Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems.

• Jurisdiction: European Union
• Court: Court of Justice (European Union)
• Date: 16 July 2020

ARRÊT DE LA COUR (grande chambre)

16 juillet 2020 (*)

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 47 – Règlement (UE) 2016/679 – Article 2, paragraphe 2 – Champ d’application – Transferts de données à caractère personnel vers des pays tiers à des fins commerciales – Article 45 – Décision d’adéquation de la Commission – Article 46 – Transferts moyennant des garanties appropriées – Article 58 – Pouvoirs des autorités de contrôle – Traitement des données transférées par les autorités publiques d’un pays tiers à des fins de sécurité nationale – Appréciation du caractère adéquat du niveau de protection assuré dans le pays tiers – Décision 2010/87/UE – Clauses types de protection pour le transfert de données à caractère personnel vers des pays tiers – Garanties appropriées offertes par le responsable du traitement – Validité – Décision d’exécution (UE) 2016/1250 – Adéquation de la protection assurée par le bouclier de protection des données Union européenne-États-Unis – Validité – Plainte d’une personne physique dont les données ont été transférées depuis l’Union européenne vers les États-Unis »

Dans l’affaire C‑311/18,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par la High Court (Haute Cour, Irlande), par décision du 4 mai 2018, parvenue à la Cour le 9 mai 2018, dans la procédure

Data Protection Commissioner

contre

Facebook Ireland Ltd,

Maximillian Schrems,

en présence de :

The ,

Electronic Privacy Information Centre,

BSA Business Software Alliance Inc.,

Digitaleurope,

LA COUR (grande chambre),

composée de M. K. Lenaerts, président, M^me R. Silva de Lapuerta, vice-présidente, M. A. Arabadjiev, M^me A. Prechal, MM. M. Vilaras, M. Safjan, S. Rodin, P. G. Xuereb, M^me L. S. Rossi et M. I. Jarukaitis, présidents de chambre, MM. M. Ilešič, T. von Danwitz (rapporteur) et D. Šváby, juges,

avocat général : M. H. Saugmandsgaard Øe,

greffier : M^me C. Strömholm, administratrice,

vu la procédure écrite et à la suite de l’audience du 9 juillet 2019,

considérant les observations présentées :

– pour le Data Protection Commissioner, par M. D. Young, solicitor, MM. B. Murray et M. Collins, SC, ainsi que par M^me C. Donnelly, BL,

– pour Facebook Ireland Ltd, par M. P. Gallagher et M^me N. Hyland, SC, M^me A. Mulligan et M. F. Kieran, BL, ainsi que par MM. P. Nolan, C. Monaghan, C. O’Neill et R. Woulfe, solicitors,

– pour M. Schrems, par M^e H. Hofmann, Rechtsanwalt, MM. E. McCullough, J. Doherty et S. O’Sullivan, SC, ainsi que par M. G. Rudden, solicitor,

– pour The United States of America, par M^me E. Barrington, SC, M^me S. Kingston, BL, ainsi que par MM. S. Barton et B. Walsh, solicitors,

– pour l’Electronic Privacy Information Centre, par M^me S. Lucey, solicitor, M^me G. Gilmore et M. A. Butler, BL, ainsi que par M. C. O’Dwyer, SC,

– pour BSA Business Software Alliance Inc., par M^es B. Van Vooren et K. Van Quathem, advocaten,

– pour Digitaleurope, par M^me N. Cahill, barrister, M. J. Cahir, solicitor, et M. M. Cush, SC,

– pour l’Irlande, par M. A. Joyce et M^me M. Browne, en qualité d’agents, assistés de M. D. Fennelly, BL,

– pour le gouvernement belge, par MM. J.-C. Halleux et P. Cottin, en qualité d’agents,

– pour le gouvernement tchèque, par MM. M. Smolek, J. Vláčil et O. Serdula ainsi que par M^me A. Kasalická, en qualité d’agents,

– pour le gouvernement allemand, par MM. J. Möller, D. Klebs et T. Henze, en qualité d’agents,

– pour le gouvernement français, par M^me A.-L. Desjonquères, en qualité d’agent,

– pour le gouvernement néerlandais, par M^mes C. S. Schillemans, M. K. Bulterman et M. Noort, en qualité d’agents,

– pour le gouvernement autrichien, par M^me J. Schmoll et M. G. Kunnert, en qualité d’agents,

– pour le gouvernement polonais, par M. B. Majczyna, en qualité d’agent,

– pour le gouvernement portugais, par M. L. Inez Fernandes ainsi que par M^mes A. Pimenta et C. Vieira Guerra, en qualité d’agents,

– pour le gouvernement du Royaume-Uni, par M. S. Brandon, en qualité d’agent, assisté de M. J. Holmes, QC, et de M. C. Knight, barrister,

– pour le Parlement européen, par M^me M. J. Martínez Iglesias et M. A. Caiola, en qualité d’agents,

– pour la Commission européenne, par MM. D. Nardi, H. Krämer et H. Kranenborg, en qualité d’agents,

– pour le comité européen de la protection des données (EDPB), par M^me A. Jelinek et M. K. Behn, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 19 décembre 2019,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte, en substance,

– sur l’interprétation de l’article 3, paragraphe 2, premier tiret, des articles 25 et 26 ainsi que de l’article 28, paragraphe 3, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), lus à la lumière de l’article 4, paragraphe 2, TUE et des articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »),

– sur l’interprétation et la validité de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46 (JO 2010, L 39, p. 5), telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016 (JO 2016, L 344, p. 100) (ci-après la « décision CPT »), ainsi que

– sur l’interprétation et la validité de la décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (JO 2016, L 207, p. 1, ci-après la « décision BPD »).

2 Cette demande a été présentée dans le cadre d’un litige opposant le Data Protection Commissioner (commissaire à la protection des données, Irlande) (ci-après le « commissaire ») à Facebook Ireland Ltd et à M. Maximillian Schrems au sujet d’une plainte introduite par celui-ci concernant le transfert de ses données à caractère personnel par Facebook Ireland à Facebook Inc. aux États-Unis.

Le cadre juridique

La directive 95/46

3 L’article 3 de la directive 95/46, intitulé « Champ d’application », énonçait, à son paragraphe 2 :

« La présente directive ne s’applique pas au traitement de données à caractère personnel :

– mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,

[...] »

4 L’article 25 de cette directive disposait :

« 1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel [...] ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.

2. Le caractère adéquat du niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données ; [...]

[...]

6. La Commission peut constater, conformément à la procédure prévue à l’article 31 paragraphe 2, qu’un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.

Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission. »

5 L’article 26, paragraphes 2 et 4, de ladite directive prévoyait :

« 2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

[...]

4. Lorsque la Commission décide, conformément à la procédure prévue à l’article 31 paragraphe 2, que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission. »

6 Aux termes de l’article 28, paragraphe 3, de la même directive :

« Chaque autorité de contrôle dispose notamment :

– de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle,

– de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en œuvre des traitements, conformément à l’article 20, et d’assurer une publication appropriée de ces avis ou celui d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement, ou celui d’adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir...