Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems.

JurisdictionEuropean Union
ECLIECLI:EU:C:2020:559
Docket NumberC-311/18
Date16 July 2020
Celex Number62018CJ0311
CourtCourt of Justice (European Union)

ARRÊT DE LA COUR (grande chambre)

16 juillet 2020 (*)

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 47 – Règlement (UE) 2016/679 – Article 2, paragraphe 2 – Champ d’application – Transferts de données à caractère personnel vers des pays tiers à des fins commerciales – Article 45 – Décision d’adéquation de la Commission – Article 46 – Transferts moyennant des garanties appropriées – Article 58 – Pouvoirs des autorités de contrôle – Traitement des données transférées par les autorités publiques d’un pays tiers à des fins de sécurité nationale – Appréciation du caractère adéquat du niveau de protection assuré dans le pays tiers – Décision 2010/87/UE – Clauses types de protection pour le transfert de données à caractère personnel vers des pays tiers – Garanties appropriées offertes par le responsable du traitement – Validité – Décision d’exécution (UE) 2016/1250 – Adéquation de la protection assurée par le bouclier de protection des données Union européenne-États-Unis – Validité – Plainte d’une personne physique dont les données ont été transférées depuis l’Union européenne vers les États-Unis »

Dans l’affaire C‑311/18,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par la High Court (Haute Cour, Irlande), par décision du 4 mai 2018, parvenue à la Cour le 9 mai 2018, dans la procédure

Data Protection Commissioner

contre

Facebook Ireland Ltd,

Maximillian Schrems,

en présence de :

The ,

Electronic Privacy Information Centre,

BSA Business Software Alliance Inc.,

Digitaleurope,

LA COUR (grande chambre),

composée de M. K. Lenaerts, président, Mme R. Silva de Lapuerta, vice-présidente, M. A. Arabadjiev, Mme A. Prechal, MM. M. Vilaras, M. Safjan, S. Rodin, P. G. Xuereb, Mme L. S. Rossi et M. I. Jarukaitis, présidents de chambre, MM. M. Ilešič, T. von Danwitz (rapporteur) et D. Šváby, juges,

avocat général : M. H. Saugmandsgaard Øe,

greffier : Mme C. Strömholm, administratrice,

vu la procédure écrite et à la suite de l’audience du 9 juillet 2019,

considérant les observations présentées :

– pour le Data Protection Commissioner, par M. D. Young, solicitor, MM. B. Murray et M. Collins, SC, ainsi que par Mme C. Donnelly, BL,

– pour Facebook Ireland Ltd, par M. P. Gallagher et Mme N. Hyland, SC, Mme A. Mulligan et M. F. Kieran, BL, ainsi que par MM. P. Nolan, C. Monaghan, C. O’Neill et R. Woulfe, solicitors,

– pour M. Schrems, par Me H. Hofmann, Rechtsanwalt, MM. E. McCullough, J. Doherty et S. O’Sullivan, SC, ainsi que par M. G. Rudden, solicitor,

– pour The United States of America, par Mme E. Barrington, SC, Mme S. Kingston, BL, ainsi que par MM. S. Barton et B. Walsh, solicitors,

– pour l’Electronic Privacy Information Centre, par Mme S. Lucey, solicitor, Mme G. Gilmore et M. A. Butler, BL, ainsi que par M. C. O’Dwyer, SC,

– pour BSA Business Software Alliance Inc., par Mes B. Van Vooren et K. Van Quathem, advocaten,

– pour Digitaleurope, par Mme N. Cahill, barrister, M. J. Cahir, solicitor, et M. M. Cush, SC,

– pour l’Irlande, par M. A. Joyce et Mme M. Browne, en qualité d’agents, assistés de M. D. Fennelly, BL,

– pour le gouvernement belge, par MM. J.-C. Halleux et P. Cottin, en qualité d’agents,

– pour le gouvernement tchèque, par MM. M. Smolek, J. Vláčil et O. Serdula ainsi que par Mme A. Kasalická, en qualité d’agents,

– pour le gouvernement allemand, par MM. J. Möller, D. Klebs et T. Henze, en qualité d’agents,

– pour le gouvernement français, par Mme A.-L. Desjonquères, en qualité d’agent,

– pour le gouvernement néerlandais, par Mmes C. S. Schillemans, M. K. Bulterman et M. Noort, en qualité d’agents,

– pour le gouvernement autrichien, par Mme J. Schmoll et M. G. Kunnert, en qualité d’agents,

– pour le gouvernement polonais, par M. B. Majczyna, en qualité d’agent,

– pour le gouvernement portugais, par M. L. Inez Fernandes ainsi que par Mmes A. Pimenta et C. Vieira Guerra, en qualité d’agents,

– pour le gouvernement du Royaume-Uni, par M. S. Brandon, en qualité d’agent, assisté de M. J. Holmes, QC, et de M. C. Knight, barrister,

– pour le Parlement européen, par Mme M. J. Martínez Iglesias et M. A. Caiola, en qualité d’agents,

– pour la Commission européenne, par MM. D. Nardi, H. Krämer et H. Kranenborg, en qualité d’agents,

– pour le comité européen de la protection des données (EDPB), par Mme A. Jelinek et M. K. Behn, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 19 décembre 2019,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte, en substance,

– sur l’interprétation de l’article 3, paragraphe 2, premier tiret, des articles 25 et 26 ainsi que de l’article 28, paragraphe 3, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), lus à la lumière de l’article 4, paragraphe 2, TUE et des articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »),

– sur l’interprétation et la validité de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46 (JO 2010, L 39, p. 5), telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016 (JO 2016, L 344, p. 100) (ci-après la « décision CPT »), ainsi que

– sur l’interprétation et la validité de la décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (JO 2016, L 207, p. 1, ci-après la « décision BPD »).

2 Cette demande a été présentée dans le cadre d’un litige opposant le Data Protection Commissioner (commissaire à la protection des données, Irlande) (ci-après le « commissaire ») à Facebook Ireland Ltd et à M. Maximillian Schrems au sujet d’une plainte introduite par celui-ci concernant le transfert de ses données à caractère personnel par Facebook Ireland à Facebook Inc. aux États-Unis.

Le cadre juridique

La directive 95/46

3 L’article 3 de la directive 95/46, intitulé « Champ d’application », énonçait, à son paragraphe 2 :

« La présente directive ne s’applique pas au traitement de données à caractère personnel :

– mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,

[...] »

4 L’article 25 de cette directive disposait :

« 1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel [...] ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.

2. Le caractère adéquat du niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données ; [...]

[...]

6. La Commission peut constater, conformément à la procédure prévue à l’article 31 paragraphe 2, qu’un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.

Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission. »

5 L’article 26, paragraphes 2 et 4, de ladite directive prévoyait :

« 2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

[...]

4. Lorsque la Commission décide, conformément à la procédure prévue à l’article 31 paragraphe 2, que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission. »

6 Aux termes de l’article 28, paragraphe 3, de la même directive :

« Chaque autorité de contrôle dispose notamment :

– de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle,

– de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en œuvre des traitements, conformément à l’article 20, et d’assurer une publication appropriée de ces avis ou celui d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement, ou celui d’adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir...

To continue reading

Request your trial
113 practice notes
  • Ministre de l'Agriculture et de l'Alimentation v Compagnie des pêches de Saint-Malo.
    • European Union
    • Court of Justice (European Union)
    • 17 September 2020
    ...46 y 47; de 6 de octubre de 2015, Schrems, C‑362/14, EU:C:2015:650, apartado 67, y de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartados 159 a 29 Pues bien, en el presente asunto, procede señalar que, por un lado, de la resolución de remisión y de los autos ......
  • J.M. v Apulaistietosuojavaltuutettu and Pankki S.
    • European Union
    • Court of Justice (European Union)
    • 22 June 2023
    ...sociale e va contemperato con altri diritti fondamentali (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, punto 79 Orbene, anche supponendo che la comunicazione delle informazioni relative all’identità dei dipendenti del titolare del tratt......
  • Opinion of Advocate General Medina delivered on 8 June 2023.
    • European Union
    • Court of Justice (European Union)
    • 8 June 2023
    ...il passaggio di cui trattasi al fascicolo della società. 58 V, in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559, punti da 172 a Vorläufige Fassung SCHLUSSANTRÄGE DER GENERALANWÄLTIN LAILA MEDINA vom 8. Juni 2023(1) Rechtssache C‑231/22 État belg......
  • B v Latvijas Republikas Saeima.
    • European Union
    • Court of Justice (European Union)
    • 22 June 2021
    ...effect, judgments of 9 July 2020, Land Hessen, C‑272/19, EU:C:2020:535, paragraph 68, and of 16 July 2020, Facebook Ireland and Schrems, C‑311/18, EU:C:2020:559, paragraph 63 In that regard, Article 2(2)(a) of the GDPR is to be read in conjunction with Article 2(2)(b) thereof and recital 16......
  • Request a trial to view additional results
33 cases
  • Conclusiones del Abogado General Sr. G. Pitruzzella, presentadas el 30 de junio de 2022.
    • European Union
    • Court of Justice (European Union)
    • 30 June 2022
    ...caso, il loro numero e il loro contenuto non sono specificati. 14 V., per analogia, sentenze del 16 luglio 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559, punto 171), e del 6 ottobre 2020, État luxembourgeois (Diritto di ricorso contro una richiesta di informazioni in materia fis......
  • UI v Österreichische Post AG.
    • European Union
    • Court of Justice (European Union)
    • 4 May 2023
    ...de tales datos sea coherente y homogénea [véanse, en este sentido, las sentencias de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 101, y de 12 de enero de 2023, Österreichische Post (Información relativa a los destinatarios de datos personales), C‑154/2......
  • Opinion of Advocate General Bobek delivered on 15 April 2021.
    • European Union
    • Court of Justice (European Union)
    • 15 April 2021
    ...Łowicz und Prokurator Generalny (C‑558/18 und C‑563/18, EU:C:2020:234, Rn. 44). 13 Urteil vom 16. Juli 2020, Facebook Irland und Schrems (C‑311/18, EU:C:2020:559, Rn. 73 und die dort angeführte 14 Vgl. insoweit Urteile vom 11. März 1980, Foglia (104/79, EU:C:1980:73, Rn. 11), vom 16. Dezemb......
  • Opinion of Advocate General Kokott delivered on 15 July 2021.
    • European Union
    • Court of Justice (European Union)
    • 15 July 2021
    ...76). 10 Judgments of 6 October 2015, Schrems (C‑362/14, EU:C:2015:650, paragraph 67); of 16 July 2020, Facebook Ireland and Schrems (C‑311/18, EU:C:2020:559, paragraph 161); and of 17 September 2020, Compagnie des pêches de Saint-Malo (C‑212/19, EU:C:2020:726, paragraph 11 Judgments of 3 De......
  • Request a trial to view additional results
16 firm's commentaries
5 books & journal articles
1 provisions

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT