Le 16 juillet 2020, la Cour de Justice annule la décision de la Commission du 12 juillet 2016, relative au bouclier de protection des données UE-États-Unis. Ci-dessous la décision BPD. L’arrêt du 16 juillet 2020.
Avec le RGPD, le transfert des données personnelles vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Le RGPD prévoit que la Commission peut constater qu’un pays tiers assure un niveau de protection adéquat. En l’absence d’une telle décision, une décision d’adéquation, l’exportateur des données à caractère personnel, doit établir qu’il existe dans le pays tiers des garanties appropriées, « clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives » . En l’absence de décision d’adéquation et de garanties appropriées, le RGPD prévoit les conditions de ce transfert de données.
Pour mémoire, la Cour de justice dans son arrêt du 5 octobre 2015 avait annulé le précédent accord Etats-Unis Europe sur le transfert des données personnelles des européens en direction du territoire nord-américain. L’arrêt du 5 octobre 2015
Ni la décision relative aux Causes types ( décision du 5 février 2010 modifiée le 16 décembre 2016) ni le bouclier de protection des données ( décision du 12 juillet 2016), ne résistent à ces différents points.
- Le RGPD s’applique même à des données traitées à des fins de sécurité publique et de sureté de l’Etat
84 En ce qui concerne la question de savoir si une telle opération peut être considérée comme étant exclue du champ d’application du RGPD en vertu de l’article 2, paragraphe 2, de celui-ci, il convient de rappeler que cette disposition prévoit des exceptions au champ d’application de ce règlement, tel que défini à son article 2, paragraphe 1, et que ces exceptions doivent recevoir une interprétation stricte (voir par analogie, en ce qui concerne l’article 3, paragraphe 2, de la directive 95/46, arrêt du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, point 37 et jurisprudence citée).
85 En l’occurrence, le transfert de données à caractère personnel en cause au principal étant effectué par Facebook Ireland vers Facebook Inc., à savoir entre deux personnes morales, ce transfert ne relève pas de l’article 2, paragraphe 2, sous c), du RGPD, qui vise le traitement de données effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique. Ledit transfert ne relève pas non plus des exceptions figurant à l’article 2, paragraphe 2, sous a), b) et d), de ce règlement, dès lors que les activités qui y sont mentionnées à titre d’exemples sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques, étrangères aux domaines d’activité des particuliers (voir par analogie, en ce qui concerne l’article 3, paragraphe 2, de la directive 95/46, arrêt du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, point 38 et jurisprudence citée).
86 Or, la possibilité que les données à caractère personnel transférées entre deux opérateurs économiques à des fins commerciales subissent, au cours ou à la suite du transfert, un traitement à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités du pays tiers concerné ne saurait exclure ledit transfert du champ d’application du RGPD.
87 D’ailleurs, en faisant explicitement obligation à la Commission, lorsqu’elle évalue le caractère adéquat du niveau de protection offert par un pays tiers, de tenir compte, notamment, de « la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès des autorités publiques aux données à caractère personnel, de même que la mise en œuvre de ladite législation », le libellé même de l’article 45, paragraphe 2, sous a), de ce règlement met en évidence le fait que le traitement éventuel, par un pays tiers, des données concernées à des fins de sécurité publique, de défense et de sûreté de l’État ne remet pas en cause l’applicabilité dudit règlement au transfert en cause.
88 Il s’ensuit qu’un tel transfert ne saurait échapper au champ d’application du RGPD au motif que les données en cause sont susceptibles d’être traitées, au cours ou à la suite de ce transfert, par les autorités du pays tiers concerné, à des fins de sécurité publique, de défense et de sûreté de l’État.
- La décision d’adéquation doit accordée une garantie des droits analogue à celle au sein de l’Union qui sont prévus par la Charte
95 Dans ce contexte, le considérant 107 du RGPD énonce que, lorsqu’« un pays tiers, un territoire ou un secteur déterminé dans un pays tiers […], n’assure plus un niveau adéquat de protection des données […], le transfert de données à caractère personnel vers ce pays tiers […] devrait être interdit, à moins que les exigences [de ce règlement] relatives aux transferts faisant l’objet de garanties appropriées […] soient respectées ». À cet effet, le considérant 108 dudit règlement précise que, en l’absence de décision d’adéquation, les garanties appropriées qu’il appartient au responsable du traitement ou au sous-traitant de prendre conformément à l’article 46, paragraphe 1, du même règlement doivent « compenser l’insuffisance de la protection des données dans le pays tiers » pour « assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union ».
