CJUE, n° C-311/18, Demande (JO) de la Cour, Data Protection Commissioner / Facebook Ireland Limited, 9 mai 2018

CJUE, Demande (JO) 9 mai 2018

CJUE, Conclusions de l'avocat général 19 décembre 2019

CJUE, Arrêt 16 juillet 2020

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Autre
Applicabilité du droit de l'Union
La cour doit examiner si les droits fondamentaux garantis par le droit de l'Union s'appliquent dans ce contexte, en tenant compte des exceptions liées à la sécurité nationale.
Autre
Niveau de protection requis pour les transferts de données
La cour doit évaluer si les règles et pratiques du pays tiers garantissent un niveau de protection adéquat conforme aux exigences de l'UE.
Autre
Conformité des lois américaines avec les droits de l'UE
La cour doit examiner si les limitations imposées par le droit américain respectent les droits fondamentaux des individus, notamment en matière de recours juridictionnel.

Résumé par Doctrine IA

La décision C-311/18 concerne une demande de la High Court d'Irlande sur la légalité des transferts de données personnelles de l'UE vers les États-Unis, en lien avec la protection des droits fondamentaux. Les questions juridiques portent sur l'applicabilité du droit de l'Union européenne aux transferts de données, le niveau de protection requis, et la conformité des pratiques américaines avec les droits garantis par la Charte des droits fondamentaux de l'UE. La juridiction a conclu que les transferts de données, tels que régis par la décision CCT, peuvent violer les droits des individus, notamment en matière de recours juridictionnel, et a soulevé des préoccupations quant à la protection adéquate offerte par les États-Unis.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaires • 215

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

1. Numérique au Parlement fédéral : analyse de quatre interventions

francoischarlet.ch · 14 mai 2026

2. Politique de confidentialité d'un site internet : obligations, sanctions et modèle

simonnetavocat.fr · 22 avril 2026

3. Politique de protection des données à caractère personnel

Cassius.fr · 20 avril 2026

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (215)

Sur la décision

Référence :	CJUE, Cour, 9 mai 2018, C-311/18
Numéro(s) :	C-311/18
Affaire C-311/18: Demande de décision préjudicielle présentée par la High Court (Irlande) le 9 mai 2018 — Data Protection Commissioner / Facebook Ireland Limited, Maximilian Schrems
Date de dépôt :	9 mai 2018
Précédents jurisprudentiels :	High Court ( Irlande ) le 9 mai 2018 — Data Protection Commissioner /
Identifiant CELEX :	62018CN0311
Journal officiel :	JOR 249 du 16 juillet 2018
Télécharger le PDF original fourni par la juridiction

Texte intégral

201806290051986602018/C 249/213112018CJC24920180716FR01FRINFO_JUDICIAL20180509151731

Affaire C-311/18: Demande de décision préjudicielle présentée par la High Court (Irlande) le 9 mai 2018 — Data Protection Commissioner / Facebook Ireland Limited, Maximilian Schrems

C2492018FR1510120180509FR0021151173

Demande de décision préjudicielle présentée par la High Court (Irlande) le 9 mai 2018 — Data Protection Commissioner / Facebook Ireland Limited, Maximilian Schrems

(Affaire C-311/18)

2018/C 249/21Langue de procédure: l’anglais

Juridiction de renvoi

High Court (Irlande)

Parties dans la procédure au principal

Partie requérante: Data Protection Commissioner

Parties défenderesses: Facebook Ireland Limited, Maximilian Schrems

Questions préjudicielles

Lorsque des données à caractère personnel sont transférées, à des fins commerciales, par une société privée d’un État membre de l’Union européenne (UE) à une société privée dans un pays tiers conformément à la décision 2010/87/UE ( 1 ) telle que modifiée par la décision de la Commission 2016/2297 ( 2 ) («la décision CCT») et sont susceptibles d’être ensuite traitées par les autorités du pays tiers à des fins de sécurité nationale mais également de maintien de l’ordre public et de conduite des affaires étrangères du pays tiers, le droit de l’Union [y inclus la charte des droits fondamentaux de l’Union européenne («la Charte»)] est-il applicable au transfert des données, nonobstant les dispositions de l’article 4, paragraphe 2, TUE relatives à la sécurité nationale et les dispositions du premier tiret de l’article 3, paragraphe 2, de la directive 95/46/CE ( 3 ) («la directive») relatives à la sécurité publique, la défense et la sûreté de l’État?

Pour déterminer si le transfert de données, conformément à la décision CCT, de l’UE vers un pays tiers où ces données sont susceptibles d’être ensuite traitées à des fins de sécurité nationale, viole les droits d’un particulier, l’instrument de comparaison pertinent aux fins de la directive est-il:

a)	la Charte, le TUE, le TFUE, la directive, la Convention européenne des droits de l’homme (ou toute autre disposition du droit de l’UE); ou

b)	la législation interne d’un ou de plusieurs États membres?

2)	Si l’instrument de comparaison pertinent est b), les pratiques en matière de sécurité nationale dans un ou plusieurs États membres doivent-elles également être incluses dans l’instrument de comparaison?

Pour évaluer si un pays tiers garantit aux données à caractère personnel qui y sont transférées le niveau de protection requis par le droit de l’Union aux fins de l’article 26 de la directive, convient-il de se référer:

a)	aux règles applicables dans le pays tiers résultant de son droit interne ou de ses engagements internationaux, et à la pratique visant à assurer le respect de ces règles, y compris les règles professionnelles et les mesures de sécurité qui sont observées dans le pays tiers; ou

b)	aux règles mentionnées sous a), auxquelles s’ajoutent les pratiques administratives, réglementaires et de conformité ainsi que les garanties, procédures, protocoles, mécanismes de surveillance et recours extra-judiciaires tels qu’ils existent dans le pays tiers?

4.	Compte tenu des faits établis par la High Court (Haute Cour, Irlande) concernant le droit des États-Unis, le transfert des données à caractère personnel de l’UE vers les États-Unis conformément à la décision CCT viole-t-il les droits des particuliers protégés par les articles 7 ou 8 de la Charte?

Compte tenu des faits établis par la High Court (Haute Cour) concernant le droit des États-Unis, si des données à caractère personnel sont transférées de l’UE vers les États-Unis conformément à la décision CCT:

a)	Le niveau de protection accordé par les États-Unis respecte-t-il le contenu essentiel du droit d’un particulier à un recours juridictionnel pour violation de ses droits à la confidentialité des données garanti par l’article 47 de la Charte? En cas de réponse affirmative à la question sous a):

Les limitations imposées par le droit des États-Unis au droit d’un particulier à un recours juridictionnel sont-elles, dans le contexte de la sécurité nationale des États-Unis, proportionnées au sens de l’article 52 de la Charte et n’excèdent-t-elles pas ce qui est nécessaire à des fins de sécurité nationale dans une société démocratique?

À la lumière des dispositions de la directive et en particulier des articles 25 et 26 lus à la lumière de la Charte, quel est le niveau de protection requis à accorder aux données à caractère personnel transférées dans un pays tiers en vertu de clauses contractuelles types adoptées conformément à une décision de la Commission au titre de l’article 26, paragraphe 4?

2)	Quels sont les aspects à prendre en compte pour évaluer si le niveau de protection accordé aux données transférées dans un pays tiers conformément à la décision CCT satisfait aux exigences de la directive et de la Charte?

Le fait que les clauses contractuelles types s’appliquent entre l’exportateur et l’importateur de données et ne lient pas les autorités nationales d’un pays tiers qui peuvent exiger de l’importateur qu’il mette à la disposition de ses services de sécurité, pour traitement ultérieur, les données à caractère personnel transférées conformément aux clauses prévues dans la décision CCT, exclut-il que ces clauses offrent des garanties suffisantes telles qu’envisagées à l’article 26, paragraphe 2, de la directive?

Si un importateur de données d’un pays tiers est soumis à des règles de surveillance qui, du point de vue d’une autorité en charge de la protection des données, enfreignent les clauses de l’annexe à la décision CCT ou les articles 25 et 26 de la directive ou la Charte, une autorité en charge de la protection des données est-elle tenue de faire usage de ses pouvoirs d’exécution au titre de l’article 28, paragraphe 3, de la directive afin de suspendre les flux de données, ou l’exercice de ces pouvoirs est-il limité aux seuls cas exceptionnels, à la lumière du onzième considérant de la [décision 2010/87/UE], ou bien une autorité en charge de la protection des données peut-elle exercer son pouvoir discrétionnaire pour ne pas suspendre les flux de données?

Aux fins de l’article 25, paragraphe 6, de la directive, la décision 2016/1250 ( 4 ) («la décision bouclier») constitue-t-elle une constatation d’application générale liant les autorités en charge de la protection des données et les juridictions des États membres, selon laquelle les États-Unis assurent un niveau de protection adéquat au sens de l’article 25, paragraphe 2, de la directive en raison de leur droit interne ou de leurs engagements internationaux?

2)	Si tel n’est pas le cas, quelle est la pertinence, le cas échéant, de la décision bouclier pour l’appréciation du caractère suffisant des garanties offertes aux données transférées aux États-Unis conformément à la décision CCT?

10.

Compte tenu des conclusions de la High Court (Haute Cour) en ce qui concerne le droit des États-Unis, la mise en place du médiateur «bouclier de protection des données» conformément à l’annexe A de l’annexe III de la décision bouclier, en combinaison avec le régime existant aux États-Unis, garantit-elle que les États-Unis offrent un recours compatible avec l’article 47 de la Charte aux personnes dont les données à caractère personnel sont transférées aux États-Unis conformément à la décision CCT?

11.	La décision CCT viole-t-elle les articles 7, 8 ou 47 de la Charte?

( 1 ) Décision de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil (JO 2010, L 39, p. 5).

( 2 ) Décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016, modifiant les décisions 2001/497/CE et 2010/87/UE relatives aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers et vers des sous-traitants établis dans ces pays, en vertu de la directive 95/46/CE du Parlement européen et du Conseil (JO 2016, L 344, p. 100).

( 3 ) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

( 4 ) Décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (JO 2016, L 207, p. 1).