Opinion of Advocate General Saugmandsgaard Øe in Facebook Ireland and Schrems, C-311/18

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2019:1145
• Date: 19 December 2019
• Celex Number: 62018CC0311
• Court: Court of Justice (European Union)

Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. HENRIK SAUGMANDSGAARD ØE

présentées le 19 décembre 2019 (1)

Affaire C‑311/18

Data Protection Commissioner

contre

Facebook Ireland Limited,

Maximillian Schrems,

en présence de

The United States of America,

Electronic Privacy Information Centre,

BSA Business Software Alliance, Inc.,

Digitaleurope

[demande de décision préjudicielle formée par la High Court (Haute Cour, Irlande)]

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 2, paragraphe 2 – Champ d’application – Transfert de données à caractère personnel à des fins commerciales vers les États‑Unis d’Amérique – Traitement par les autorités publiques des États‑Unis d’Amérique, à des fins de sécurité nationale, des données transférées – Article 45 – Appréciation du caractère adéquat du niveau de protection assuré dans un pays tiers – Article 46 – Garanties appropriées offertes par le responsable du traitement – Clauses types de protection – Article 58, paragraphe 2 – Pouvoirs des autorités de contrôle – Décision 2010/87/UE – Validité – Décision d’exécution (UE) 2016/1250 – “Bouclier de protection des données UE‑États‑Unis” – Validité – Articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne »

Table des matières

I. Introduction

II. Le cadre juridique

A. La directive 95/46/CE

B. Le RGPD

C. La décision 2010/87

D. La décision « bouclier de protection des données »

III. Le litige au principal, les questions préjudicielles et la procédure devant la Cour

IV. Analyse

A. Considérations liminaires

B. Sur la recevabilité du renvoi préjudiciel

1. Sur l’applicabilité ratione temporis de la directive 95/46

2. Sur le caractère provisoire des doutes exprimés par le DPC

3. Sur les incertitudes entourant la définition du cadre factuel

C. Sur l’applicabilité du droit de l’Union aux transferts à des fins commerciales de données à caractère personnel vers un État tiers susceptible de les traiter à des fins de sécurité nationale (première question)

D. Sur le niveau de protection requis dans le cadre d’un transfert fondé sur des clauses contractuelles types (première partie de la sixième question)

E. Sur la validité de la décision 2010/87 au regard des articles 7, 8 et 47 de la Charte (septième, huitième et onzième questions)

1. Sur les obligations incombant aux responsables du traitement

2. Sur les obligations incombant aux autorités de contrôle

F. Sur l’absence de nécessité de répondre aux autres questions préjudicielles et d’examiner la validité de la décision « bouclier de protection des données »

1. Sur l’absence de nécessité des réponses de la Cour au regard de l’objet du litige au principal

2. Sur les raisons plaidant en défaveur d’un examen par la Cour au regard de l’objet de la procédure pendante devant le DPC

G. Observations subsidiaires relatives aux effets et à la validité de la décision « bouclier de protection des données »

1. Sur l’incidence de la décision « bouclier de protection des données » dans le cadre du traitement par une autorité de contrôle d’une plainte relative à la légalité d’un transfert fondé sur des garanties contractuelles

2. Sur la validité de la décision « bouclier de protection des données »

a) Précisions concernant la teneur de l’examen de validité d’une décision d’adéquation

1) Sur les termes de la comparaison permettant d’évaluer l’« équivalence substantielle » du niveau de protection

2) Sur la nécessité d’assurer un niveau adéquat de protection au cours de la phase de transit des données

3) Sur la prise en considération des constatations factuelles opérées par la Commission et par la juridiction de renvoi concernant le droit des ÉtatsUnis

4) Sur la portée du standard de l’« équivalence substantielle »

b) Sur la validité de la décision « bouclier de protection des données » au regard des droits au respect de la vie privée et à la protection des données à caractère personnel

1) Sur l’existence d’ingérences

2) Sur le caractère « prévu par la loi » des ingérences

3) Sur l’absence d’atteinte au contenu essentiel des droits fondamentaux

4) Sur la poursuite d’un objectif légitime

5) Sur le caractère nécessaire et proportionné des ingérences

c) Sur la validité de la décision « bouclier de protection des données » au regard du droit à un recours effectif

1) Sur l’effectivité des recours judiciaires prévus par le droit des ÉtatsUnis

2) Sur l’incidence du mécanisme de médiation sur le niveau de protection du droit au recours effectif

V. Conclusion

I. Introduction

1. À défaut de garanties communes en matière de protection des données à caractère personnel au niveau mondial, les flux transfrontières de telles données s’accompagnent d’un risque de rupture dans la continuité du niveau de protection assuré au sein de l’Union européenne. Soucieux de faciliter ces flux tout en limitant ce risque, le législateur de l’Union a institué trois mécanismes en vertu desquels des données à caractère personnel peuvent être transférées depuis l’Union vers un État tiers.