96 Il en résulte, comme M. l’avocat général l’a relevé au point 115 de ses conclusions, que ces garanties appropriées doivent être de nature à assurer que les personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient, comme dans le cadre d’un transfert fondé sur une décision d’adéquation, d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union.
….
105 Partant, il y a lieu de répondre aux deuxième, troisième et sixième questions que l’article 46, paragraphe 1, et l’article 46, paragraphe 2, sous c), du RGPD doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce règlement, lu à la lumière de la Charte. À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, dudit règlement.
- La possibilité de suspendre le transfert de données vers un Etat où les droits ne sont pas garantis, devoir de chaque autorité de contrôle
109 En outre, en vertu de l’article 57, paragraphe 1, sous f), du RGPD, chaque autorité de contrôle est tenue, sur son territoire, de traiter les réclamations que toute personne, conformément à l’article 77, paragraphe 1, de ce règlement, est en droit d’introduire lorsqu’elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation dudit règlement, et d’en examiner l’objet dans la mesure du nécessaire. L’autorité de contrôle doit procéder au traitement d’une telle réclamation avec toute la diligence requise (voir par analogie, en ce qui concerne l’article 25, paragraphe 6, de la directive 95/46, arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 63).
110 L’article 78, paragraphes 1 et 2, du RGPD reconnaît à toute personne le droit de former un recours juridictionnel effectif, notamment, lorsque l’autorité de contrôle omet de traiter sa réclamation. Le considérant 141 de ce règlement fait également référence à ce « droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte » dans le cas où cette autorité de contrôle « n’agit pas alors qu’une action est nécessaire pour protéger les droits de la personne concernée ».
111 Aux fins de traiter les réclamations introduites, l’article 58, paragraphe 1, du RGPD investit chaque autorité de contrôle d’importants pouvoirs d’enquête. Lorsqu’une telle autorité estime, à l’issue de son enquête, que la personne concernée dont les données à caractère personnel ont été transférées vers un pays tiers ne bénéficie pas dans celui-ci d’un niveau de protection adéquat, elle est tenue, en application du droit de l’Union, de réagir de manière appropriée afin de remédier à l’insuffisance constatée, et ce indépendamment de l’origine ou de la nature de cette insuffisance. À cet effet, l’article 58, paragraphe 2, de ce règlement énumère les différentes mesures correctrices que l’autorité de contrôle peut adopter.
112 Bien que le choix du moyen approprié et nécessaire relève de l’autorité de contrôle et que celle-ci doive opérer ce choix en prenant en considération toutes les circonstances du transfert de données à caractère personnel en cause, cette autorité n’en est pas moins tenue de s’acquitter avec toute la diligence requise de sa mission consistant à veiller au plein respect du RGPD.
113 À cet égard et ainsi que M. l’avocat général l’a également relevé au point 148 de ses conclusions, ladite autorité est tenue, en vertu de l’article 58, paragraphe 2, sous f) et j), de ce règlement, de suspendre ou d’interdire un transfert de données à caractère personnel vers un pays tiers lorsqu’elle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que les clauses types de protection des données ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci
- Une décision de la Commission ne peut priver les autorités de contrôle de leur pouvoir de contrôle
116 Il importe toutefois de préciser que les pouvoirs de l’autorité de contrôle compétente sont soumis au plein respect de la décision par laquelle la Commission constate, le cas échéant, en application de l’article 45, paragraphe 1, première phrase, du RGPD, qu’un pays tiers déterminé assure un niveau de protection adéquat. En effet, dans une telle hypothèse, il ressort de l’article 45, paragraphe 1, seconde phrase, de ce règlement, lu en combinaison avec le considérant 103 de celui-ci, que les transferts de données à caractère personnel vers le pays tiers concerné peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autorisation spécifique.
117 En vertu de l’article 288, quatrième alinéa, TFUE, une décision d’adéquation de la Commission a, dans tous ses éléments, un caractère contraignant pour tous les États membres destinataires et s’impose donc à tous leurs organes, en ce qu’elle constate que le pays tiers concerné garantit un niveau de protection adéquat et qu’elle a pour effet d’autoriser ces transferts de données (voir par analogie, en ce qui concerne l’article 25, paragraphe 6, de la directive 95/46, arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 51 et jurisprudence citée).
118 Ainsi, aussi longtemps que la décision d’adéquation n’a pas été déclarée invalide par la Cour, les États membres et leurs organes, au nombre desquels figurent leurs autorités de contrôle indépendantes, ne sauraient adopter des mesures contraires à cette décision, telles que des actes visant à constater avec effet contraignant que le pays tiers visé par ladite décision n’assure pas un niveau de protection adéquat …. et, en conséquence, à suspendre ou interdire des transferts de données à caractère personnel vers ce pays tiers.
119 Toutefois, une décision d’adéquation de la Commission adoptée au titre de l’article 45, paragraphe 3, du RGPD ne saurait empêcher les personnes dont les données à caractère personnel ont été ou pourraient être transférées vers un pays tiers de saisir, en application de l’article 77, paragraphe 1, du RGPD, l’autorité nationale de contrôle compétente d’une réclamation relative à la protection de leurs droits et de leurs libertés à l’égard du traitement de ces données. De même, une décision de cette nature ne saurait ni annihiler ni réduire les pouvoirs expressément reconnus aux autorités nationales de contrôle par l’article 8, paragraphe 3, de la Charte ainsi que par l’article 51, paragraphe 1, et par l’article 57, paragraphe 1, sous a), dudit règlement (voir par analogie, en ce qui concerne l’article 25, paragraphe 6, et l’article 28 de la directive 95/46, arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 53).
120 Ainsi, même en présence d’une décision d’adéquation de la Commission, l’autorité nationale de contrôle compétente, saisie par une personne d’une réclamation relative à la protection de ses droits et de ses libertés à l’égard d’un traitement de données à caractère personnel la concernant, doit pouvoir examiner, en toute indépendance, si le transfert de ces données respecte les exigences posées par le RGPD et, le cas échéant, introduire un recours devant les juridictions nationales afin que ces dernières procèdent, si elles partagent les doutes de cette autorité quant à la validité de la décision d’adéquation, à un renvoi préjudiciel aux fins de l’examen de cette validité…..
- Une obligation de contrôle même en cas de décision de la Commission relative aux clauses types
130 En revanche, s’agissant d’une décision de la Commission adoptant des clauses types de protection des données, telle que la décision CPT, dans la mesure où une telle décision ne vise pas un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans celui-ci, il ne saurait être inféré de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, sous c), du RGPD que la Commission serait tenue de procéder, avant l’adoption d’une telle décision, à une évaluation du caractère adéquat du niveau de protection assuré par les pays tiers vers lesquels des données à caractère personnel pourraient être transférées sur le fondement de telles clauses.
133 Il apparaît ainsi que les clauses types de protection des données adoptées par la Commission au titre de l’article 46, paragraphe 2, sous c), du même règlement visent uniquement à fournir aux responsables du traitement ou à leurs sous-traitants établis dans l’Union des garanties contractuelles s’appliquant de manière uniforme dans tous les pays tiers et, dès lors, indépendamment du niveau de protection garanti dans chacun d’entre eux. Dans la mesure où ces clauses types de protection des données ne peuvent, eu égard à leur nature, fournir des garanties allant au-delà d’une obligation contractuelle de veiller à ce que le niveau de protection requis par le droit de l’Union soit respecté, elles peuvent nécessiter, en fonction de la situation prévalant dans tel ou tel pays tiers, l’adoption de mesures supplémentaires par le responsable du traitement afin d’assurer le respect de ce niveau de protection.
…..
134 À cet égard, ainsi que M. l’avocat général l’a relevé au point 126 de ses conclusions, le mécanisme contractuel prévu à l’article 46, paragraphe 2, sous c), du RGPD repose sur la responsabilisation du responsable du traitement ou de son sous-traitant établis dans l’Union ainsi que, à titre subsidiaire, de l’autorité de contrôle compétente. Il appartient, dès lors, avant tout, à ce responsable du traitement ou à son sous-traitant de vérifier, au cas par cas et, le cas échéant, en collaboration avec le destinataire du transfert, si le droit du pays tiers de destination assure une protection appropriée, au regard du droit de l’Union, des données à caractère personnel transférées sur le fondement de clauses types de protection des données, en fournissant, au besoin, des garanties supplémentaires à celles offertes par ces clauses.
- La mise en place du dispositif de contrôle en préalable au traitement
142 Il en résulte que le responsable du traitement établi dans l’Union et le destinataire du transfert de données à caractère personnel sont tenus de vérifier, au préalable, le respect, dans le pays tiers concerné, du niveau de protection requis par le droit de l’Union. Le destinataire de ce transfert est, le cas échéant, dans l’obligation, en vertu de la même clause 5, sous b), d’informer le responsable du traitement de son éventuelle incapacité de se conformer à ces clauses, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat.
- A propos de la décision sur le bouclier de protection des données UE-États-Unis qui s’impose aux autorités nationales de contrôle
154 En particulier, l’existence des effets contraignants qui s’attachent à la constatation par la décision BPD d’un niveau de protection adéquat aux États-Unis est pertinente aux fins de l’appréciation tant des obligations, rappelées aux points 141 et 142 du présent arrêt, qui incombent au responsable du traitement et au destinataire d’un transfert de données à caractère personnel vers un pays tiers effectué sur le fondement des clauses types de protection des données figurant à l’annexe de la décision CPT que des obligations qui pèsent, le cas échéant, sur l’autorité de contrôle de suspendre ou d’interdire un tel transfert.
155 S’agissant, en effet, des effets contraignants de la décision BPD, l’article 1er, paragraphe 1, de cette décision dispose que, aux fins de l’article 45, paragraphe 1, du RGPD, « les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données [Union européenne]-États-Unis ». Conformément à l’article 1er, paragraphe 3, de ladite décision, les données à caractère personnel sont considérées comme étant transférées dans le cadre de ce bouclier lorsqu’elles le sont depuis l’Union vers des organisations établies aux États-Unis qui figurent sur la liste des organisations adhérant audit bouclier, tenue à jour et publiée par le ministère américain du Commerce, conformément aux sections I et III des principes énoncés à l’annexe II de la même décision.
156 Ainsi qu’il résulte de la jurisprudence rappelée aux points 117 et 118 du présent arrêt, la décision BPD a un caractère contraignant pour les autorités de contrôle en ce qu’elle constate que les États-Unis garantissent un niveau de protection adéquat et, partant, a pour effet d’autoriser des transferts de données à caractère personnel effectués dans le cadre du bouclier de protection des données Union européenne-États-Unis. Dès lors, aussi longtemps que cette décision n’a pas été déclarée invalide par la Cour, l’autorité de contrôle compétente ne saurait suspendre ou interdire un transfert de données à caractère personnel vers une organisation adhérant à ce bouclier au motif qu’elle considère, contrairement à l’appréciation retenue par la Commission dans ladite décision, que la législation des États-Unis régissant l’accès aux données à caractère personnel transférées dans le cadre dudit bouclier et l’utilisation de ces données par les autorités publiques de ce pays tiers à des fins de sécurité nationale, de respect de la loi ou d’intérêt public n’assure pas un niveau de protection adéquat.
- Mais une réclamation s’analyse comme une contestation de la validité de la décision de la Commission
157 Il n’en demeure pas moins que, conformément à la jurisprudence rappelée aux points 119 et 120 du présent arrêt, lorsqu’elle est saisie par une personne d’une réclamation, l’autorité de contrôle compétente doit examiner, en toute indépendance, si le transfert de données à caractère personnel en cause respecte les exigences posées par le RGPD et, dans l’hypothèse où elle estime fondés les griefs avancés par cette personne aux fins de mettre en cause la validité d’une décision d’adéquation, introduire un recours devant les juridictions nationales afin que ces dernières saisissent la Cour d’un renvoi préjudiciel en appréciation de la validité de cette décision.
…..
160 Ainsi que M. l’avocat général l’a relevé au point 175 de ses conclusions, ces questions préjudicielles doivent ainsi être comprises comme mettant, en substance, en cause le constat de la Commission, figurant dans la décision BPD, selon lequel les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers ce pays tiers et, partant, la validité de cette décision.
- La critique de la décision de la commission
177 À cet effet, l’article 45, paragraphe 2, sous a), du RGPD précise que, dans le cadre de son évaluation du caractère adéquat du niveau de protection assuré par un pays tiers, la Commission tient compte, notamment, « [d]es droits effectifs et opposables dont bénéficient les personnes concernées » dont les données à caractère personnel sont transférées.
178 En l’occurrence, la constatation opérée par la Commission dans la décision BPD selon laquelle les États-Unis assurent un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par le RGPD, lu à la lumière des articles 7 et 8 de la Charte, a été remise en cause au motif, notamment, que les ingérences résultant des programmes de surveillance fondés sur l’article 702 du FISA et sur l’E.O. 12333 ne seraient pas soumises à des exigences assurant, dans le respect du principe de proportionnalité, un niveau de protection substantiellement équivalent à celui garanti par l’article 52, paragraphe 1, seconde phrase, de la Charte. Il y a donc lieu d’examiner si ces programmes de surveillance sont mis en œuvre dans le respect de telles exigences, sans qu’il soit nécessaire de vérifier au préalable le respect par ce pays tiers de conditions substantiellement équivalentes à celles prévues à l’article 52, paragraphe 1, première phrase, de la Charte.
179 À cet égard, en ce qui concerne les programmes de surveillance fondés sur l’article 702 du FISA, la Commission a constaté, au considérant 109 de la décision BPD, que, selon ledit article, « le FISC n’autorise pas de mesures de surveillance individuelle, mais plutôt des programmes de surveillance (comme PRISM ou UPSTREAM) sur la base de certifications annuelles préparées par le procureur général et le directeur du renseignement national (DNI) ». Ainsi qu’il ressort de ce considérant, le contrôle exercé par le FISC vise à vérifier si ces programmes de surveillance correspondent à l’objectif d’obtenir des informations en matière de renseignement extérieur, mais ne porte pas sur le point de savoir « si les personnes sont correctement ciblées pour se procurer des informations en matière de renseignement extérieur ».
180 Il apparaît ainsi que l’article 702 du FISA ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’il comporte pour la mise en œuvre des programmes de surveillance aux fins du renseignement extérieur, pas plus que l’existence de garanties pour des personnes non-américaines potentiellement visées par ces programmes. Dans ces conditions, et ainsi que M. l’avocat général l’a relevé, en substance, aux points 291, 292 et 297 de ses conclusions, cet article n’est pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui garanti par la Charte, telle qu’interprétée par la jurisprudence rappelée aux points 175 et 176 du présent arrêt, selon laquelle une base légale qui permet des ingérences dans les droits fondamentaux doit, pour satisfaire au principe de proportionnalité, définir elle-même la portée de la limitation de l’exercice du droit concerné et prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales.
181 Selon les constatations figurant dans la décision BPD, les programmes de surveillance fondés sur l’article 702 du FISA doivent, certes, être mis en œuvre dans le respect des exigences résultant de la PPD-28. Toutefois, si la Commission a souligné, aux considérants 69 et 77 de la décision BPD, que de telles exigences revêtent un caractère contraignant pour les services de renseignement américains, le gouvernement américain a admis, en réponse à une question de la Cour, que la PPD-28 ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux. Dès lors, elle n’est pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui résultant de la Charte, contrairement à ce qu’exige l’article 45, paragraphe 2, sous a), du RGPD, selon lequel la constatation de ce niveau dépend, notamment, de l’existence des droits effectifs et opposables dont bénéficient les personnes dont les données ont été transférées vers le pays tiers en cause.
182 S’agissant des programmes de surveillance fondés sur l’E.O. 12333, il ressort du dossier dont dispose la Cour que ce décret ne confère pas non plus de droits opposables aux autorités américaines devant les tribunaux.
