Maximillian Schrems v Data Protection Commissioner.

• Jurisdiction: European Union
• Court: Court of Justice (European Union)
• Date: 06 October 2015

ARRÊT DE LA COUR (grande chambre)

6 octobre 2015 ( * )

«Renvoi préjudiciel — Données à caractère personnel — Protection des personnes physiques à l’égard du traitement de ces données — Charte des droits fondamentaux de l’Union européenne — Articles 7, 8 et 47 — Directive 95/46/CE — Articles 25 et 28 — Transfert de données à caractère personnel vers des pays tiers — Décision 2000/520/CE — Transfert de données à caractère personnel vers les États‑Unis — Niveau de protection inadéquat — Validité — Plainte d’une personne physique dont les données ont été transférées depuis l’Union européenne vers les États‑Unis — Pouvoirs des autorités nationales de contrôle»

Dans l’affaire C‑362/14,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par la High Court (Haute Cour de justice, Irlande), par décision du 17 juillet 2014, parvenue à la Cour le 25 juillet 2014, dans la procédure

Maximillian Schrems

contre

Data Protection Commissioner,

en présence de:

Digital Rights Ireland Ltd,

LA COUR (grande chambre),

composée de M. V. Skouris, président, M. K. Lenaerts, vice‑président, M. A. Tizzano, Mme R. Silva de Lapuerta, MM. T. von Danwitz (rapporteur) et S. Rodin, Mme K. Jürimäe, présidents de chambre, MM. A. Rosas, E. Juhász, A. Borg Barthet, J. Malenovský, D. Šváby, Mme M. Berger, MM. F. Biltgen et C. Lycourgos, juges,

avocat général: M. Y. Bot,

greffier: Mme L. Hewlett, administrateur principal,

vu la procédure écrite et à la suite de l’audience du 24 mars 2015,

considérant les observations présentées:

— pour M. Schrems, par M. N. Travers, SC, M. P. O’Shea, BL, et M. G. Rudden, solicitor, ainsi que par Me H. Hofmann, Rechtsanwalt,

— pour le Data Protection Commissioner, par M. P. McDermott, BL, Mme S. More O’Ferrall et M. D. Young, solicitors,

— pour Digital Rights Ireland Ltd, par M. F. Crehan, BL, ainsi que par MM. S. McGarr et E. McGarr, solicitors,

— pour l’Irlande, par MM. A. Joyce et B. Counihan ainsi que par Mme E. Creedon, en qualité d’agents, assistés de M. D. Fennelly, BL,

— pour le gouvernement belge, par M. J.‑C. Halleux et Mme C. Pochet, en qualité d’agents,

— pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,

— pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de M. P. Gentili, avvocato dello Stato,

— pour le gouvernement autrichien, par MM. G. Hesse et G. Kunnert, en qualité d’agents,

— pour le gouvernement polonais, par Mmes M. Kamejsza et M. Pawlicka ainsi que par M. B. Majczyna, en qualité d’agents,

— pour le gouvernement slovène, par Mmes A. Grum et V. Klemenc, en qualité d’agents,

— pour le gouvernement du Royaume‑Uni, par M. L. Christie et Mme J. Beeko, en qualité d’agents, assistés de M. J. Holmes, barrister,

— pour le Parlement européen, par MM. D. Moore et A. Caiola ainsi que par Mme M. Pencheva, en qualité d’agents,

— pour la Commission européenne, par MM. B. Schima, B. Martenczuk et B. Smulders ainsi que par Mme J. Vondung, en qualité d’agents,

— pour le Contrôleur européen de la protection des données (CEPD), par MM. C. Docksey, A. Buchta et V. Pérez Asinari, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 23 septembre 2015,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation, au regard des articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne (ci‑après la «Charte»), des articles 25, paragraphe 6, et 28 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31), telle que modifiée par le règlement (CE) no 1882/2003 du Parlement européen et du Conseil, du 29 septembre 2003 (JO L 284, p. 1, ci‑après la «directive 95/46»), ainsi que, en substance, sur la validité de la décision 2000/520/CE de la Commission, du 26 juillet 2000, conformément à la directive 95/46, relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États‑Unis d’Amérique (JO L 215, p. 7).

2 Cette demande a été présentée dans le cadre d’un litige opposant M. Schrems au Data Protection Commissioner (commissaire à la protection des données, ci‑après le «commissaire») au sujet du refus de ce dernier d’enquêter sur une plainte introduite par M. Schrems en raison du fait que Facebook Ireland Ltd (ci‑après «Facebook Ireland») transfère aux États‑Unis les données à caractère personnel de ses utilisateurs et les conserve sur des serveurs situés dans ce pays.

Le cadre juridique

La directive 95/46

3 Les considérants 2, 10, 56, 57, 60, 62 et 63 de la directive 95/46 sont libellés comme suit: «(2) [...] les systèmes de traitement de données sont au service de l’homme; [...] ils doivent, quelle que soit la nationalité ou la résidence des personnes physiques, respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée, et contribuer au [...] bien‑être des individus; [...] (10) [...] l’objet des législations nationales relatives au traitement des données à caractère personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales[, signée à Rome le 4 novembre 1950,] et dans les principes généraux du droit communautaire; […] pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté; [...] (56) [...] des flux transfrontaliers de données à caractère personnel sont nécessaires au développement du commerce international; [...] la protection des personnes garantie dans la Communauté par la présente directive ne s’oppose pas aux transferts de données à caractère personnel vers des pays tiers assurant un niveau de protection adéquat; [...] le caractère adéquat du niveau de protection offert par un pays tiers doit s’apprécier au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts; (57) [...] en revanche, [...] lorsqu’un pays tiers n’offre pas un niveau de protection adéquat, le transfert de données à caractère personnel vers ce pays doit être interdit; [...] (60) [...] en tout état de cause, les transferts vers les pays tiers ne peuvent être effectués que dans le plein respect des dispositions prises par les États membres en application de la présente directive, et notamment de son article 8; [...] (62) [...] l’institution, dans les États membres, d’autorités de contrôle exerçant en toute indépendance leurs fonctions est un élément essentiel de la protection des personnes à l’égard du traitement des données à caractère personnel; (63) [...] ces autorités doivent être dotées des moyens nécessaires à l’exécution de leurs tâches, qu’il s’agisse des pouvoirs d’investigation et d’intervention, en particulier lorsque les autorités sont saisies de réclamations, ou du pouvoir d’ester en justice; [...]»

4 Les articles 1er, 2, 25, 26, 28 et 31 de la directive 95/46 disposent: «Article premier Objet de la directive 1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel. [...] Article 2 Définitions Aux fins de la présente directive, on entend par: a) ‘données à caractère personnel’: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale; b) ‘traitement de données à caractère personnel’ (traitement): toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction; [...] d) ‘responsable du traitement’: la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire; [...] Article 25 Principes 1. Les États membres prévoient que le transfert vers un pays...