2. En premier lieu, un tel transfert peut être opéré sur le fondement d’une décision par laquelle la Commission européenne constate que l’État tiers en cause assure un « niveau de protection adéquat » des données qui y sont transférées (2). En deuxième lieu, en l’absence d’une telle décision, le transfert est autorisé lorsqu’il est entouré de « garanties appropriées » (3). Ces garanties peuvent prendre la forme d’un contrat entre l’exportateur et l’importateur des données intégrant des clauses types de protection adoptées par la Commission. Le RGPD prévoit, en troisième lieu, certaines dérogations, fondées notamment sur le consentement de la personne concernée, permettant le transfert vers un pays tiers même à défaut d’une décision d’adéquation ou de garanties appropriées (4).

3. La demande de décision préjudicielle formée par la High Court (Haute Cour, Irlande) concerne le deuxième de ces mécanismes. Elle porte, plus précisément, sur la validité de la décision 2010/87/UE (5), par laquelle la Commission a établi des clauses contractuelles types pour certaines catégories de transferts, au regard des articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne (ci‑après la « Charte »).

4. Cette demande a été présentée dans le cadre d’un litige opposant le Data Protection Commissioner (commissaire à la protection des données, Irlande, ci‑après le « DPC ») à Facebook Ireland Ltd et à M. Maximillian Schrems. Ce dernier a introduit auprès du DPC une plainte relative au transfert de données à caractère personnel le concernant par Facebook Ireland à Facebook Inc., sa société mère établie aux États‑Unis d’Amérique (ci‑après les « États‑Unis »). Le DPC considère que le traitement de cette plainte dépend du point de savoir si la décision 2010/87 est valide. Dans ce contexte, il a saisi la juridiction de renvoi en lui demandant d’interroger la Cour à ce sujet.

5. J’indique d’emblée que l’examen des questions préjudicielles n’a, à mes yeux, révélé aucun élément de nature à affecter la validité de la décision 2010/87.

6. Par ailleurs, la juridiction de renvoi a mis en lumière certains doutes concernant, en substance, le caractère adéquat du niveau de protection assuré par les États‑Unis au regard des ingérences que les activités des autorités de renseignement américaines apportent dans l’exercice des droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers. Ces doutes remettent indirectement en cause les appréciations effectuées par la Commission à ce sujet dans la décision d’exécution (UE) 2016/1250 (6). Bien que la résolution du litige au principal ne nécessite pas que la Cour tranche cette question et que je lui suggère dès lors de s’en abstenir, j’exposerai à titre subsidiaire les raisons qui m’amènent à m’interroger sur la validité de cette décision.

7. L’ensemble de mon analyse sera guidé par la recherche d’un équilibre entre, d’une part, la nécessité de faire preuve d’un « degré de pragmatisme raisonnable afin de permettre une interaction avec le reste du monde » (7), et, d’autre part, celle d’affirmer les valeurs fondamentales reconnues dans les ordres juridiques de l’Union et de ses États membres, en particulier par la Charte.

II. Le cadre juridique

A. La directive 95/46/CE

8. L’article 3, paragraphe 2, de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (8) disposait :

« La présente directive ne s’applique pas au traitement de données à caractère personnel :

– mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien‑être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,

[...] »

9. L’article 13, paragraphe 1, de cette directive était ainsi libellé :

« Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l’article 6, paragraphe 1, à l’article 10, à l’article 11, paragraphe 1 et aux articles 12 et 21, lorsqu’une telle limitation constitue une mesure nécessaire pour sauvegarder :

a) la sûreté de l’État ;

b) la défense ;

c) la sécurité publique ;

d) la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées ;

e) un intérêt économique ou financier important d’un État membre ou de l’[Union], y compris dans les domaines monétaire, budgétaire et fiscal ;

f) une mission de contrôle, d’inspection ou...