Avec l’arrêt de grande chambre Facebook Ireland et Schrems (aff. C-311/18), la Cour de justice de l’Union européenne a été appelée à interpréter plusieurs dispositions de la directive 95/46 du Parlement européen et du Conseil, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lus à la lumière de l’article 4, paragraphe 2, TUE et des articles 7, 8 et 47 de la Charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »). En outre, la Cour s’est prononcée sur l’interprétation et la validité des décisions de la Commission 2010/87relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers, et 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (décision dite « Privacy Shield ») .
Monsieur Schrems, ressortissant autrichien résidant en Autriche, utilise le social network Facebook depuis 2008. Ses données à caractère personnel sont, en tout ou en partie, transférées par Facebook Ireland vers des serveurs appartenant à Facebook Inc., situés sur le territoire des États-Unis, où elles font l’objet d’un traitement. M. Schrems avait déposé une plainte auprès de l’autorité irlandaise de contrôle visant à faire interdire ces transferts. Il a soutenu que le droit et les pratiques des États-Unis n’offrent pas de protection suffisante contre l’accès, par les autorités publiques, aux données transférées vers ce pays. Cette plainte a été rejetée, au motif notamment que, dans sa décision 2000/520, la Commission européenne avait constaté que les États-Unis assuraient un niveau adéquat de protection. Néanmoins, la Cour de justice, saisie d’une question préjudicielle posée par la Haute Cour irlandaise, le 6 octobre 2015 a jugé la décision de la Commission invalide (arrêt Schrems, aff. C-362/14, dite arrêt « Schrems I »).
À la suite de l’arrêt Schrems I, M. Schrems a été invité par l’autorité de contrôle irlandaise à reformuler sa plainte. Dans sa plainte reformulée, M. Schrems a avancé que les États-Unis n’offrent pas de protection suffisante des données transférées vers ce pays. Il a demandé de suspendre ou d’interdire, pour l’avenir, les transferts de ses données à caractère personnel depuis l’Union européenne vers les États-Unis, que Facebook Ireland réalise désormais sur le fondement de clauses types de protection figurant à l’annexe de la décision 2010/87. Cette dernière a fait l’objet d’une procédure interne irlandaise ayant pour finalité de soumettre une demande de décision préjudicielle à la Cour de justice. Après l’ouverture de cette procédure, la Commission européenne a adopté la décision 2016/1250 instaurant le paquet Privacy Shield.
Par sa demande de décision préjudicielle, la juridiction de renvoi a interrogé la Cour de justice sur l’applicabilité du règlement général 2016/679 sur la protection des données (ci-après, le « RGPD ») à des transferts de données à caractère personnel fondés sur des clauses types de protection figurant dans la décision 2010/87. En outre, la Haute Cour irlandaise a soulevé la question de la validité des décisions 2010/87 et 2016/1250.
La Cour de justice a considéré que le droit de l’Union européenne, et notamment le RGPD, s’applique à un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, même si, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités du pays tiers concerné.
Concernant le niveau de protection requis dans le cadre d’un tel transfert, la Cour a jugé que les dispositions du RGPD, prévues à cet effet, sont à interpréter en ce sens que les personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données doivent bénéficier d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce règlement, lu à la lumière de la Charte des droits fondamentaux. S’agissant des obligations incombant aux autorités de contrôle dans le contexte d’un tel transfert, la Cour a considéré que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission européenne, ces autorités sont notamment obligées de suspendre ou d’interdire un transfert de données à caractère personnel vers un pays tiers lorsqu’elles estiment que la protection des données transférées ne peut pas être assurée dans ce pays.
Sur la base de ces considérations, la Cour de justice a examiné la validité des décisions 2010/87 et 2016/1250. Concernant la première décision, la Cour a pu constater que cette-ci met en place des mécanismes effectifs permettant d’assurer le niveau de protection requis par le droit de l’Union. Concernant la seconde décision, la Cour en a examiné la validité au regard du RGPD, lu à la lumière des dispositions de la Charte garantissant le respect de la vie privée et familiale, la protection des données à caractère personnel et le droit à une protection juridictionnelle effective. À cet égard, elle a relevé que cette décision consacre la primauté des exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation des États-Unis, rendant ainsi possibles des ingérences dans les droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers. Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation vont au-delà de ce qui est strictement nécessaire. Se fondant sur ces constatations figurant dans la décision 2016/1250, la Cour de justice a considéré que, pour certains programmes de surveillance, la réglementation des États-Unis ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’elle comporte pour la mise en œuvre de ces programmes. En outre, la réglementation américaine ne confère pas aux personnes concernées par les programmes de surveillance des droits opposables aux autorités américaines devant les tribunaux. La Cour a jugé que le mécanisme de médiation prévu par la Commission européenne dans la décision 2016/1250 ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’Union, de nature à assurer à la fois l’indépendance du médiateur et l’existence de normes l’habilitant à adopter des décisions contraignantes à l’égard des services de renseignement américains.
Pour toutes ces raisons, la Cour de justice a invalidé la décision 2016/1250. La Commission européenne en a déjà pris acte, en déclarant dans un communiqué de presse qu’elle coopèrera étroitement avec ses partenaires américains afin de trouver rapidement un accord pour la mise en place d’un nouveau paquet conforme avec le droit de l’Union européenne.
Vincenzo ELIA, La non-conformité du bouclier de protection des données UE-États-Unis avec le droit de l’Union européenne, actualité du CEJE n° 29/2020, disponible sur www.ceje.ch