183 Il convient d’ajouter que la PPD-28, qui doit être respectée dans le cadre de l’application des programmes visés aux deux points précédents, permet de procéder à une « collecte “en vrac” […] d’un volume relativement important d’informations ou de données issues du renseignement d’origine électromagnétique dans des conditions où les services de renseignement ne peuvent pas utiliser d’identifiant associé à une cible spécifique […] pour orienter la collecte », ainsi qu’il est précisé dans une lettre du 21 juin 2016 du bureau du directeur du renseignement national (Office of the Director of National Intelligence) au ministère américain du Commerce ainsi qu’à l’administration du commerce international, figurant à l’annexe VI de la décision BPD. Or, cette possibilité, qui permet, dans le cadre des programmes de surveillance fondés sur l’E.O. 12333, d’accéder à des données en transit vers les États-Unis sans que cet accès fasse l’objet d’une quelconque surveillance judiciaire, n’encadre, en tout état de cause, pas de manière suffisamment claire et précise la portée d’une telle collecte en vrac de données à caractère personnel.
184 Il apparaît, dès lors, que ni l’article 702 du FISA ni l’E.O. 12333, lus en combinaison avec la PPD-28, ne correspondent aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, si bien qu’il n’est pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire.
- L’absence de recours effectif au juge
186 S’agissant, en second lieu, de l’article 47 de la Charte, qui participe également du niveau de protection requis au sein de l’Union et dont la Commission doit constater le respect avant que celle-ci adopte une décision d’adéquation au titre de l’article 45, paragraphe 1, du RGPD, il convient de rappeler que le premier alinéa de cet article 47 exige que toute personne dont les droits et les libertés garantis par le droit de l’Union ont été violés ait droit à un recours effectif devant un tribunal dans le respect des conditions prévues à cet article. Aux termes du deuxième alinéa dudit article, toute personne a droit à ce que sa cause soit entendue par un tribunal indépendant et impartial.
187 Selon une jurisprudence constante, l’existence même d’un contrôle juridictionnel effectif destiné à assurer le respect des dispositions du droit de l’Union est inhérente à l’existence d’un État de droit. Ainsi, une réglementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective, tel que consacré à l’article 47 de la Charte (arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 95 et jurisprudence citée).
188 À cet effet, l’article 45, paragraphe 2, sous a), du RGPD exige que, dans le cadre de son évaluation du caractère adéquat du niveau de protection assuré par un pays tiers, la Commission tienne compte, notamment, « [d]es recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées ». Le considérant 104 du RGPD souligne, à cet égard, que le pays tiers « devrait assurer un contrôle indépendant effectif de la protection des données et prévoir des mécanismes de coopération avec les autorités de protection des données des États membres » et précise que « les personnes concernées devraient se voir octroyer des droits effectifs et opposables ainsi que des possibilités effectives de recours administratif et juridictionnel ».
189 L’existence de telles possibilités effectives de recours dans le pays tiers concerné revêt une importance particulière dans le contexte d’un transfert de données à caractère personnel vers ce pays tiers, dans la mesure où, ainsi qu’il ressort du considérant 116 du RGPD, les personnes concernées peuvent être confrontées à l’insuffisance des pouvoirs et des moyens des autorités administratives et judiciaires des États membres pour donner une suite utile à leurs réclamations fondées sur un traitement prétendument illégal, dans ce pays tiers, de leurs données ainsi transférées, ce qui est de nature à les contraindre à s’adresser aux autorités et aux juridictions nationales de ce même pays tiers.
190 En l’occurrence, la constatation opérée par la Commission dans la décision BPD, selon laquelle les États-Unis assurent un niveau de protection substantiellement équivalent à celui garanti à l’article 47 de la Charte, a été remise en cause au motif, notamment, que l’instauration du médiateur du bouclier de protection des données ne saurait pallier les lacunes constatées par la Commission elle-même en ce qui concerne la protection juridictionnelle des personnes dont les données à caractère personnel sont transférées vers ce pays tiers.
191 À cet égard, la Commission a relevé, au considérant 115 de la décision BPD, que, si « les personnes physiques, notamment les personnes concernées de l’[Union], disposent […] d’un certain nombre de voies de recours lorsqu’elles ont fait l’objet d’une surveillance (électronique) illégale à des fins de sécurité nationale, il est également clair qu’au moins quelques bases juridiques pouvant être utilisées par les services de renseignement américains (comme l’E.O. 12333) ne sont pas couvertes ». Ainsi, s’agissant de l’E.O. 12333, elle a mis l’accent, audit considérant 115, sur l’absence de toute voie de recours. Or, selon la jurisprudence rappelée au point 187 du présent arrêt, une telle lacune dans la protection juridictionnelle à l’égard des ingérences liées aux programmes de renseignement fondés sur ce décret présidentiel fait obstacle à ce qu’il soit conclu, comme l’a fait la Commission dans la décision BPD, que le droit des États-Unis assure un niveau de protection substantiellement équivalent à celui garanti à l’article 47 de la Charte.
- Le médiateur n’est pas indépendant du pouvoir exécutif nord-américain
195 Or, dans la lettre évoquée au point 193 du présent arrêt, le médiateur du bouclier de protection des données, quoique décrit comme étant « indépendant des services de renseignement », a été présenté comme « [rendant] compte directement au secrétaire d’État qui veillera à ce que le médiateur remplisse sa mission en toute objectivité et à l’abri de toute influence inappropriée susceptible d’affecter la réponse qu’il devra donner ». Par ailleurs, outre le fait que, ainsi que la Commission l’a constaté au considérant 116 de cette décision, le médiateur est désigné par le secrétaire d’État et fait partie intégrante du département d’État des États-Unis, il n’existe, dans ladite décision, comme M. l’avocat général l’a relevé au point 337 de ses conclusions, aucune indication selon laquelle la révocation du médiateur ou l’annulation de sa nomination seraient assorties de garanties particulières, ce qui est de nature à mettre en cause l’indépendance du médiateur par rapport au pouvoir exécutif (voir, en ce sens, arrêt du 21 janvier 2020, Banco de Santander, C‑274/14, EU:C:2020:17, points 60 et 63 ainsi que jurisprudence citée).
196 De même, ainsi que M. l’avocat général l’a souligné, au point 338 de ses conclusions, si le considérant 120 de la décision BPD fait état d’un engagement du gouvernement américain à ce que la composante concernée des services de renseignement soit tenue de corriger toute violation des normes applicables détectée par le médiateur du bouclier de protection des données, ladite décision ne comporte aucune indication selon laquelle ce médiateur serait habilité à prendre des décisions contraignantes à l’égard de ces services et ne fait pas non plus état de garanties légales dont serait assorti cet engagement et dont pourraient se prévaloir les personnes concernées.
197 Dès lors, le mécanisme de médiation visé par la décision BPD ne fournit pas de voie de recours devant un organe qui offre aux personnes dont les données sont transférées vers les États-Unis des garanties substantiellement équivalentes à celles requises à l’article 47 de la Charte.
- L’annulation de la décision de la Commission sur le bouclier
98 Partant, en constatant, à l’article 1er, paragraphe 1, de la décision BPD, que les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies dans ce pays tiers dans le cadre du bouclier de protection des données Union européenne-États-Unis, la Commission a méconnu les exigences résultant de l’article 45, paragraphe 1, du RGPD, lu à la lumière des articles 7, 8 et 47 de la Charte.
199 Il s’ensuit que l’article 1er de la décision BPD est incompatible avec l’article 45, paragraphe 1, du RGPD, lu à la lumière des articles 7, 8 et 47 de la Charte, et qu’il est de ce fait invalide.
200 L’article 1er de la décision BPD étant indissociable des articles 2 à 6 ainsi que des annexes de celle-ci, son invalidité a pour effet d’affecter la validité de cette décision dans son ensemble.
201 Eu égard à l’ensemble des considérations qui précèdent, il convient de conclure que la décision BPD est invalide.
Le droit dit par la Grande Chambre de la Cour de justice
1) L’article 2, paragraphes 1 et 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que relève du champ d’application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État.
2) L’article 46, paragraphe 1, et l’article 46, paragraphe 2, sous c), du règlement 2016/679 doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne par ce règlement, lu à la lumière de la charte des droits fondamentaux de l’Union européenne. À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, dudit règlement.
3) L’article 58, paragraphe 2, sous f) et j), du règlement 2016/679 doit être interprété en ce sens que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission européenne, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union, en particulier par les articles 45 et 46 de ce règlement et par la charte des droits fondamentaux, ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci.
4) L’examen de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016, au regard des articles 7, 8 et 47 de la charte des droits fondamentaux n’a révélé aucun élément de nature à affecter la validité de cette décision.
5) La décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, est invalide.