Maximillian Schrems v Data Protection Commissioner.

JurisdictionEuropean Union
Celex Number62014CJ0362
ECLIECLI:EU:C:2015:650
Docket NumberC-362/14
CourtCourt of Justice (European Union)
Procedure TypeReference for a preliminary ruling
Date06 October 2015
62014CJ0362

ARRÊT DE LA COUR (grande chambre)

6 octobre 2015 ( * )

«Renvoi préjudiciel — Données à caractère personnel — Protection des personnes physiques à l’égard du traitement de ces données — Charte des droits fondamentaux de l’Union européenne — Articles 7, 8 et 47 — Directive 95/46/CE — Articles 25 et 28 — Transfert de données à caractère personnel vers des pays tiers — Décision 2000/520/CE — Transfert de données à caractère personnel vers les États‑Unis — Niveau de protection inadéquat — Validité — Plainte d’une personne physique dont les données ont été transférées depuis l’Union européenne vers les États‑Unis — Pouvoirs des autorités nationales de contrôle»

Dans l’affaire C‑362/14,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par la High Court (Haute Cour de justice, Irlande), par décision du 17 juillet 2014, parvenue à la Cour le 25 juillet 2014, dans la procédure

Maximillian Schrems

contre

Data Protection Commissioner,

en présence de:

Digital Rights Ireland Ltd,

LA COUR (grande chambre),

composée de M. V. Skouris, président, M. K. Lenaerts, vice‑président, M. A. Tizzano, Mme R. Silva de Lapuerta, MM. T. von Danwitz (rapporteur) et S. Rodin, Mme K. Jürimäe, présidents de chambre, MM. A. Rosas, E. Juhász, A. Borg Barthet, J. Malenovský, D. Šváby, Mme M. Berger, MM. F. Biltgen et C. Lycourgos, juges,

avocat général: M. Y. Bot,

greffier: Mme L. Hewlett, administrateur principal,

vu la procédure écrite et à la suite de l’audience du 24 mars 2015,

considérant les observations présentées:

pour M. Schrems, par M. N. Travers, SC, M. P. O’Shea, BL, et M. G. Rudden, solicitor, ainsi que par Me H. Hofmann, Rechtsanwalt,

pour le Data Protection Commissioner, par M. P. McDermott, BL, Mme S. More O’Ferrall et M. D. Young, solicitors,

pour Digital Rights Ireland Ltd, par M. F. Crehan, BL, ainsi que par MM. S. McGarr et E. McGarr, solicitors,

pour l’Irlande, par MM. A. Joyce et B. Counihan ainsi que par Mme E. Creedon, en qualité d’agents, assistés de M. D. Fennelly, BL,

pour le gouvernement belge, par M. J.‑C. Halleux et Mme C. Pochet, en qualité d’agents,

pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,

pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de M. P. Gentili, avvocato dello Stato,

pour le gouvernement autrichien, par MM. G. Hesse et G. Kunnert, en qualité d’agents,

pour le gouvernement polonais, par Mmes M. Kamejsza et M. Pawlicka ainsi que par M. B. Majczyna, en qualité d’agents,

pour le gouvernement slovène, par Mmes A. Grum et V. Klemenc, en qualité d’agents,

pour le gouvernement du Royaume‑Uni, par M. L. Christie et Mme J. Beeko, en qualité d’agents, assistés de M. J. Holmes, barrister,

pour le Parlement européen, par MM. D. Moore et A. Caiola ainsi que par Mme M. Pencheva, en qualité d’agents,

pour la Commission européenne, par MM. B. Schima, B. Martenczuk et B. Smulders ainsi que par Mme J. Vondung, en qualité d’agents,

pour le Contrôleur européen de la protection des données (CEPD), par MM. C. Docksey, A. Buchta et V. Pérez Asinari, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 23 septembre 2015,

rend le présent

Arrêt

1

La demande de décision préjudicielle porte sur l’interprétation, au regard des articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne (ci‑après la «Charte»), des articles 25, paragraphe 6, et 28 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31), telle que modifiée par le règlement (CE) no 1882/2003 du Parlement européen et du Conseil, du 29 septembre 2003 (JO L 284, p. 1, ci‑après la «directive 95/46»), ainsi que, en substance, sur la validité de la décision 2000/520/CE de la Commission, du 26 juillet 2000, conformément à la directive 95/46, relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États‑Unis d’Amérique (JO L 215, p. 7).

2

Cette demande a été présentée dans le cadre d’un litige opposant M. Schrems au Data Protection Commissioner (commissaire à la protection des données, ci‑après le «commissaire») au sujet du refus de ce dernier d’enquêter sur une plainte introduite par M. Schrems en raison du fait que Facebook Ireland Ltd (ci‑après «Facebook Ireland») transfère aux États‑Unis les données à caractère personnel de ses utilisateurs et les conserve sur des serveurs situés dans ce pays.

Le cadre juridique

La directive 95/46

3

Les considérants 2, 10, 56, 57, 60, 62 et 63 de la directive 95/46 sont libellés comme suit:

«(2)

[...] les systèmes de traitement de données sont au service de l’homme; [...] ils doivent, quelle que soit la nationalité ou la résidence des personnes physiques, respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée, et contribuer au [...] bien‑être des individus;

[...]

(10)

[...] l’objet des législations nationales relatives au traitement des données à caractère personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales[, signée à Rome le 4 novembre 1950,] et dans les principes généraux du droit communautaire; […] pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté;

[...]

(56)

[...] des flux transfrontaliers de données à caractère personnel sont nécessaires au développement du commerce international; [...] la protection des personnes garantie dans la Communauté par la présente directive ne s’oppose pas aux transferts de données à caractère personnel vers des pays tiers assurant un niveau de protection adéquat; [...] le caractère adéquat du niveau de protection offert par un pays tiers doit s’apprécier au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts;

(57)

[...] en revanche, [...] lorsqu’un pays tiers n’offre pas un niveau de protection adéquat, le transfert de données à caractère personnel vers ce pays doit être interdit;

[...]

(60)

[...] en tout état de cause, les transferts vers les pays tiers ne peuvent être effectués que dans le plein respect des dispositions prises par les États membres en application de la présente directive, et notamment de son article 8;

[...]

(62)

[...] l’institution, dans les États membres, d’autorités de contrôle exerçant en toute indépendance leurs fonctions est un élément essentiel de la protection des personnes à l’égard du traitement des données à caractère personnel;

(63)

[...] ces autorités doivent être dotées des moyens nécessaires à l’exécution de leurs tâches, qu’il s’agisse des pouvoirs d’investigation et d’intervention, en particulier lorsque les autorités sont saisies de réclamations, ou du pouvoir d’ester en justice; [...]»

4

Les articles 1er, 2, 25, 26, 28 et 31 de la directive 95/46 disposent:

«Article premier

Objet de la directive

1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel.

[...]

Article 2

Définitions

Aux fins de la présente directive, on entend par:

a)

‘données à caractère personnel’: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;

b)

‘traitement de données à caractère personnel’ (traitement): toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction;

[...]

d)

‘responsable du traitement’: la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire;

[...]

Article 25

Principes

1. Les États membres prévoient que le transfert vers un pays...

To continue reading

Request your trial
31 cases
  • Opinion of Advocate General Medina delivered on 6 June 2024.
    • European Union
    • Court of Justice (European Union)
    • 6 June 2024
    ...EU:C:2024:46, paragraph 61). 27 Ibid. 28 See the Transparency Guidelines, point 66. 29 Ibid. 30 Judgment of 6 October 2015, Schrems (C‑362/14, EU:C:2015:650, paragraph 31 Adopted pursuant to Article 25(6) of Directive 95/46. 32 See, to that effect, judgment of 6 October 2015, Schrems (C‑362......
  • Opinion of Advocate General Tanchev delivered on 14 November 2019.
    • European Union
    • Court of Justice (European Union)
    • 14 November 2019
    ...pas valides. Voir arrêts du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238), et du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650). Voir également Lenaerts, K., et Gutiérrez‑Fons, J.A., « The Place of the Charter in the European Legal Space », in Peers, S.,......
  • BASF Grenzach GmbH v European Chemicals Agency.
    • European Union
    • Court of Justice (European Union)
    • 28 May 2018
    ...invalid following a reference for a preliminary ruling or a plea of illegality (see, to that effect, judgment of 6 October 2015, Schrems, C‑362/14, EU:C:2015:650, paragraph 52 and the case-law cited), the President of the General Court observed, in paragraph 47 of that order, that, in so fa......
  • Opinion of Advocate General Bobek delivered on 3 December 2020.
    • European Union
    • Court of Justice (European Union)
    • 3 December 2020
    ...vom 26. Juni 2012, Polen/Kommission (C‑336/09 P, EU:C:2012:386, Rn. 36 und die angeführte Rechtsprechung), vom 6. Oktober 2015, Schrems (C‑362/14, EU:C:2015:650, Rn. 60), und vom 29. Mai 2018, Liga van Moskeeën en Islamitische Organisaties Provincie Antwerpen u. a. (C‑426/16, EU:C:2018:335,......
  • Request a trial to view additional results
47 firm's commentaries
16 books & journal articles
4 provisions

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT