a la protección de los datos de carácter personal, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 172 y jurisprudencia 50 De esta manera, en el supuesto de que concurran en un caso concreto varios derechos garantizados por la Car......
  • „Viva Telecom Bulgaria“ EOOD v Direktor na Direktsia „Obzhalvane i danachno-osiguritelna praktika“ - Sofia.
    • European Union
    • Court of Justice (European Union)
    • 24 February 2022
    ...para responder adecuadamente a las cuestiones que se le hayan planteado (sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 73 y jurisprudencia 42 En el presente asunto, procede señalar de entrada, por lo que respecta a la alegación basada en la ......
  • LH v PROFI CREDIT Slovakia s.r.o.
    • European Union
    • Court of Justice (European Union)
    • 22 April 2021
    ...para responder adecuadamente a tales cuestiones (véanse, en este sentido, las sentencias de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 73, y de 8 de octubre de 2020, Union des industries de la protection des plantes, C‑514/19, EU:C:2020:803, apartados......
  • F.C.I. contra Instituto Nacional de la Seguridad Social (INSS).
    • European Union
    • Court of Justice (European Union)
    • 14 October 2021
    ...règle de droit de l’Union, la Cour est, en principe, tenue de statuer (arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 32 Il s’ensuit que les questions portant sur le droit de l’Union bénéficient d’une présomption de pertinence. Le refus de la Cour de s......
  • Request a trial to view additional results
33 cases
15 firm's commentaries
5 books & journal articles
1 provisions

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT