Vous êtes sur la page 1sur 3

Cour de justice de lUnion europenne

COMMUNIQUE DE PRESSE n 117/15


Luxembourg, le 6 octobre 2015

Presse et Information

Arrt dans l'affaire C-362/14


Maximillian Schrems / Data Protection Commissioner

La Cour dclare invalide la dcision de la Commission constatant que les tats-Unis


assurent un niveau de protection adquat aux donnes caractre personnel
transfres
Alors que la Cour est seule comptente pour dclarer linvalidit dun acte de lUnion, les autorits
nationales de contrle, saisies dune demande, peuvent, mme en prsence dune dcision de la
Commission constatant quun pays tiers offre un niveau de protection adquat des donnes
personnelles, examiner si le transfert des donnes dune personne vers ce pays respecte les
exigences de la lgislation de lUnion relative la protection de ces donnes ainsi que saisir les
juridictions nationales, au mme titre que la personne concerne, afin quelles procdent un
renvoi prjudiciel aux fins de lexamen de la validit de cette dcision
La directive sur le traitement des donnes caractre personnel1 dispose que le transfert de telles
donnes vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure
un niveau de protection adquat ces donnes. Toujours selon la directive, la Commission peut
constater quun pays tiers assure, en raison de sa lgislation interne ou de ses engagements
internationaux, un niveau de protection adquat. Enfin, la directive prvoit que chaque tat
membre dsigne une ou plusieurs autorits publiques charges de surveiller lapplication, sur son
territoire, des dispositions nationales adoptes sur le fondement de la directive ( autorits
nationales de contrle ).
M. Maximillian Schrems, un citoyen autrichien, utilise Facebook depuis 2008. Comme pour les
autres abonns rsidant dans lUnion, les donnes fournies par M. Schrems Facebook sont
transfres, en tout ou partie, partir de la filiale irlandaise de Facebook sur des serveurs situs
sur le territoire des tats-Unis, o elles font lobjet dun traitement. M. Schrems a dpos une
plainte auprs de lautorit irlandaise de contrle, considrant quau vu des rvlations faites en
2013 par M. Edward Snowden au sujet des activits des services de renseignement des tatsUnis (en particulier la National Security Agency ou NSA ), le droit et les pratiques des tatsUnis noffrent pas de protection suffisante contre la surveillance, par les autorits publiques, des
donnes transfres vers ce pays. Lautorit irlandaise a rejet la plainte, au motif notamment que,
dans sa dcision du 26 juillet 20002, la Commission a considr que, dans le cadre du rgime dit
de la sphre de scurit 3, les tats-Unis assurent un niveau adquat de protection aux
donnes caractre personnel transfres.
Saisie de laffaire, la High Court of Ireland (Haute Cour de justice irlandaise) souhaite savoir si
cette dcision de la Commission a pour effet dempcher une autorit nationale de contrle
denquter sur une plainte allguant quun pays tiers nassure pas un niveau de protection adquat
et, le cas chant, de suspendre le transfert de donnes contest.
1

Directive 95/46/CE du Parlement europen et du Conseil, du 24 octobre 1995, relative la protection des personnes
physiques lgard du traitement des donnes caractre personnel et la libre circulation de ces donnes (JO L 281,
p. 31).
2
Dcision 2000/520/CE de la Commission, du 26 juillet 2000, conformment la directive 95/46/CE du Parlement
europen et du Conseil relative la pertinence de la protection assure par les principes de la sphre de scurit et
par les questions souvent poses y affrentes, publis par le ministre du commerce des tats-Unis dAmrique
(JO 2000, L 215, p. 7).
3
Le rgime de la sphre de scurit comprend une srie de principes relatifs la protection des donnes caractre
personnel auxquels les entreprises amricaines peuvent souscrire volontairement.

www.curia.europa.eu

Dans son arrt de ce jour, la Cour estime que lexistence dune dcision de la Commission
constatant quun pays tiers assure un niveau de protection adquat aux donnes caractre
personnel transfres ne saurait annihiler ni mme rduire les pouvoirs dont disposent les
autorits nationales de contrle en vertu de la Charte des droits fondamentaux de lUnion
europenne et de la directive. La Cour souligne cet gard le droit la protection des donnes
caractre personnel garanti par la Charte ainsi que la mission dont sont investies les autorits
nationales de contrle en vertu de cette mme Charte.
La Cour considre tout dabord quaucune disposition de la directive nempche les autorits
nationales de contrler les transferts de donnes personnelles vers des pays tiers ayant fait lobjet
dune dcision de la Commission. Ainsi, mme en prsence dune dcision de la Commission,
les autorits nationales de contrle, saisies dune demande, doivent pouvoir examiner en
toute indpendance si le transfert des donnes dune personne vers un pays tiers respecte
les exigences poses par la directive. Nanmoins, la Cour rappelle quelle est seule comptente
pour constater linvalidit dun acte de lUnion, tel quune dcision de la Commission. Par
consquent, lorsquune autorit nationale ou bien la personne ayant saisi lautorit nationale
estime quune dcision de la Commission est invalide, cette autorit ou cette personne doit pouvoir
saisir les juridictions nationales pour que, dans le cas o elles douteraient elles aussi de la validit
de la dcision de la Commission, elles puissent renvoyer laffaire devant la Cour de justice. Cest
donc en dernier lieu la Cour que revient la tche de dcider si une dcision de la
Commission est valide ou non.
La Cour vrifie alors la validit de la dcision de la Commission du 26 juillet 2000. cet gard, la
Cour rappelle que la Commission tait tenue de constater que les tats-Unis assurent
effectivement, en raison de leur lgislation interne ou de leurs engagements internationaux, un
niveau de protection des droits fondamentaux substantiellement quivalent celui garanti au sein
de lUnion en vertu de la directive lue la lumire de la Charte. La Cour relve que la Commission
na pas opr un tel constat, mais quelle sest borne examiner le rgime de la sphre de
scurit.
Or, sans quil y ait besoin, pour la Cour, de vrifier si ce rgime assure un niveau de protection
substantiellement quivalent celui garanti au sein de lUnion, la Cour relve que celui-ci est
uniquement applicable aux entreprises amricaines qui y souscrivent, sans que les autorits
publiques des tats-Unis y soient elles-mmes soumises. En outre, les exigences relatives la
scurit nationale, lintrt public et au respect des lois des tats-Unis lemportent sur le rgime
de la sphre de scurit, si bien que les entreprises amricaines sont tenues dcarter, sans
limitation, les rgles de protection prvues par ce rgime, lorsquelles entrent en conflit
avec de telles exigences. Le rgime amricain de la sphre de scurit rend ainsi possible des
ingrences, par les autorits publiques amricaines, dans les droits fondamentaux des personnes,
la dcision de la Commission ne faisant tat ni de lexistence, aux tats-Unis, de rgles destines
limiter ces ventuelles ingrences ni de lexistence dune protection juridique efficace contre ces
ingrences.
La Cour considre que cette analyse du rgime est corrobore par deux communications de la
Commission4, do il ressort notamment que les autorits des tats-Unis pouvaient accder aux
donnes caractre personnel transfres partir des tats membres vers ce pays et traiter
celles-ci dune manire incompatible, notamment, avec les finalits de leur transfert et au-del de
ce qui tait strictement ncessaire et proportionn la protection de la scurit nationale. De
mme, la Commission a constat quil nexistait pas, pour les personnes concernes, de voies de
droit administratives ou judiciaires permettant, notamment, daccder aux donnes les concernant
et, le cas chant, dobtenir leur rectification ou leur suppression.

Communication de la Commission au Parlement europen et au Conseil, intitule Rtablir la confiance dans les flux
des donnes entre lUnion europenne et les tats-Unis dAmrique (COM(2013) 846 final, 27 novembre 2013) et
communication de la Commission au Parlement et au Conseil relative au fonctionnement de la sphre de scurit du
point de vue des citoyens de lUnion et des entreprises tablies sur son territoire (COM(2013) 847 final, 27 novembre
2013).

Sagissant du niveau de protection substantiellement quivalent avec les liberts et droits


fondamentaux garanti au sein de lUnion, la Cour constate que, en droit de lUnion, une
rglementation nest pas limite au strict ncessaire, ds lors quelle autorise de manire
gnralise la conservation de toutes les donnes caractre personnel de toutes les
personnes dont les donnes sont transfres depuis lUnion vers les tats-Unis sans quaucune
diffrenciation, limitation ou exception ne soient opres en fonction de lobjectif poursuivi et
sans que des critres objectifs ne soient prvus en vue de dlimiter laccs des autorits publiques
aux donnes et leur utilisation ultrieure. La Cour ajoute quune rglementation permettant aux
autorits publiques daccder de manire gnralise au contenu de communications
lectroniques doit tre considre comme portant atteinte au contenu essentiel du droit
fondamental au respect de la vie priv.
De mme, la Cour relve quune rglementation ne prvoyant aucune possibilit pour le justiciable
dexercer des voies de droit afin davoir accs des donnes caractre personnel le concernant,
ou dobtenir la rectification ou la suppression de telles donnes, porte atteinte au contenu
essentiel du droit fondamental une protection juridictionnelle effective, une telle possibilit
tant inhrente lexistence dun tat de droit.
Enfin, la Cour constate que la dcision de la Commission du 26 juillet 2000 prive les autorits
nationales de contrle de leurs pouvoirs, dans le cas o une personne remet en cause la
compatibilit de la dcision avec la protection de la vie prive et des liberts et droits
fondamentaux des personnes. La Cour considre que la Commission navait pas la
comptence de restreindre ainsi les pouvoirs des autorits nationales de contrle.
Pour toutes ces raisons, la Cour dclare la dcision de la Commission du 26 juillet 2000 invalide.
Cet arrt a pour consquence que lautorit irlandaise de contrle est tenue dexaminer la
plainte de M. Schrems avec toute la diligence requise et quil lui appartient, au terme de son
enqute, de dcider sil convient, en vertu de la directive, de suspendre le transfert des
donnes des abonns europens de Facebook vers les tats-Unis au motif que ce pays
noffre pas un niveau de protection adquat des donnes personnelles.
RAPPEL: Le renvoi prjudiciel permet aux juridictions des tats membres, dans le cadre d'un litige dont
elles sont saisies, d'interroger la Cour sur l'interprtation du droit de lUnion ou sur la validit d'un acte de
lUnion. La Cour ne tranche pas le litige national. Il appartient la juridiction nationale de rsoudre l'affaire
conformment la dcision de la Cour. Cette dcision lie, de la mme manire, les autres juridictions
nationales qui seraient saisies dun problme similaire.
Document non officiel lusage des mdias, qui nengage pas la Cour de justice.
Le texte intgral de larrt est publi sur le site CURIA le jour du prononc.
Contact presse: Gilles Despeux (+352) 4303 3205
Des images du prononc de l'arrt sont disponibles sur "Europe by Satellite" (+32) 2 2964106