CJUE, n° C-311/18, Conclusions de l'avocat général de la Cour, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems, 19 décembre 2019

  • Convention européenne des droits de l'homme·
  • Charte des droits fondamentaux·
  • Rapprochement des législations·
  • Protection des données·
  • Droits fondamentaux·
  • Pays tiers·
  • Autorité de contrôle·
  • Charte·
  • Transfert·
  • Sécurité nationale

Chronologie de l’affaire

Sur la décision

Sur les parties

Texte intégral

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. HENRIK SAUGMANDSGAARD ØE

présentées le 19 décembre 2019 ( 1 )

Affaire C-311/18

Data Protection Commissioner

contre

Facebook Ireland Limited,

Maximillian Schrems,

en présence de

The United States of America,

Electronic Privacy Information Centre,

BSA Business Software Alliance, Inc.,

Digitaleurope

[demande de décision préjudicielle formée par la High Court (Haute Cour, Irlande)]

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 2, paragraphe 2 – Champ d’application – Transfert de données à caractère personnel à des fins commerciales vers les États-Unis d’Amérique – Traitement par les autorités publiques des États-Unis d’Amérique, à des fins de sécurité nationale, des données transférées – Article 45 – Appréciation du caractère adéquat du niveau de protection assuré dans un pays tiers – Article 46 – Garanties appropriées offertes par le responsable du traitement – Clauses types de protection – Article 58, paragraphe 2 – Pouvoirs des autorités de contrôle – Décision 2010/87/UE – Validité – Décision d’exécution (UE) 2016/1250 – “Bouclier de protection des données UE-États-Unis” – Validité – Articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne »

Table des matières

I. Introduction

II. Le cadre juridique

A. La directive 95/46/CE

B. Le RGPD

C. La décision 2010/87

D. La décision « bouclier de protection des données »

III. Le litige au principal, les questions préjudicielles et la procédure devant la Cour

IV. Analyse

A. Considérations liminaires

B. Sur la recevabilité du renvoi préjudiciel

1. Sur l’applicabilité ratione temporis de la directive 95/46

2. Sur le caractère provisoire des doutes exprimés par le DPC

3. Sur les incertitudes entourant la définition du cadre factuel

C. Sur l’applicabilité du droit de l’Union aux transferts à des fins commerciales de données à caractère personnel vers un État tiers susceptible de les traiter à des fins de sécurité nationale (première question)

D. Sur le niveau de protection requis dans le cadre d’un transfert fondé sur des clauses contractuelles types (première partie de la sixième question)

E. Sur la validité de la décision 2010/87 au regard des articles 7, 8 et 47 de la Charte (septième, huitième et onzième questions)

1. Sur les obligations incombant aux responsables du traitement

2. Sur les obligations incombant aux autorités de contrôle

F. Sur l’absence de nécessité de répondre aux autres questions préjudicielles et d’examiner la validité de la décision « bouclier de protection des données »

1. Sur l’absence de nécessité des réponses de la Cour au regard de l’objet du litige au principal

2. Sur les raisons plaidant en défaveur d’un examen par la Cour au regard de l’objet de la procédure pendante devant le DPC

G. Observations subsidiaires relatives aux effets et à la validité de la décision « bouclier de protection des données »

1. Sur l’incidence de la décision « bouclier de protection des données » dans le cadre du traitement par une autorité de contrôle d’une plainte relative à la légalité d’un transfert fondé sur des garanties contractuelles

2. Sur la validité de la décision « bouclier de protection des données »

a) Précisions concernant la teneur de l’examen de validité d’une décision d’adéquation

1) Sur les termes de la comparaison permettant d’évaluer l’« équivalence substantielle » du niveau de protection

2) Sur la nécessité d’assurer un niveau adéquat de protection au cours de la phase de transit des données

3) Sur la prise en considération des constatations factuelles opérées par la Commission et par la juridiction de renvoi concernant le droit des États-Unis

4) Sur la portée du standard de l’« équivalence substantielle »

b) Sur la validité de la décision « bouclier de protection des données » au regard des droits au respect de la vie privée et à la protection des données à caractère personnel

1) Sur l’existence d’ingérences

2) Sur le caractère « prévu par la loi » des ingérences

3) Sur l’absence d’atteinte au contenu essentiel des droits fondamentaux

4) Sur la poursuite d’un objectif légitime

5) Sur le caractère nécessaire et proportionné des ingérences

c) Sur la validité de la décision « bouclier de protection des données » au regard du droit à un recours effectif

1) Sur l’effectivité des recours judiciaires prévus par le droit des États-Unis

2) Sur l’incidence du mécanisme de médiation sur le niveau de protection du droit au recours effectif

V. Conclusion

I. Introduction

1.

À défaut de garanties communes en matière de protection des données à caractère personnel au niveau mondial, les flux transfrontières de telles données s’accompagnent d’un risque de rupture dans la continuité du niveau de protection assuré au sein de l’Union européenne. Soucieux de faciliter ces flux tout en limitant ce risque, le législateur de l’Union a institué trois mécanismes en vertu desquels des données à caractère personnel peuvent être transférées depuis l’Union vers un État tiers.

2.

En premier lieu, un tel transfert peut être opéré sur le fondement d’une décision par laquelle la Commission européenne constate que l’État tiers en cause assure un « niveau de protection adéquat » des données qui y sont transférées ( 2 ). En deuxième lieu, en l’absence d’une telle décision, le transfert est autorisé lorsqu’il est entouré de « garanties appropriées » ( 3 ). Ces garanties peuvent prendre la forme d’un contrat entre l’exportateur et l’importateur des données intégrant des clauses types de protection adoptées par la Commission. Le RGPD prévoit, en troisième lieu, certaines dérogations, fondées notamment sur le consentement de la personne concernée, permettant le transfert vers un pays tiers même à défaut d’une décision d’adéquation ou de garanties appropriées ( 4 ).

3.

La demande de décision préjudicielle formée par la High Court (Haute Cour, Irlande) concerne le deuxième de ces mécanismes. Elle porte, plus précisément, sur la validité de la décision 2010/87/UE ( 5 ), par laquelle la Commission a établi des clauses contractuelles types pour certaines catégories de transferts, au regard des articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).

4.

Cette demande a été présentée dans le cadre d’un litige opposant le Data Protection Commissioner (commissaire à la protection des données, Irlande, ci-après le « DPC ») à Facebook Ireland Ltd et à M. Maximillian Schrems. Ce dernier a introduit auprès du DPC une plainte relative au transfert de données à caractère personnel le concernant par Facebook Ireland à Facebook Inc., sa société mère établie aux États-Unis d’Amérique (ci-après les « États-Unis »). Le DPC considère que le traitement de cette plainte dépend du point de savoir si la décision 2010/87 est valide. Dans ce contexte, il a saisi la juridiction de renvoi en lui demandant d’interroger la Cour à ce sujet.

5.

J’indique d’emblée que l’examen des questions préjudicielles n’a, à mes yeux, révélé aucun élément de nature à affecter la validité de la décision 2010/87.

6.

Par ailleurs, la juridiction de renvoi a mis en lumière certains doutes concernant, en substance, le caractère adéquat du niveau de protection assuré par les États-Unis au regard des ingérences que les activités des autorités de renseignement américaines apportent dans l’exercice des droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers. Ces doutes remettent indirectement en cause les appréciations effectuées par la Commission à ce sujet dans la décision d’exécution (UE) 2016/1250 ( 6 ). Bien que la résolution du litige au principal ne nécessite pas que la Cour tranche cette question et que je lui suggère dès lors de s’en abstenir, j’exposerai à titre subsidiaire les raisons qui m’amènent à m’interroger sur la validité de cette décision.

7.

L’ensemble de mon analyse sera guidé par la recherche d’un équilibre entre, d’une part, la nécessité de faire preuve d’un « degré de pragmatisme raisonnable afin de permettre une interaction avec le reste du monde » ( 7 ), et, d’autre part, celle d’affirmer les valeurs fondamentales reconnues dans les ordres juridiques de l’Union et de ses États membres, en particulier par la Charte.

II. Le cadre juridique

A. La directive 95/46/CE

8.

L’article 3, paragraphe 2, de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ( 8 ) disposait :

« La présente directive ne s’applique pas au traitement de données à caractère personnel :

mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,

[…] »

9.

L’article 13, paragraphe 1, de cette directive était ainsi libellé :

« Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l’article 6, paragraphe 1, à l’article 10, à l’article 11, paragraphe 1 et aux articles 12 et 21, lorsqu’une telle limitation constitue une mesure nécessaire pour sauvegarder :

a)

la sûreté de l’État ;

b)

la défense ;

c)

la sécurité publique ;

d)

la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées ;

e)

un intérêt économique ou financier important d’un État membre ou de l’[Union], y compris dans les domaines monétaire, budgétaire et fiscal ;

f)

une mission de contrôle, d’inspection ou de réglementation relevant, même à titre occasionnel, de l’exercice de l’autorité publique, dans les cas visés aux points c), d) et e) ;

g)

la protection de la personne concernée ou des droits et libertés d’autrui. »

10.

L’article 25 de ladite directive énonçait :

« 1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.

2. Le caractère adéquat du niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données ; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.

[…]

6. La Commission peut constater, conformément à la procédure prévue à l’article 31, paragraphe 2, qu’un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.

Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission. »

11.

L’article 26, paragraphes 2 et 4, de la même directive prévoyait :

« 2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25, paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

[…]

4. Lorsque la Commission décide […] que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission. »

12.

L’article 28, paragraphe 3, de la directive 95/46 était formulé comme suit :

« Chaque autorité de contrôle dispose notamment :

[…]

de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en œuvre des traitements, conformément à l’article 20, et d’assurer une publication appropriée de ces avis ou celui d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement, ou celui d’adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d’autres institutions politiques,

[…] »

B. Le RGPD

13.

En vertu de son article 94, paragraphe 1, le RGPD a abrogé la directive 95/46 avec effet au 25 mai 2018, date à laquelle ce règlement a commencé à s’appliquer conformément à son article 99, paragraphe 2.

14.

L’article 2, paragraphe 2, dudit règlement dispose :

« Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

a)

dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;

b)

par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité [UE] ;

[…]

d)

par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces. »

15.

L’article 4, point 2, du même règlement définit le « traitement » comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

16.

L’article 23 du RGPD prévoit :

« 1. Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir :

a)

la sécurité nationale ;

b)

la défense nationale ;

c)

la sécurité publique ;

d)

la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;

e)

d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre […] ;

[…]

2. En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant :

a)

aux finalités du traitement ou des catégories de traitement ;

b)

aux catégories de données à caractère personnel ;

c)

à l’étendue des limitations introduites ;

d)

aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites ;

e)

à la détermination du responsable du traitement ou des catégories de responsables du traitement ;

f)

aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement ;

g)

aux risques pour les droits et libertés des personnes concernées ; et

h)

au droit des personnes concernées d’être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation. »

17.

L’article 44 de ce règlement, intitulé « Principe général applicable aux transferts », énonce :

« Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis. »

18.

Conformément à l’article 45 dudit règlement, intitulé « Transferts fondés sur une décision d’adéquation » :

« 1. Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique.

2. Lorsqu’elle évalue le caractère adéquat du niveau de protection, la Commission tient compte, en particulier, des éléments suivants :

a)

l’état de droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès des autorités publiques aux données à caractère personnel, de même que la mise en œuvre de ladite législation, les règles en matière de protection des données, les règles professionnelles et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une autre organisation internationale qui sont respectées dans le pays tiers ou par l’organisation internationale en question, la jurisprudence, ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées ;

b)

l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, ou auxquelles une organisation internationale est soumise, chargées d’assurer le respect des règles en matière de protection des données et de les faire appliquer, y compris par des pouvoirs appropriés d’application desdites règles, d’assister et de conseiller les personnes concernées dans l’exercice de leurs droits et de coopérer avec les autorités de contrôle des États membres ; et

c)

les engagements internationaux pris par le pays tiers ou l’organisation internationale en question, ou d’autres obligations découlant de conventions ou d’instruments juridiquement contraignants ainsi que de sa participation à des systèmes multilatéraux ou régionaux, en particulier en ce qui concerne la protection des données à caractère personnel.

3. La Commission, après avoir évalué le caractère adéquat du niveau de protection, peut décider, par voie d’actes d’exécution, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2 du présent article. L’acte d’exécution prévoit un mécanisme d’examen périodique, au moins tous les quatre ans, qui prend en compte toutes les évolutions pertinentes dans le pays tiers ou au sein de l’organisation internationale. […]

4. La Commission suit, de manière permanente, les évolutions dans les pays tiers et au sein des organisations internationales qui pourraient porter atteinte au fonctionnement des décisions adoptées en vertu du paragraphe 3 du présent article et des décisions adoptées sur la base de l’article 25, paragraphe 6, de la [directive 95/46].

5. Lorsque les informations disponibles révèlent, en particulier à l’issue de l’examen visé au paragraphe 3 du présent article, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale n’assure plus un niveau de protection adéquat au sens du paragraphe 2 du présent article, la Commission si nécessaire, abroge, modifie ou suspend la décision visée au paragraphe 3 du présent article par voie d’actes d’exécution sans effet rétroactif. […]

6. La Commission engage des consultations avec le pays tiers ou l’organisation internationale en vue de remédier à la situation donnant lieu à la décision adoptée en vertu du paragraphe 5.

[…]

9. Les décisions adoptées par la Commission sur la base de l’article 25, paragraphe 6, de la [directive 95/46] demeurent en vigueur jusqu’à leur modification, leur remplacement ou leur abrogation par une décision de la Commission adoptée conformément au paragraphe 3 ou 5 du présent article. »

19.

L’article 46 du même règlement, intitulé « Transferts moyennant des garanties appropriées », est formulé comme suit :

« 1. En l’absence de décision en vertu de l’article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

2. Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle, par :

[…]

c)

des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2 ;

[…]

5. Les autorisations accordées par un État membre ou une autorité de contrôle sur le fondement de l’article 26, paragraphe 2, de la [directive 95/46] demeurent valables jusqu’à leur modification, leur remplacement ou leur abrogation, si nécessaire, par ladite autorité de contrôle. Les décisions adoptées par la Commission sur le fondement de l’article 26, paragraphe 4, de la [directive 95/46] demeurent en vigueur jusqu’à leur modification, leur remplacement ou leur abrogation, si nécessaire, par une décision de la Commission adoptée conformément au paragraphe 2 du présent article. »

20.

Aux termes de l’article 58, paragraphes 2, 4 et 5, du RGPD :

« 2. Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes :

a)

avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement ;

b)

rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement ;

c)

ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application du présent règlement ;

d)

ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé ;

e)

ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel ;

f)

imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement ;

[…]

i)

imposer une amende administrative en application de l’article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas ;

j)

ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale.

[…]

4. L’exercice des pouvoirs conférés à l’autorité de contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l’Union et le droit des États membres conformément à la Charte.

5. Chaque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation du présent règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice d’une manière ou d’une autre, en vue de faire appliquer les dispositions du présent règlement. »

C. La décision 2010/87

21.

L’article 26, paragraphe 4, de la directive 95/46 a donné lieu à l’adoption par la Commission de trois décisions par lesquelles elle a constaté que les clauses contractuelles types y énoncées offrent des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants (ci-après les « décisions CCT ») ( 9 ).

22.

Parmi celles-ci figure la décision 2010/87, dont l’article 1er dispose que « [l]es clauses contractuelles types figurant en annexe sont considérées comme offrant des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants comme l’exige l’article 26, paragraphe 2, de la [directive 95/46] ».

23.

En vertu de l’article 3 de cette décision :

« Aux fins de la présente décision, on entend par:

[…]

c)

“exportateur de données” : le responsable du traitement qui transfère les données à caractère personnel ;

d)

“importateur de données” : le sous-traitant établi dans un pays tiers qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées pour le compte de ce dernier après le transfert conformément à ses instructions et aux conditions de la présente décision et qui n’est pas soumis au mécanisme d’un pays tiers assurant une protection adéquate au sens de l’article 25, paragraphe 1, de la [directive 95/46] ;

[…]

f)

“droit applicable à la protection des données” : la législation protégeant les libertés et les droits fondamentaux des personnes, notamment le droit à la vie privée à l’égard du traitement des données à caractère personnel, et s’appliquant à un responsable du traitement dans l’État membre où l’exportateur de données est établi ;

[…] »

24.

Dans sa version initiale, l’article 4 de ladite décision prévoyait, à son paragraphe 1 :

« Sans préjudice de leurs pouvoirs de prendre des mesures visant à assurer le respect des dispositions nationales adoptées conformément aux chapitres II, III, V et VI de la [directive 95/46], les autorités compétentes des États membres peuvent exercer les pouvoirs dont elles disposent pour interdire ou suspendre les flux de données vers des pays tiers afin de protéger les individus à l’égard du traitement de leurs données à caractère personnel, et ce dans les cas où :

a)

il est établi que le droit auquel l’importateur de données ou un sous-traitant ultérieur est soumis oblige ce dernier à déroger au droit applicable à la protection des données au-delà des limitations nécessaires dans une société démocratique pour l’une des raisons énoncées à l’article 13 de la [directive 95/46] lorsque cette obligation risque d’avoir des conséquences négatives importantes pour les garanties offertes par le droit applicable à la protection des données et les clauses contractuelles types ;

b)

une autorité compétente a établi que l’importateur de données ou un sous-traitant ultérieur n’a pas respecté les clauses contractuelles types figurant en annexe ; ou

c)

il est fort probable que les clauses contractuelles types figurant en annexe ne sont pas ou ne seront pas respectées et que la poursuite du transfert ferait courir aux personnes concernées un risque imminent de subir des dommages graves. »

25.

Dans sa version actuelle, telle qu’elle résulte de la modification de la décision 2010/87 par la décision d’exécution (UE) 2016/2297 ( 10 ), l’article 4 de la décision 2010/87 énonce que « [l]orsque les autorités compétentes d’un État membre exercent leurs pouvoirs conformément à l’article 28, paragraphe 3, de la [directive 95/46] pour suspendre ou interdire définitivement les flux de données vers des pays tiers afin de protéger les individus à l’égard du traitement de leurs données à caractère personnel, l’État membre concerné en informe sans délai la Commission, qui transmet l’information aux autres États membres ».

26.

L’annexe à la décision 2010/87 contient un ensemble de clauses contractuelles types. En particulier, la clause 3 figurant à cette annexe, intitulée « Clause du tiers bénéficiaire », prévoit :

« 1. La personne concernée peut faire appliquer contre l’exportateur de données la présente clause, ainsi que la clause 4, points b) à i), la clause 5, points a) à e) et points g) à j), la clause 6, paragraphes 1 et 2, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.

2. La personne concernée peut faire appliquer contre l’importateur de données la présente clause, ainsi que la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 dans les cas où l’exportateur de données a matériellement disparu ou a cessé d’exister en droit, à moins que l’ensemble de ses obligations juridiques n’ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, à laquelle reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites clauses.

[…] »

27.

La clause 4 énoncée à ladite annexe, intitulée « Obligations de l’exportateur de données », dispose :

« L’exportateur de données accepte et garantit ce qui suit :

a)

le traitement, y compris le transfert proprement dit des données à caractère personnel, a été et continuera d’être effectué conformément aux dispositions pertinentes du droit applicable à la protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre dans lequel l’exportateur de données est établi) et n’enfreint pas les dispositions pertinentes dudit État ;

b)

il a chargé, et chargera pendant toute la durée des services de traitement de données à caractère personnel, l’importateur de données de traiter les données à caractère personnel transférées pour le compte exclusif de l’exportateur de données et conformément au droit applicable à la protection des données et aux présentes clauses ;

c)

l’importateur de données offrira suffisamment de garanties en ce qui concerne les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 du présent contrat ;

d)

après l’évaluation des exigences du droit applicable à la protection des données, les mesures de sécurité sont adéquates pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement et elles assurent un niveau de sécurité adapté aux risques liés au traitement et à la nature des données à protéger, eu égard au niveau technologique et au coût de mise en œuvre ;

e)

il veillera au respect des mesures de sécurité ;

f)

si le transfert porte sur des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers n’offrant pas un niveau de protection adéquat au sens de la [directive 95/46] ;

g)

il transmettra toute notification reçue de l’importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5, point b), et à la clause 8, paragraphe 3), à l’autorité de contrôle de la protection des données s’il décide de poursuivre le transfert ou de lever sa suspension ;

h)

il mettra à la disposition des personnes concernées, si elles le demandent, une copie des présentes clauses, à l’exception de l’appendice 2, et une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de sous-traitance ultérieure ayant été conclu conformément aux présentes clauses, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations ;

i)

en cas de sous-traitance ultérieure, l’activité de traitement est effectuée conformément à la clause 11 par un sous-traitant ultérieur offrant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l’importateur de données conformément aux présentes clauses ; et

j)

il veillera au respect de la clause 4, points a) à i). »

28.

La clause 5 prévue dans la même annexe, intitulée « Obligations de l’importateur de données (1) », énonce :

« L’importateur de données accepte et garantit ce qui suit :

a)

il traitera les données à caractère personnel pour le compte exclusif de l’exportateur de données et conformément aux instructions de ce dernier et aux présentes clauses ; s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, il accepte d’informer dans les meilleurs délais l’exportateur de données de son incapacité, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat ;

b)

il n’a aucune raison de croire que la législation le concernant l’empêche de remplir les instructions données par l’exportateur de données et les obligations qui lui incombent conformément au contrat, et si ladite législation fait l’objet d’une modification susceptible d’avoir des conséquences négatives importantes pour les garanties et les obligations offertes par les clauses, il communiquera la modification à l’exportateur de données sans retard après en avoir eu connaissance, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat ;

c)

il a mis en œuvre les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 avant de traiter les données à caractère personnel transférées ;

d)

il communiquera sans retard à l’exportateur de données :

i)

toute demande contraignante de divulgation des données à caractère personnel émanant d’une autorité de maintien de l’ordre, sauf disposition contraire, telle qu’une interdiction de caractère pénal visant à préserver le secret d’une enquête policière ;

ii)

tout accès fortuit ou non autorisé ; et

iii)

toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu’il n’ait été autorisé à le faire ;

e)

il traitera rapidement et comme il se doit toutes les demandes de renseignements émanant de l’exportateur de données relatives à son traitement des données à caractère personnel qui font l’objet du transfert et se rangera à l’avis de l’autorité de contrôle en ce qui concerne le traitement des données transférées ;

f)

à la demande de l’exportateur de données, il soumettra ses moyens de traitement de données à une vérification des activités de traitement couvertes par les présentes clauses qui sera effectuée par l’exportateur de données ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, soumis à une obligation de secret et choisis par l’exportateur de données, le cas échéant, avec l’accord de l’autorité de contrôle ;

[…] »

29.

Aux termes de la note en bas de page 1, à laquelle fait appel le titre de la clause 5 figurant à l’annexe de la décision 2010/87 :

« Les exigences impératives de la législation nationale le concernant et qui ne vont pas au-delà de celles qui sont nécessaires dans une société démocratique pour l’un des intérêts énoncés à l’article 13, paragraphe 1, de la directive [95/46], c’est-à-dire si elles constituent une mesure nécessaire pour sauvegarder la sûreté de l’État ; la défense ; la sécurité publique ; la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas de professions réglementées ; un intérêt économique ou financier important d’un État ou la protection de la personne concernée ou des droits et libertés d’autrui, ne vont pas à l’encontre des clauses contractuelles types. Parmi les exemples de ces exigences impératives qui ne vont pas au-delà de celles qui sont nécessaires dans une société démocratique figurent, notamment, les sanctions reconnues sur le plan international, les obligations de déclaration fiscale et les obligations de déclaration de lutte contre le blanchiment des capitaux. »

30.

La clause 6 contenue dans cette annexe, intitulée « Responsabilité », est libellée comme suit :

« 1. Les parties conviennent que toute personne concernée ayant subi un dommage du fait d’un manquement aux obligations visées à la clause 3 ou à la clause 11 par une des parties ou par un sous-traitant ultérieur a le droit d’obtenir de l’exportateur de données réparation du préjudice subi.

2. Si une personne concernée est empêchée d’intenter l’action en réparation visée au paragraphe 1 contre l’exportateur de données pour manquement par l’importateur de données ou par son sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’importateur de données accepte que la personne concernée puisse déposer une plainte à son encontre comme s’il était l’exportateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données n’ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, contre laquelle la personne concernée peut alors faire valoir ses droits.

[…] »

31.

La clause 7 énoncée à ladite annexe, intitulée « Médiation et juridiction », dispose :

« 1. L’importateur de données convient que si, en vertu des clauses, la personne concernée invoque à son encontre le droit du tiers bénéficiaire et/ou demande réparation du préjudice subi, il acceptera la décision de la personne concernée :

a)

de soumettre le litige à la médiation d’une personne indépendante ou, le cas échéant, de l’autorité de contrôle ;

b)

de porter le litige devant les tribunaux de l’État membre où l’exportateur de données est établi.

2. Les parties conviennent que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural ou matériel de cette dernière d’obtenir réparation conformément à d’autres dispositions du droit national ou international. »

32.

La clause 9 figurant dans la même annexe, intitulée « Droit applicable », prévoit que les clauses contractuelles types sont régies par le droit de l’État membre où l’exportateur de données est établi.

D. La décision « bouclier de protection des données »

33.

L’article 25, paragraphe 6, de la directive 95/46 a servi de fondement à l’adoption par la Commission de deux décisions successives par lesquelles elle a constaté que les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées vers des entreprises établies aux États-Unis qui ont déclaré adhérer, au moyen d’une procédure d’autocertification, aux principes énoncés dans ces décisions.

34.

Dans un premier temps, la Commission a adopté la décision 2000/520/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des [États-Unis] ( 11 ). Dans l’arrêt du 6 octobre 2015, Schrems ( 12 ) , la Cour a déclaré cette décision invalide.

35.

À la suite de cet arrêt, la Commission a, dans un second temps, adopté la décision « bouclier de protection des données ».

36.

L’article 1er de cette décision dispose :

« 1. Aux fins de l’article 25, paragraphe 2, de la [directive 95/46], les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données UE-États-Unis.

2. Le bouclier de protection des données UE-États-Unis se compose des principes publiés par le ministère américain du commerce le 7 juillet 2016, qui figurent à l’annexe II, et des observations et engagements officiels contenus dans les documents énumérés à l’annexe I et aux annexes III à VII.

3. Aux fins du paragraphe 1, les données à caractère personnel sont transférées dans le cadre du bouclier de protection des données UE-États-Unis dès lors qu’elles sont transférées depuis l’Union vers des organisations établies aux États-Unis qui figurent sur la liste des organisations adhérant au bouclier de protection des données, tenue à jour et publiée par le ministère américain du commerce, conformément aux sections I et III des principes énoncés à l’annexe II. »

37.

L’annexe III A de cette décision, intitulée « Mécanisme de médiation du bouclier de protection des données UE–États-Unis concernant le renseignement d’origine électromagnétique », jointe à une lettre de M. John Kerry, alors Secretary of State (secrétaire d’État, États-Unis), datée du 7 juillet 2016, contient un mémorandum décrivant une nouvelle procédure de médiation auprès d’un « coordinateur principal de la diplomatie internationale en matière de technologie de l’information » (ci-après le « médiateur ») désigné par le secrétaire d’État.

38.

Aux termes de ce mémorandum, cette procédure a été mise en place « afin de faciliter le traitement des demandes et la formulation des réponses aux demandes concernant l’accès pour raison de sécurité nationale aux données transmises depuis l’[Union] vers les États-Unis au titre du bouclier de protection des données, de clauses contractuelles types, de règles d’entreprise contraignantes, de “dérogations” ou d’“éventuelles futures dérogations” par les voies établies conformément à la législation et à la politique américaines en vigueur ».

III. Le litige au principal, les questions préjudicielles et la procédure devant la Cour

39.

M. Schrems, ressortissant autrichien résidant en Autriche, est un utilisateur du réseau social Facebook. Tous les utilisateurs de ce réseau social résidant sur le territoire de l’Union sont tenus de conclure, lors de leur inscription, un contrat avec Facebook Ireland, filiale de Facebook Inc., elle-même établie aux États-Unis. Les données à caractère personnel de ces utilisateurs sont, en tout ou en partie, transférées vers des serveurs appartenant à Facebook Inc., situés sur le territoire des États-Unis, où elles font l’objet de traitements.

40.

Le 25 juin 2013, M. Schrems a saisi le DPC d’une plainte par laquelle il lui demandait, en substance, d’interdire à Facebook Ireland de transférer les données à caractère personnel le concernant vers les États-Unis. Il y faisait valoir que le droit et les pratiques en vigueur dans ce pays tiers ne garantissaient pas une protection suffisante des données à caractère personnel conservées sur son territoire contre les intrusions découlant des activités de surveillance pratiquées par les autorités publiques. M. Schrems se référait, à cet égard, aux révélations faites par M. Edward Snowden concernant les activités des services de renseignement des États-Unis, notamment celles de la National Security Agency (NSA) (Agence de sécurité nationale, États-Unis).

41.

Cette plainte a été rejetée au motif, notamment, que toute question relative au caractère adéquat de la protection assurée aux États-Unis devait être tranchée en conformité avec la décision « sphère de sécurité ». Dans cette décision, la Commission avait constaté que ce pays tiers offrait un niveau adéquat de protection des données à caractère personnel transférées vers des entreprises situées sur son territoire adhérant aux principes énoncés dans ladite décision.

42.

M. Schrems a introduit un recours contre la décision de rejet de sa plainte devant la High Court (Haute Cour). Cette juridiction a estimé que, bien que M. Schrems n’ait pas formellement mis en cause la validité de la décision « sphère de sécurité », sa plainte dénonçait, en réalité, la légalité du régime institué par cette décision. Dans ces conditions, ladite juridiction a déféré à la Cour des questions visant, en substance, à savoir si les autorités des États membres en charge de la protection des données (ci-après les « autorités de contrôle »), lorsqu’elles sont saisies d’une plainte relative à la protection des droits et libertés d’une personne à l’égard du traitement de données à caractère personnel la concernant qui ont été transférées vers un État tiers, sont liées par les constatations relatives à l’adéquation du niveau de protection offert par cet État tiers opérées par la Commission au titre de l’article 25, paragraphe 6, de la directive 95/46, alors même que le plaignant conteste ces constatations.

43.

Après avoir jugé, aux points 51 et 52 de l’arrêt Schrems, qu’une décision d’adéquation lie les autorités de contrôle aussi longtemps qu’elle n’a pas été déclarée invalide, la Cour a énoncé ce qui suit aux points 63 et 65 de cet arrêt :

« 63. […] [L]orsqu’une personne, dont les données à caractère personnel ont été ou pourraient être transférées vers un pays tiers ayant fait l’objet d’une décision de la Commission au titre de l’article 25, paragraphe 6, de la directive 95/46, saisit une autorité nationale de contrôle d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de ces données et conteste, à l’occasion de cette demande […], la compatibilité de cette décision avec la protection de la vie privée et des libertés et droits fondamentaux des personnes, il incombe à cette autorité d’examiner ladite demande avec toute la diligence requise.

[…]

65. Dans l’hypothèse […] où ladite autorité estime fondés les griefs avancés par [cette personne], cette même autorité doit, conformément à l’article 28, paragraphe 3, premier alinéa, troisième tiret, de la directive 95/46, lu à la lumière notamment de l’article 8, paragraphe 3, de la Charte, pouvoir ester en justice. À cet égard, il incombe au législateur national de prévoir des voies de recours permettant à l’autorité nationale de contrôle concernée de faire valoir les griefs qu’elle estime fondés devant les juridictions nationales afin que ces dernières procèdent, si elles partagent les doutes de cette autorité quant à la validité de la décision de la Commission, à un renvoi préjudiciel aux fins de l’examen de la validité de cette décision. »

44.

La Cour a également examiné, dans ledit arrêt, la validité de la décision « sphère de sécurité » au regard des exigences découlant de la directive 95/46, lue à la lumière de la Charte. Au terme de cet examen, elle a déclaré cette décision invalide ( 13 ).

45.

À la suite de l’arrêt Schrems, la juridiction de renvoi a annulé la décision par laquelle le DPC avait rejeté la plainte de M. Schrems et a renvoyé celle-ci au DPC pour examen. Ce dernier a ouvert une enquête et a invité M. Schrems à reformuler sa plainte compte tenu de l’invalidation de la décision « sphère de sécurité ».

46.

À cette fin, M. Schrems a demandé à Facebook Ireland d’identifier les fondements juridiques sur lesquels reposent les transferts des données à caractère personnel des utilisateurs du réseau social Facebook depuis l’Union vers les États-Unis. Facebook Ireland, sans identifier toutes les bases juridiques sur lesquelles elle s’appuie, a fait référence à un accord de transfert et de traitement de données (data transfer processing agreement) conclu entre elle-même et Facebook Inc., applicable depuis le 20 novembre 2015, et a invoqué la décision 2010/87.

47.

Dans sa plainte reformulée, M. Schrems fait valoir, d’une part, que les clauses contenues dans cet accord ne sont pas conformes aux clauses contractuelles types figurant à l’annexe de la décision 2010/87. D’autre part, M. Schrems allègue que ces clauses contractuelles types ne pourraient, en tout état de cause, pas fonder le transfert des données à caractère personnel le concernant vers les États-Unis. Il en irait ainsi dès lors que le droit américain impose à Facebook Inc. de mettre les données à caractère personnel des utilisateurs à la disposition d’autorités américaines, telles que la NSA et le Federal Bureau of Investigation (FBI) (Bureau fédéral d’enquêtes, États-Unis), dans le cadre de programmes de surveillance qui entraveraient l’exercice des droits garantis aux articles 7, 8 et 47 de la Charte. M. Schrems allègue qu’aucune voie de recours ne permet aux personnes concernées de faire valoir leurs droits au respect de la vie privée et à la protection des données à caractère personnel. Dans ces conditions, M. Schrems demande au DPC de suspendre ce transfert en application de l’article 4 de la décision 2010/87.

48.

Facebook Ireland a reconnu, dans le cadre de l’enquête du DPC, qu’elle continue de transférer les données à caractère personnel des utilisateurs du réseau social Facebook résidant dans l’Union vers les États-Unis et qu’elle se fonde, à cet effet, en grande partie sur les clauses contractuelles types figurant à l’annexe de la décision 2010/87.

49.

L’enquête du DPC visait à déterminer, d’une part, si les États-Unis assurent une protection adéquate des données à caractère personnel des citoyens de l’Union et, d’autre part, dans la négative, si les décisions CCT présentent des garanties suffisantes en ce qui concerne la protection des libertés et droits fondamentaux de ces derniers.

50.

À cet égard, dans un projet de décision (draft decision), le DPC a considéré à titre provisoire que le droit américain n’offre pas de voies de recours effectives au sens de l’article 47 de la Charte aux citoyens de l’Union dont les données sont transférées aux États-Unis, où elles risquent d’être traitées par les agences américaines à des fins de sécurité nationale d’une manière incompatible avec les articles 7 et 8 de la Charte. Les garanties prévues par les clauses figurant en annexe des décisions CCT ne remédieraient pas à cette lacune, dès lors qu’elles ne lient pas les autorités ou agences des États-Unis et qu’elles ne confèrent aux personnes concernées que des droits contractuels contre l’exportateur et/ou l’importateur des données.

51.

Dans ces conditions, le DPC a estimé qu’il ne pouvait pas statuer sur la plainte de M. Schrems sans que la Cour n’examine la validité des décisions CCT. Conformément à ce que prévoit le point 65 de l’arrêt Schrems, le DPC a, dès lors, engagé une procédure devant la juridiction de renvoi visant à ce que cette dernière, si elle partage les doutes du DPC, saisisse la Cour d’un renvoi préjudiciel sur la validité de ces décisions.

52.

Le gouvernement des États-Unis, l’Electronic Privacy Information Centre (EPIC), la Business Software Alliance (BSA) et Digitaleurope ont été autorisés à intervenir devant la juridiction de renvoi.

53.

En vue de déterminer si elle partage les doutes émis par le DPC sur la validité des décisions CCT, la High Court (Haute Cour) a reçu les preuves produites par les parties au litige et entendu les arguments présentés par ces dernières ainsi que par les intervenants. En particulier, les dispositions du droit des États-Unis ont fait l’objet de la présentation de preuves par des experts. En droit irlandais, le droit étranger est considéré comme un point de fait devant être établi par la preuve de la même manière que tout autre fait. Sur la base de ces preuves, la juridiction de renvoi a apprécié les dispositions du droit des États-Unis qui autorisent la surveillance par les autorités et agences gouvernementales, le fonctionnement de deux programmes de surveillance publiquement reconnus (« PRISM » et « Upstream »), les divers recours ouverts aux particuliers dont les droits ont été violés par des mesures de surveillance, ainsi que les garanties systémiques et les mécanismes de contrôle. Cette juridiction a consigné les résultats de cette appréciation dans un jugement du 3 octobre 2017, annexé à son ordonnance de renvoi [ci-après le « jugement de la High Court (Haute Cour) du 3 octobre 2017 »].

54.

Dans ce jugement, la juridiction de renvoi a fait référence, parmi les fondements juridiques autorisant l’interception de communications étrangères par les services de renseignement américains, à l’article 702 du Foreign Intelligence Surveillance Act (FISA) (loi sur la surveillance en matière de renseignement extérieur) et à l’Executive Order 12333 (décret présidentiel no 12333, ci-après l’« EO 12333 »).

55.

Selon les constatations opérées dans ledit jugement, l’article 702 du FISA permet à l’Attorney General (procureur général, États-Unis) et au Director of National Intelligence (DNI) (directeur du renseignement national, États-Unis) d’autoriser conjointement, pour une durée d’un an, aux fins de se procurer des informations en matière de renseignement extérieur, la surveillance de personnes qui ne sont pas des citoyens américains et qui ne résident pas de manière permanente aux États-Unis (dites « personnes non américaines ») lorsqu’il est raisonnable de penser qu’elles se trouvent en dehors du territoire des États-Unis ( 14 ). Aux termes du FISA, la notion de « renseignement extérieur » désigne les informations relatives à la capacité du gouvernement de se prémunir des attaques étrangères, au terrorisme, à la prolifération des armes de destruction massive ainsi qu’à la conduite des affaires étrangères des États-Unis ( 15 ).

56.

Ces autorisations annuelles, de même que les procédures régissant le ciblage des personnes à surveiller et le traitement (« minimisation ») des informations recueillies ( 16 ), doivent être approuvées par le Foreign Intelligence Surveillance Court (FISC) (tribunal de la surveillance du renseignement extérieur, États-Unis). Tandis que la surveillance « traditionnelle » effectuée sur le fondement d’autres dispositions du FISA exige que soit établie une « cause probable » permettant de soupçonner que les personnes surveillées appartiennent à une puissance étrangère ou en sont les agents, les activités de surveillance pratiquées au titre de l’article 702 du FISA ne sont subordonnées ni à l’établissement d’une telle « cause probable » ni à l’approbation par le FISC du ciblage de personnes déterminées. En outre, toujours aux termes des constatations de la juridiction de renvoi, les procédures de minimisation ne s’appliquent pas aux personnes non-américaines situées en dehors des États-Unis.

57.

En pratique, une fois l’autorisation octroyée par le FISC, la NSA envoie à des fournisseurs de services de communications électroniques établis aux États-Unis des directives contenant des critères de recherche, appelés « sélecteurs », associés à des personnes ciblées (tels que des numéros de téléphone ou des adresses email). Ces fournisseurs sont alors obligés de transmettre les données qui correspondent aux sélecteurs à la NSA et doivent garder le secret au sujet des directives qui leurs sont adressées. Ils peuvent introduire auprès du FISC une requête visant à faire modifier ou écarter une directive de la NSA. La décision du FISC peut faire l’objet d’un appel auprès de la Foreign Intelligence Surveillance Court of Review (FISCR) (cour révisant les décisions en matière de surveillance du renseignement extérieur, États-Unis).

58.

La High Court (Haute Cour) a constaté que l’article 702 du FISA sert de base légale aux programmes PRISM et Upstream.

59.

Dans le cadre du programme PRISM, les fournisseurs de services de communications électroniques sont tenus de soumettre à la NSA toutes les communications « en provenance » ou « à destination » du sélecteur communiqué par cette dernière. Une partie de ces communications serait transmise au FBI et à la Central Intelligence Agency (CIA) (Agence centrale de renseignement, États-Unis). En 2015, 94386 personnes auraient été surveillées et, en 2011, le gouvernement des États-Unis se serait procuré plus de 250 millions de communications dans le cadre de ce programme.

60.

Le programme Upstream repose sur l’assistance obligatoire des entreprises exploitant la « dorsale » – à savoir le réseau de câbles, commutateurs et routeurs – sur laquelle transitent les communications téléphoniques et les communications Internet. Ces entreprises sont contraintes de permettre à la NSA de copier et de filtrer les flux de trafic Internet afin d’acquérir des communications « en provenance », « à destination » ou « concernant » un sélecteur mentionné dans une directive de cette agence. Les communications « concernant » un sélecteur désignent celles qui font référence à ce sélecteur, sans que la personne non américaine associée audit sélecteur y participe nécessairement. S’il résulte d’un avis du FISC du 26 avril 2017 que, depuis cette date, le gouvernement américain ne collecte et n’acquiert plus de communications « concernant » un sélecteur, cet avis n’indique pas que la NSA aurait arrêté de copier et de filtrer les flux de communications transitant par son dispositif de surveillance. Le programme Upstream impliquerait ainsi l’accès par la NSA tant aux métadonnées qu’au contenu des communications. Depuis 2011, la NSA aurait recueilli environ 26,5 millions de communications par an dans le cadre du programme Upstream, ce qui ne représenterait cependant qu’une petite partie des communications soumises au processus de filtrage opéré au titre de ce programme.

61.

Par ailleurs, selon les constatations de la High Court (Haute Cour), l’EO 12333 autorise la surveillance de communications électroniques en dehors du territoire des États-Unis en permettant l’accès, à des fins de renseignement extérieur, à des données soit « en transit » vers ce territoire, soit « transitant » par ce territoire sans être destinées à y subir un traitement, ainsi que la collecte et la conservation de ces données. L’EO 12333 définit la notion de « renseignement extérieur » comme incluant les informations relatives aux capacités, intentions ou activités de gouvernements étrangers, d’organisations étrangères ou de personnes étrangères ( 17 ).

62.

L’EO 12333 habiliterait la NSA à accéder aux câbles sous-marins situés sur le plancher de l’océan Atlantique au moyen desquels des données sont transférées depuis l’Union vers les États-Unis, avant que ces données arrivent aux États-Unis et soient de ce fait soumises aux dispositions du FISA. Il n’existe, cependant, aucune preuve d’un quelconque programme mis en œuvre au titre de ce décret présidentiel.

63.

Bien que l’EO 12333 prévoie des limites concernant la collecte, la rétention et la dissémination d’informations, ces limites ne s’appliquent pas aux personnes non américaines. Ces dernières bénéficient uniquement des garanties énoncées par la Presidential Policy Directive 28 (directive stratégique présidentielle no 28, ci-après « PPD 28 »), laquelle s’applique à toutes les activités de collecte et d’utilisation d’informations en matière de renseignement extérieur d’origine électromagnétique. La PPD 28 dispose que le respect de la vie privée fait partie intégrante des considérations à prendre en compte lors de la planification de ces activités, que la collecte doit avoir pour seul but l’acquisition d’informations en matière de renseignement extérieur ainsi que de contre-espionnage, et que lesdites activités doivent être « aussi ciblées que possible ».

64.

D’après la juridiction de renvoi, les activités de la NSA fondées sur l’EO 12333, lequel peut être amendé ou révoqué à tout moment par le président des États-Unis, ne sont pas régies par la loi, ne font pas l’objet d’une surveillance judiciaire et ne sont pas susceptibles de recours juridictionnels.

65.

Sur la base de ces constatations, cette juridiction considère que les États-Unis procèdent à des traitements massifs et indiscriminés de données à caractère personnel qui pourraient exposer les personnes concernées à un risque de violation des droits qu’elles tirent des articles 7 et 8 de la Charte.

66.

Qui plus est, ladite juridiction indique que les citoyens de l’Union n’ont pas accès aux mêmes recours juridictionnels contre des traitements illégaux de leurs données à caractère personnel par les autorités américaines que les ressortissants américains. Le quatrième amendement de la Constitution des États-Unis, lequel constituerait la protection la plus importante contre la surveillance illégale, serait inapplicable aux citoyens de l’Union qui ne présentent pas de connexion volontaire significative avec les États-Unis. Si ces derniers disposent néanmoins de certains autres recours, ceux-ci se heurteraient à des obstacles importants.

67.

En particulier, l’article III de la Constitution des États-Unis subordonne tout recours devant les juridictions fédérales à l’établissement par la personne concernée de sa qualité pour agir (standing). La qualité pour agir suppose, notamment, que cette personne démontre avoir subi un préjudice réel qui soit, d’une part, concret et particularisé, et, d’autre part, actuel ou imminent. En se référant, entre autres, à l’arrêt de la Supreme Court of the United States (Cour suprême des États-Unis), Clapper v. Amnesty International US ( 18 ), la juridiction de renvoi considère que cette condition est, en pratique, excessivement difficile à remplir, eu égard, notamment, à l’absence de toute obligation d’informer les personnes concernées des mesures de surveillance prises à leur endroit ( 19 ). Une partie des recours à la disposition des citoyens de l’Union serait, de surcroît, soumise au respect d’autres conditions restrictives, telles que la nécessité d’établir un préjudice pécuniaire. L’immunité souveraine reconnue aux agences de renseignement et la classification des informations concernées feraient également obstacle à l’exercice de certaines voies de recours ( 20 ).

68.

La High Court (Haute Cour) fait, de surcroît, état de divers mécanismes de contrôle et de supervision des activités des agences de renseignement.

69.

Parmi ceux-ci figurent, d’une part, le mécanisme de certification annuelle par le FISC des programmes fondés sur l’article 702 du FISA, dans le cadre duquel le FISC n’approuve cependant pas les sélecteurs individuels. Par ailleurs, aucun contrôle judiciaire préalable ne régit la collecte d’informations en matière de renseignement extérieur au titre de l’EO 12333.

70.

D’autre part, la juridiction de renvoi fait référence à plusieurs mécanismes de supervision extrajudiciaire des activités de renseignement. Elle mentionne, en particulier, le rôle des Inspectors General (inspecteurs généraux, États-Unis) qui, au sein de chaque agence de renseignement, sont chargés de superviser les activités de surveillance. En outre, le Privacy and Civil Liberties Oversight Board (PCLOB) (conseil de surveillance de la vie privée et des libertés civiles, États-Unis), une agence indépendante au sein du pouvoir exécutif, reçoit les rapports de personnes désignées au sein de chaque agence en tant qu’agents des libertés civiles ou de la vie privée (civil liberties or privacy officers). Le PCLOB prépare régulièrement des rapports à l’attention de commissions parlementaires et du Président. Les agences concernées doivent porter les incidents relatifs à la méconnaissance des règles et procédures gouvernant la collecte de renseignement extérieur à l’attention, notamment, du DNI. Ces incidents sont également rapportés au FISC. Le Congrès des États-Unis, par l’intermédiaire des commissions du renseignement de la Chambre et du Sénat, est, lui aussi, investi de la responsabilité de contrôler les activités de renseignement extérieur.

71.

Cependant, la High Court (Haute Cour) souligne la différence fondamentale entre, d’une part, les règles visant à assurer que les données soient obtenues légalement et que, une fois obtenues, il n’en soit pas fait un usage abusif, et, d’autre part, les recours disponibles lorsque ces règles sont violées. La protection des droits fondamentaux des personnes concernées ne serait assurée que si des voies de recours effectives leur permettent de faire valoir leurs droits en cas de méconnaissance desdites règles.

72.

Dans ces conditions, la juridiction de renvoi considère fondés les arguments, invoqués par le DPC, selon lesquels les limitations qu’impose le droit américain au droit de recours des personnes dont les données sont transférées depuis l’Union ne respectent pas le contenu essentiel du droit garanti à l’article 47 de la Charte et, en tout état de cause, constituent des ingérences disproportionnées dans l’exercice de ce droit.

73.

Selon la High Court (Haute Cour), l’introduction par le gouvernement des États-Unis du mécanisme de médiation décrit dans la décision « bouclier de protection des données » ne remet pas en cause cette appréciation. Après avoir souligné que ce mécanisme est accessible aux citoyens de l’Union qui estiment sur une base raisonnable que leurs données ont été transférées conformément aux décisions CCT ( 21 ), cette juridiction a observé que le médiateur ne constitue pas un tribunal répondant aux exigences de l’article 47 de la Charte et, en particulier, n’est pas indépendant du pouvoir exécutif ( 22 ). Ladite juridiction doute également que l’intervention du médiateur, dont les décisions ne peuvent pas faire l’objet d’un recours juridictionnel, représente une voie de recours effective. En effet, cette intervention ne permet pas aux personnes dont les données personnelles ont été illégalement collectées, traitées ou partagées d’obtenir une indemnisation ou une injonction de cesser les actes illégaux, dès lors que le médiateur ne confirme ni ne nie qu’un requérant a fait l’objet d’une mesure de surveillance électronique.

74.

Ayant ainsi exposé ses préoccupations relatives à l’équivalence substantielle entre les garanties prévues par le droit américain et les exigences découlant des articles 7, 8 et 47 de la Charte, la juridiction de renvoi a exprimé des interrogations sur le point de savoir si les clauses contractuelles types prévues dans les décisions CCT – lesquelles, par leur nature, ne lient pas les autorités américaines – sont néanmoins susceptibles d’assurer la protection des droits fondamentaux des personnes concernées. Cette juridiction en a conclu qu’elle partage les doutes du DPC relatifs à la validité de ces décisions.

75.

À cet égard, la juridiction de renvoi considère, en particulier, que l’article 28, paragraphe 3, de la directive 95/46, auquel fait référence l’article 4 de la décision 2010/87, en ce qu’il reconnaît aux autorités de contrôle le pouvoir de suspendre ou d’interdire les transferts fondés sur les clauses contractuelles types prévues dans cette décision, ne suffit pas à dissiper ces doutes. Outre que ce pouvoir ne revêt, à ses yeux, qu’une nature discrétionnaire, la juridiction de renvoi s’interroge, à la lumière du considérant 11 de la décision 2010/87, sur la possibilité de l’exercer lorsque les défaillances constatées ne concernent pas un cas particulier et exceptionnel, mais revêtent un caractère général et systémique ( 23 ). Elle estime également que le risque que des décisions divergentes soient prononcées dans différents États membres pourrait s’opposer à ce que la constatation de telles défaillances soit confiée aux autorités de contrôle.

76.

Dans ces conditions, la High Court (Haute Cour) a décidé, par décision du 4 mai 2018 ( 24 ), parvenue à la Cour le 9 mai 2018, de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)

Lorsque des données à caractère personnel sont transférées, à des fins commerciales, par une société privée d’un État membre de l’[Union] à une société privée dans un pays tiers conformément à la [décision 2010/87] et sont susceptibles d’être ensuite traitées par les autorités du pays tiers à des fins de sécurité nationale mais également de maintien de l’ordre public et de conduite des affaires étrangères du pays tiers, le droit de l’Union, y compris la Charte, est-il applicable au transfert des données, nonobstant les dispositions de l’article 4, paragraphe 2, TUE relatives à la sécurité nationale et les dispositions du premier tiret de l’article 3, paragraphe 2, de la [directive 95/46] relatives à la sécurité publique, la défense et la sûreté de l’État ?

2)

a)

Pour déterminer si le transfert de données, conformément à la décision [2010/87], de l’[Union] vers un pays tiers où ces données sont susceptibles d’être ensuite traitées à des fins de sécurité nationale, viole les droits d’un particulier, l’instrument de comparaison pertinent aux fins de la directive [95/46] est-il :

i)

la Charte, le TUE, le TFUE, la directive [95/46], la [Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950 (ci-après la “CEDH”)] (ou toute autre disposition du droit de l’[Union]) ; ou

ii)

la législation interne d’un ou de plusieurs États membres ?

b)

Si l’instrument de comparaison pertinent est ii), les pratiques en matière de sécurité nationale dans un ou plusieurs États membres doivent-elles également être incluses dans l’instrument de comparaison ?

3)

Pour évaluer si un pays tiers garantit aux données à caractère personnel qui y sont transférées le niveau de protection requis par le droit de l’Union aux fins de l’article 26 de la directive [95/46], convient-il de se référer :

a)

aux règles applicables dans le pays tiers résultant de son droit interne ou de ses engagements internationaux, et à la pratique visant à assurer le respect de ces règles, y compris les règles professionnelles et les mesures de sécurité qui sont observées dans le pays tiers ;

ou

b)

aux règles mentionnées sous a), auxquelles s’ajoutent les pratiques administratives, réglementaires et de conformité ainsi que les garanties, procédures, protocoles, mécanismes de surveillance et recours extra-judiciaires tels qu’ils existent dans le pays tiers ?

4)

Compte tenu des faits établis par la High Court (Haute Cour) concernant le droit des États-Unis, le transfert des données à caractère personnel de l’[Union] vers les États-Unis conformément à la décision [2010/87] viole-t-il les droits des particuliers protégés par les articles 7 ou 8 de la Charte ?

5)

Compte tenu des faits établis par la High Court (Haute Cour) concernant le droit des États-Unis, si des données à caractère personnel sont transférées de l’[Union] vers les États-Unis conformément à la décision [2010/87] :

a)

Le niveau de protection accordé par les États-Unis respecte-t-il le contenu essentiel du droit d’un particulier à un recours juridictionnel pour violation de ses droits à la confidentialité des données garanti par l’article 47 de la Charte ?

En cas de réponse affirmative à la question sous a) :

b)

Les limitations imposées par le droit des États-Unis au droit d’un particulier à un recours juridictionnel sont-elles, dans le contexte de la sécurité nationale des États-Unis, proportionnées au sens de l’article 52 de la Charte et n’excèdent-t-elles pas ce qui est nécessaire à des fins de sécurité nationale dans une société démocratique ?

6)

a)

À la lumière des dispositions de la directive [95/46] et en particulier [de ses] articles 25 et 26 lus à la lumière de la Charte, quel est le niveau de protection requis à accorder aux données à caractère personnel transférées dans un pays tiers en vertu de clauses contractuelles types adoptées conformément à une décision de la Commission au titre de l’article 26, paragraphe 4[, de cette directive] ?

b)

Quels sont les aspects à prendre en compte pour évaluer si le niveau de protection accordé aux données transférées dans un pays tiers conformément à la décision [2010/87] satisfait aux exigences de la directive [95/46] et de la Charte ?

7)

Le fait que les clauses contractuelles types s’appliquent entre l’exportateur et l’importateur de données et ne lient pas les autorités nationales d’un pays tiers qui peuvent exiger de l’importateur qu’il mette à la disposition de ses services de sécurité, pour traitement ultérieur, les données à caractère personnel transférées conformément aux clauses prévues dans la décision [2010/87], exclut-il que ces clauses offrent des garanties suffisantes telles qu’envisagées à l’article 26, paragraphe 2, de la directive [95/46] ?

8)

Si un importateur de données d’un pays tiers est soumis à des règles de surveillance qui, du point de vue d’une [autorité de contrôle], enfreignent les clauses contractuelles types ou les articles 25 et 26 de la directive [95/46] ou la Charte, une [autorité de contrôle] est-elle tenue de faire usage de ses pouvoirs d’exécution au titre de l’article 28, paragraphe 3, de la directive [95/46] afin de suspendre les flux de données, ou l’exercice de ces pouvoirs est-il limité aux seuls cas exceptionnels, à la lumière du considérant 11 de la [décision 2010/87], ou bien une [autorité de contrôle] peut-elle exercer son pouvoir discrétionnaire pour ne pas suspendre les flux de données ?

9)

a)

Aux fins de l’article 25, paragraphe 6, de la directive [95/46], la décision [“bouclier de protection des données”] constitue-t-elle une constatation d’application générale liant les [autorités de contrôle] et les juridictions des États membres, selon laquelle les États-Unis assurent un niveau de protection adéquat au sens de l’article 25, paragraphe 2, de la directive [95/46] en raison de leur droit interne ou de leurs engagements internationaux ?

b)

Si tel n’est pas le cas, quelle est la pertinence, le cas échéant, de la décision [“bouclier de protection des données”] pour l’appréciation du caractère suffisant des garanties offertes aux données transférées aux États-Unis conformément à la décision [2010/87] ?

10)

Compte tenu des conclusions de la High Court (Haute Cour) en ce qui concerne le droit des États-Unis, la mise en place du médiateur “bouclier de protection des données” conformément à l’[annexe III A] de la décision [“bouclier de protection des données”], en combinaison avec le régime existant aux États-Unis, garantit-elle que les États-Unis offrent un recours compatible avec l’article 47 de la Charte aux personnes dont les données à caractère personnel sont transférées aux États-Unis conformément à la décision [2010/87] ?

11)

La décision [2010/87] viole-t-elle les articles 7, 8 ou 47 de la Charte ? »

77.

Le DPC, Facebook Ireland, M. Schrems, le gouvernement des États-Unis, l’EPIC, la BSA, Digitaleurope, l’Irlande, les gouvernements belge, tchèque, allemand, néerlandais, autrichien, polonais, portugais et du Royaume-Uni, le Parlement européen ainsi que la Commission ont déposé des observations écrites devant la Cour. Le DPC, Facebook Ireland, M. Schrems, le gouvernement des États-Unis, l’EPIC, la BSA, Digitaleurope, l’Irlande, les gouvernements allemand, français, néerlandais, autrichien et du Royaume-Uni, le Parlement, la Commission ainsi que le comité européen à la protection des données (European Data Protection Board, EDPB) ont été représentés à l’audience de plaidoiries du 9 juillet 2019.

IV. Analyse

A. Considérations liminaires

78.

À la suite de l’invalidation de la décision « sphère de sécurité » par la Cour dans l’arrêt Schrems, les transferts de données à caractère personnel vers les États-Unis se sont poursuivis sur la base d’autres fondements juridiques. En particulier, les sociétés exportatrices de données ont pu recourir à des contrats avec les importateurs des données intégrant des clauses types élaborées par la Commission. Ces clauses servent également de base juridique aux transferts vers une multitude d’autres pays tiers concernant lesquels la Commission n’a pas adopté de décision d’adéquation ( 25 ). La décision « bouclier de protection des données » permet désormais aux entreprises ayant autocertifié leur adhésion aux principes y énoncés de transférer des données personnelles vers les États-Unis sans autres formalités.

79.

Ainsi que l’indique expressément la décision de renvoi et comme l’ont souligné la BSA, Digitaleurope, l’Irlande, les gouvernements autrichien et français, le Parlement de même que la Commission, le litige au principal, pendant devant la High Court (Haute Cour), a pour seul enjeu de déterminer si la décision par laquelle la Commission a institué les clauses contractuelles types invoquées à l’appui des transferts visés dans la plainte de M. Schrems, à savoir la décision 2010/87 ( 26 ), est valide.

80.

Ce litige tire son origine d’une plainte par laquelle le DPC a demandé à la juridiction de renvoi de déférer à la Cour une question préjudicielle relative à la validité de la décision 2010/87. Aux dires de cette juridiction, le litige au principal concerne, ainsi, l’exercice de la voie de recours dont la Cour a enjoint l’instauration par les États membres au point 65 de l’arrêt Schrems.

81.

Pour rappel, la Cour a jugé, au point 63 de cet arrêt, qu’une autorité de contrôle est tenue de traiter avec toute la diligence requise une plainte dans le cadre de laquelle une personne, dont les données à caractère personnel ont été ou pourraient être transférées vers un pays tiers ayant fait l’objet d’une décision d’adéquation, conteste la compatibilité de cette décision avec les droits fondamentaux consacrés par la Charte. Aux termes du point 65 dudit arrêt, dans l’hypothèse où cette autorité estime fondés les griefs avancés dans cette plainte, elle doit, conformément à l’article 28, paragraphe 3, premier alinéa, troisième tiret, de la directive 95/46 (auquel correspond l’article 58, paragraphe 5, du RGPD), lu à la lumière de l’article 8, paragraphe 3, de la Charte, pouvoir ester en justice. À cet égard, le législateur national doit établir des voies de recours lui permettant de faire valoir ces griefs devant les juridictions nationales afin que ces dernières procèdent, si elles partagent les doutes de ladite autorité, à un renvoi préjudiciel portant sur la validité de la décision en cause.

82.

À l’instar de la juridiction de renvoi, j’estime que ces conclusions s’appliquent par analogie lorsque, à l’occasion du traitement d’une plainte formée devant elle, une autorité de contrôle nourrit des doutes sur la validité non pas d’une décision d’adéquation, mais d’une décision, telle que la décision 2010/87, établissant des clauses contractuelles types pour le transfert de données personnelles vers des pays tiers. Contrairement à ce qu’a fait valoir le gouvernement allemand, il n’importe pas que ces doutes correspondent à des griefs portés à son attention par le plaignant ou que cette autorité mette de son propre chef en question la validité de la décision en cause. En effet, les exigences découlant de l’article 58, paragraphe 5, du RGPD et de l’article 8, paragraphe 3, de la Charte, sur lesquelles est ancrée la motivation de la Cour, s’appliquent quels que soient le fondement juridique du transfert visé dans la plainte déposée auprès de l’autorité de contrôle et les raisons ayant amené cette autorité à douter de la validité de la décision concernée dans le cadre du traitement de cette plainte.

83.

Cela étant précisé, si le DPC a prié la juridiction de renvoi d’interroger la Cour sur la validité de la décision 2010/87, c’est au motif qu’un éclairage de la Cour à ce sujet lui semble nécessaire au traitement de la plainte par laquelle M. Schrems lui demande d’exercer le pouvoir, dont il était investi en vertu de l’article 28, paragraphe 3, deuxième tiret, de la directive 95/46 – et que lui confère désormais l’article 58, paragraphe 2, sous f), du RGPD –, de suspendre le transfert des données personnelles le concernant par Facebook Ireland vers Facebook Inc.

84.

Ainsi, tandis que le litige au principal porte uniquement sur la validité in abstracto de la décision 2010/87, la procédure sous-jacente en cours devant le DPC a trait à l’exercice par ce dernier de son pouvoir d’adopter des mesures correctrices dans un cas spécifique. Je proposerai à la Cour de s’en tenir à examiner les questions posées dans la mesure nécessaire pour statuer sur la validité de la décision 2010/87, dès lors qu’un tel examen suffira à la juridiction de renvoi pour résoudre le litige pendant devant elle ( 27 ).

85.

Avant d’apprécier la validité de cette décision, il convient d’écarter certaines objections soulevées à l’encontre de la recevabilité de la demande de décision préjudicielle.

B. Sur la recevabilité du renvoi préjudiciel

86.

La recevabilité de la demande de décision préjudicielle a été contestée pour divers motifs tenant, essentiellement, à l’inapplicabilité ratione temporis de la directive 95/46 visée dans les questions préjudicielles (section 1), au fait que la procédure devant le DPC n’aurait pas atteint un stade suffisamment avancé pour en justifier l’utilité (section 2) et à la subsistance d’incertitudes entourant le cadre factuel décrit par la juridiction de renvoi (section 3).

87.

Je répondrai à ces fins de non-recevoir en gardant à l’esprit la présomption de pertinence dont jouissent les questions déférées à la Cour au titre de l’article 267 TFUE. Selon une jurisprudence constante, la Cour ne peut refuser de statuer sur une demande de décision préjudicielle que s’il apparaît de manière manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées ( 28 ).

1. Sur l’applicabilité ratione temporis de la directive 95/46

88.

Facebook Ireland excipe de l’irrecevabilité des questions préjudicielles au motif qu’elles font référence à la directive 95/46, alors que cette directive a été abrogée et remplacée par le RGPD avec effet au 25 mai 2018 ( 29 ).

89.

Je partage le point de vue selon lequel la validité de la décision 2010/87 doit être examinée à la lumière des dispositions du RGPD.

90.

Conformément à l’article 94, paragraphe 2, de ce règlement, « [l]es références faites à la directive abrogée s’entendent comme faites [audit règlement] ». Il en découle, me semble-t-il, que la décision 2010/87, en ce qu’elle mentionne en tant que fondement juridique l’article 26, paragraphe 4, de la directive 95/46, doit être comprise comme faisant référence à l’article 46, paragraphe 2, sous c), du RGPD qui en reprend essentiellement le contenu ( 30 ). Par conséquent, les décisions d’exécution adoptées par la Commission en vertu de l’article 26, paragraphe 4, de la directive 95/46, avant l’entrée en vigueur du RGPD, doivent être interprétées à la lumière de ce règlement. C’est également à l’aune dudit règlement que leur validité doit, le cas échéant, être évaluée.

91.

Cette conclusion n’est pas remise en cause par la jurisprudence selon laquelle la légalité d’un acte de l’Union doit être appréciée en fonction des éléments de fait et de droit existant à la date où cet acte a été adopté. Cette jurisprudence concerne, en effet, l’examen de la validité d’un acte de l’Union au regard des circonstances de fait pertinentes lors de son adoption ( 31 ) ou des règles de procédure en régissant l’adoption ( 32 ). En revanche, la Cour a itérativement examiné la validité d’actes de droit dérivé à l’aune de normes matérielles de rang supérieur entrées en vigueur après l’adoption de ces actes ( 33 ).

92.

Cependant, la désignation, dans l’énoncé des questions préjudicielles, d’un acte qui n’est plus applicable ratione temporis, s’il justifie la reformulation de ces questions, ne saurait en entraîner l’irrecevabilité ( 34 ). Comme l’ont fait valoir le DPC et M. Schrems, les références à la directive 95/46 dans l’énoncé des questions préjudicielles peuvent, du reste, s’expliquer au regard du calendrier procédural de la présente affaire, ces questions ayant été déférées à la Cour avant l’entrée en vigueur du RGPD.

93.

En tout état de cause, les dispositions du RGPD qui seront abordées aux fins de l’analyse des questions préjudicielles – à savoir, en particulier, ses articles 45, 46 et 58 – reprennent essentiellement, tout en le développant et à certaines nuances près, le contenu des articles 25, 26 et 28 de la directive 95/46. En ce qui concerne leurs aspects pertinents aux fins de statuer sur la validité de la décision 2010/87, je ne perçois aucune raison d’attribuer à ces dispositions du RGPD une portée distincte de celle des dispositions correspondantes de la directive 95/46 ( 35 ).

2. Sur le caractère provisoire des doutes exprimés par le DPC

94.

Selon le gouvernement allemand, la demande de décision préjudicielle est irrecevable au motif que la procédure de recours évoquée au point 65 de l’arrêt Schrems suppose que l’autorité de contrôle se soit forgé une opinion définitive quant au bien-fondé des griefs avancés par le requérant à l’encontre de la validité de la décision en cause. Tel ne serait pas le cas en l’espèce dans la mesure où le DPC a exprimé ses doutes sur la validité de la décision 2010/87, que M. Schrems ne conteste d’ailleurs pas, dans un projet de décision rendu à titre provisoire sans préjudice du dépôt éventuel d’observations complémentaires de la part de Facebook Ireland et de M. Schrems.

95.

À mon avis, le caractère provisoire des doutes exprimés par le DPC n’a pas d’incidence sur la recevabilité du renvoi préjudiciel. En effet, les critères de recevabilité d’une question préjudicielle doivent être appréciés par rapport à l’objet du litige tel que défini par la juridiction de renvoi ( 36 ). Or, il est constant que celui-ci concerne la validité de la décision 2010/87. Aux termes de la décision de renvoi et du jugement y annexé, cette juridiction a estimé que les doutes exprimés par le DPC – sans qu’il importe que ceux-ci l’aient été à titre provisoire ou définitif – sont fondés et a en conséquence interrogé la Cour sur la validité de cette décision. Dans ces conditions, l’éclairage de la Cour à ce sujet est sans nul doute pertinent aux fins de lui permettre de résoudre le litige dont elle est saisie.

3. Sur les incertitudes entourant la définition du cadre factuel

96.

Le gouvernement du Royaume-Uni allègue que le cadre factuel décrit par la juridiction de renvoi recèle plusieurs lacunes compromettant la recevabilité des questions préjudicielles. Cette juridiction n’aurait pas élucidé si les données à caractère personnel concernant M. Schrems ont effectivement été transférées vers les États-Unis ni, dans l’affirmative, si elles ont été collectées par les autorités américaines. La base juridique de ces transferts éventuels n’aurait pas non plus été identifiée avec certitude, la décision de renvoi se bornant à mentionner que les données des utilisateurs européens du réseau social Facebook sont transférées « en grande partie » sur la base des clauses contractuelles types prévues par la décision 2010/87. Il n’aurait, en tout état de cause, pas été établi que le contrat entre Facebook Ireland et Facebook Inc., invoqué à l’appui du transfert litigieux, intègre fidèlement ces clauses. Le gouvernement allemand conteste également la recevabilité du renvoi préjudiciel au motif que la juridiction de renvoi n’a pas examiné si M. Schrems a indubitablement donné son consentement aux transferts en question, auquel cas ceux-ci auraient été valablement fondés sur l’article 26, paragraphe 1, de la directive 95/46 [dont l’article 49, paragraphe 1, sous a), du RGPD reprend essentiellement le contenu].

97.

Ces arguments ne remettent nullement en cause la pertinence du renvoi préjudiciel au regard de l’objet du litige au principal. Dès lors que ce litige puise sa source dans l’exercice par le DPC de la voie de recours prévue au point 65 de l’arrêt Schrems, son objet même consiste à obtenir de la juridiction nationale un renvoi préjudiciel sur la validité de la décision 2010/87. Les gouvernements allemand et du Royaume-Uni contestent, en réalité, la nécessité des questions préjudicielles aux fins non pas de déterminer si cette décision est valide, mais bien de mettre le DPC en mesure de se prononcer in concreto sur la plainte de M. Schrems.

98.

En tout état de cause, même sous l’angle de cette procédure sous-jacente au litige au principal, les questions préjudicielles portant sur la validité de la décision 2010/87 ne m’apparaissent pas dénuées de pertinence. En effet, la juridiction de renvoi a établi que Facebook Ireland a continué à transférer les données de ses utilisateurs vers les États-Unis après l’invalidation de la décision « sphère de sécurité » et que ces transferts sont fondés, à tout le moins en partie, sur la décision 2010/87. De plus, s’il peut être avantageux que l’ensemble des faits pertinents soient établis avant qu’elle n’exerce sa compétence au titre de l’article 267 TFUE, il appartient à la seule juridiction de renvoi d’apprécier à quel stade de la procédure elle a besoin d’une décision préjudicielle de la Cour ( 37 ).

99.

Compte tenu de tout ce qui précède, j’estime que la demande de décision préjudicielle est recevable.

C. Sur l’applicabilité du droit de l’Union aux transferts à des fins commerciales de données à caractère personnel vers un État tiers susceptible de les traiter à des fins de sécurité nationale (première question)

100.

Par sa première question, la juridiction de renvoi cherche à savoir si le droit de l’Union s’applique à un transfert de données à caractère personnel par une société située dans un État membre vers une société établie dans un pays tiers effectué pour des raisons commerciales lorsque, après que le transfert a été initié, les données sont susceptibles d’être traitées par les autorités publiques de ce pays tiers à des fins incluant la protection de la sécurité nationale.

101.

L’enjeu de cette question pour la résolution du litige au principal réside dans le fait que, si un tel transfert tombait en dehors du champ d’application du droit de l’Union, l’ensemble des objections soulevées à l’encontre de la validité de la décision 2010/87 dans la présente affaire se verrait privé de fondement.

102.

Ainsi que l’a observé la juridiction de renvoi, les traitements de données personnelles ayant pour objet la sécurité nationale étaient exclus du champ d’application de la directive 95/46 en vertu de l’article 3, paragraphe 2, de cette directive. L’article 2, paragraphe 2, du RGPD précise désormais que ce règlement ne s’applique pas, notamment, aux traitements de données dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ou par les autorités compétentes à des fins de protection de la sécurité publique. Ces dispositions reflètent la réserve de compétence que l’article 4, paragraphe 2, TUE reconnaît aux États membres en matière de protection de la sécurité nationale.

103.

Le DPC, M. Schrems, l’Irlande, les gouvernements allemand, autrichien, belge, tchèque, néerlandais, polonais et portugais de même que le Parlement et la Commission font valoir que des transferts tels que ceux visés dans la plainte de M. Schrems ne sont pas couverts par ces dispositions et, partant, relèvent du champ d’application du droit de l’Union. Facebook Ireland défend la thèse inverse. Je me rallie au point de vue des premiers.

104.

À cet égard, il importe de souligner que le transfert de données à caractère personnel à partir d’un État membre vers un pays tiers constitue, en tant que tel, un « traitement », au sens de l’article 4, point 2, du RGPD, effectué sur le territoire d’un État membre ( 38 ). La première question préjudicielle a, précisément, pour objet de déterminer si le droit de l’Union s’applique au traitement que constitue le transfert lui-même. Cette question ne porte pas sur l’applicabilité du droit de l’Union aux éventuels traitements ultérieurs, par les autorités américaines à des fins de sécurité nationale, des données transférées vers les États-Unis, lesquels ne relèvent pas du champ d’application territorial du RGPD ( 39 ).

105.

Dans cette perspective, seule doit être prise en considération, aux fins de déterminer si le droit de l’Union s’applique au transfert de données en cause, l’activité dans le cadre de laquelle s’inscrit ce transfert, sans qu’importe l’objet des éventuels traitements ultérieurs que subiront les données transférées de la part des autorités publiques du pays tiers de destination ( 40 ).

106.

Or, il ressort de la décision de renvoi que le transfert visé dans la plainte de M. Schrems participe d’une activité commerciale. Ce transfert n’a d’ailleurs pas lieu dans le but de permettre le traitement ultérieur des données en cause par les autorités américaines à des fins de sécurité nationale.

107.

Au demeurant, l’approche proposée par Facebook Ireland priverait d’effet utile les dispositions du RGPD relatives aux transferts vers des pays tiers, dès lors qu’il ne peut jamais être exclu que des données transférées dans le cadre d’une activité commerciale seront traitées à des fins de sécurité nationale en aval du transfert.

108.

L’interprétation que je préconise trouve confirmation dans le libellé de l’article 45, paragraphe 2, sous a), du RGPD. Cette disposition indique que, lorsqu’elle adopte une décision d’adéquation, la Commission tient compte, notamment, de la législation du pays tiers visé en matière de sécurité nationale. Il peut en être inféré que la possibilité que les données subissent, de la part des autorités du pays tiers de destination, un traitement ayant pour objet la protection de la sécurité nationale ne rend pas le droit de l’Union inapplicable au traitement que constitue le transfert de données vers ce pays tiers.

109.

Le raisonnement et les conclusions adoptés par la Cour dans l’arrêt Schrems reposent également sur cette prémisse. En particulier, la Cour y a examiné la validité de la décision « sphère de sécurité », en ce qu’elle portait sur des transferts de données à caractère personnel vers les États-Unis où elles étaient susceptibles d’être collectées et traitées à des fins de protection de la sécurité nationale, au regard de l’article 25, paragraphe 6, de la directive 95/46, lu à la lumière de la Charte ( 41 ).

110.

Eu égard à ces considérations, j’estime que le droit de l’Union s’applique à un transfert de données personnelles à partir d’un État membre vers un pays tiers lorsque ce transfert s’inscrit dans le cadre d’une activité commerciale, sans qu’il importe que les données transférées risquent de subir de la part des autorités publiques de ce pays tiers des traitements visant à en protéger la sécurité nationale.

D. Sur le niveau de protection requis dans le cadre d’un transfert fondé sur des clauses contractuelles types (première partie de la sixième question)

111.

Aux termes de la première partie de sa sixième question, la juridiction de renvoi cherche à savoir quel est le niveau de protection des droits fondamentaux des personnes concernées qui doit être assuré afin que des données à caractère personnel puissent être transférées vers un pays tiers en vertu des clauses contractuelles types prévues dans la décision 2010/87.

112.

Cette juridiction souligne que, dans l’arrêt Schrems, la Cour a interprété l’article 25, paragraphe 6, de la directive 95/46 (dont le contenu est essentiellement repris à l’article 45, paragraphe 3, du RGPD), en ce qu’il prévoyait que la Commission ne peut adopter une décision d’adéquation qu’après s’être assurée que le pays tiers visé garantit un niveau de protection adéquat, comme supposant que celle-ci établisse que ce pays assure un niveau de protection des libertés et droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de cette directive, lue à la lumière de la Charte ( 42 ).

113.

Dans ce contexte, la première partie de la sixième question préjudicielle invite la Cour à déterminer si l’application de « clauses contractuelles types » adoptées par la Commission en application de l’article 26, paragraphe 4, de la directive 95/46 – correspondant aux « clauses types de protection » désormais mentionnées à l’article 46, paragraphe 2, sous c), du RGPD – doit permettre d’atteindre un niveau de protection correspondant au même standard d’« équivalence substantielle ».

114.

À ce propos, l’article 46, paragraphe 1, du RGPD prévoit que le responsable du traitement ne peut, en l’absence d’une décision d’adéquation, transférer des données à caractère personnel vers un pays tiers « que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives » (souligné par mes soins) ( 43 ). Aux termes de l’article 46, paragraphe 2, sous c), du RGPD, ces garanties peuvent notamment résulter de clauses types de protection élaborées par la Commission.

115.

À l’instar du DPC, de M. Schrems et de l’Irlande, j’estime que les « garanties appropriées » fournies par le responsable du traitement auxquelles fait référence l’article 46, paragraphe 1, du RGPD doivent assurer que les droits des personnes dont les données sont transférées bénéficient, comme dans le cadre d’un transfert basé sur une décision d’adéquation, d’un niveau de protection substantiellement équivalent à celui qui résulte du RGPD, lu à la lumière de la Charte.

116.

Cette conclusion découle de l’objectif de cette disposition et de l’instrument dont elle fait partie.

117.

Les articles 45 et 46 du RGPD ont pour but d’assurer la continuité du niveau élevé de protection des données à caractère personnel assuré par ce règlement lorsqu’elles sont transférées en dehors de l’Union. En effet, l’article 44 du RGPD, intitulé « Principe général applicable aux transferts », ouvre le chapitre V relatif aux transferts vers des pays tiers en énonçant que toutes les dispositions de ce chapitre sont appliquées de manière à ce que le niveau de protection garanti par le RGPD ne soit pas compromis en cas de transfert vers un État tiers ( 44 ). Cette règle vise à éviter que les standards de protection découlant du droit de l’Union soient contournés en transférant des données à caractère personnel vers un pays tiers en vue de les y traiter ( 45 ). Au regard de cet objectif, il est indifférent que le transfert soit fondé sur une décision d’adéquation ou sur des garanties offertes par le responsable du traitement, notamment au moyen de clauses contractuelles. Les exigences de protection des droits fondamentaux garantis par la Charte ne connaissent pas de distinction en fonction du fondement légal sur lequel repose un transfert déterminé ( 46 ).

118.

En revanche, la manière dont la continuité du niveau élevé de protection est préservée diffère en fonction de la base juridique du transfert.

119.

D’une part, une décision d’adéquation a pour objet de constater que le pays tiers visé assure lui-même un niveau de protection substantiellement équivalent à celui qui doit être atteint au sein de l’Union. L’adoption d’une décision d’adéquation suppose que la Commission évalue au préalable, pour un pays tiers déterminé, le niveau de protection garanti par le droit et les pratiques de ce pays tiers à la lumière des facteurs énoncés à l’article 45, paragraphe 3, du RGPD. Des données personnelles peuvent alors être transférées vers ledit pays tiers sans que le responsable du traitement doive obtenir une autorisation spécifique.

120.

D’autre part, comme exposé plus en détail dans la section suivante, les garanties appropriées offertes par le responsable du traitement visent à assurer un niveau élevé de protection dans l’hypothèse d’une insuffisance des garanties disponibles dans le pays tiers de destination. Ainsi, si l’article 46, paragraphe 1, du RGPD permet que des données à caractère personnel soient transférées vers des États tiers n’assurant pas un niveau adéquat de protection, cette disposition n’autorise de tels transferts que lorsque des garanties appropriées sont apportées par d’autres moyens. Les clauses contractuelles types adoptées par la Commission représentent, à cet égard, un mécanisme général applicable aux transferts quels que soient le pays tiers de destination et le niveau de protection qui y est assuré.

E. Sur la validité de la décision 2010/87 au regard des articles 7, 8 et 47 de la Charte (septième, huitième et onzième questions)

121.

Par sa septième question, la juridiction de renvoi demande, en substance, si la décision 2010/87 est invalide du fait qu’elle ne lie pas les autorités des États tiers vers lesquels des données sont transférées en vertu des clauses contractuelles types prévues dans l’annexe à cette décision et, en particulier, qu’elle ne les empêche pas d’exiger de l’importateur qu’il mette ces données à leur disposition. Ainsi, cette question met en cause la possibilité même d’assurer un niveau adéquat de protection de telles données au moyen de mécanismes de nature exclusivement contractuelle. La onzième question porte plus globalement sur la validité de la décision 2010/87 au regard des articles 7, 8 et 47 de la Charte.

122.

La huitième question invite la Cour à déterminer si une autorité de contrôle est tenue de faire usage des pouvoirs que lui confère l’article 58, paragraphe 2, sous f) et j), du RGPD pour suspendre un transfert vers un pays tiers fondé sur les clauses contractuelles types prévues par la décision 2010/87 lorsqu’elle estime que l’importateur des données y est soumis à des obligations qui l’empêchent d’honorer ces clauses et ont pour effet qu’une protection appropriée des données transférées n’est pas assurée. Dans la mesure où la réponse à cette question revêt, à mes yeux, une incidence sur la validité de la décision 2010/87 ( 47 ), je la traite conjointement avec les septième et onzième questions.

123.

Le libellé de l’article 46, paragraphe 1, du RGPD, en ce qu’il prévoit que, « [e]n l’absence de décision en vertu de l’article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers […] que s’il a prévu des garanties appropriées […] » (souligné par mes soins), met en exergue la logique dont procèdent les mécanismes contractuels tels que celui prévu dans la décision 2010/87. Comme le soulignent les considérants 108 et 114 du RGPD, ces mécanismes ont pour objet de permettre les transferts vers des pays tiers pour lesquels la Commission n’a pas adopté de décision d’adéquation, les insuffisances éventuelles de la protection assurée dans l’ordre juridique de ce pays tiers étant alors compensées par des garanties que l’exportateur et l’importateur des données s’engagent contractuellement à respecter.

124.

Dès lors que la raison d’être des garanties contractuelles consiste précisément à pallier les possibles lacunes dans la protection offerte par les pays tiers de destination quels qu’ils soient, la validité d’une décision par laquelle la Commission constate que certaines clauses types comblent adéquatement ces lacunes ne saurait dépendre du niveau de protection assuré dans chacun des pays tiers particuliers vers lesquels des données pourraient être transférées. La validité d’une telle décision est uniquement tributaire de la solidité des garanties que prévoient ces clauses en vue de compenser l’insuffisance éventuelle de la protection dans le pays tiers de destination. L’effectivité de ces garanties doit être évaluée en tenant compte également des garde-fous que constituent les pouvoirs des autorités de contrôle au titre de l’article 58, paragraphe 2, du RGPD.

125.

À cet égard, comme l’ont relevé, en substance, le DPC, M. Schrems, la BSA, l’Irlande, les gouvernements autrichien, français, polonais et portugais, ainsi que la Commission, les garanties que contiennent les clauses contractuelles types peuvent être amenuisées, voire annihilées, lorsque le droit du pays tiers de destination impose à l’importateur des obligations contraires à ce que requièrent ces clauses. Ainsi, le contexte juridique prévalant dans le pays tiers de destination peut, en fonction des circonstances concrètes du transfert ( 48 ), rendre impossible l’exécution des obligations prévues par ces clauses.

126.

Dans ces conditions, ainsi que l’ont souligné M. Schrems et la Commission, le mécanisme contractuel prévu à l’article 46, paragraphe 2, sous c), du RGPD repose sur la responsabilisation de l’exportateur ainsi que, à titre subsidiaire, des autorités de contrôle. C’est au cas par cas, pour chaque transfert spécifique, que le responsable du traitement ou, à défaut, l’autorité de contrôle, examinera si le droit du pays tiers de destination fait obstacle à l’exécution des clauses types et, partant, à une protection appropriée des données transférées, si bien que les transferts doivent être interdits ou suspendus.

127.

Compte tenu de ces observations, j’estime que le fait que la décision 2010/87 et les clauses contractuelles types qu’elle énonce ne lient pas les autorités du pays tiers de destination ne rend pas, à lui seul, cette décision invalide. La conformité de la décision 2010/87 aux articles 7, 8 et 47 de la Charte dépend, à mon avis, du point de savoir s’il existe des mécanismes suffisamment solides permettant d’assurer que les transferts fondés sur les clauses contractuelles types soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer.

128.

À ce propos, l’article 46, paragraphe 1, du RGPD prévoit qu’un transfert fondé sur des garanties appropriées ne peut avoir lieu qu’« à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives ». Il conviendra de vérifier si les garanties prévues par les clauses figurant à l’annexe de la décision 2010/87, complétées par les pouvoirs des autorités de contrôle, permettent d’assurer le respect de cette condition. Tel n’est, selon moi, le cas que pour autant qu’il existe une obligation – pesant sur les responsables du traitement (section 1) et, en cas d’inaction de ces derniers, sur les autorités de contrôle (section 2) – de suspendre ou d’interdire un transfert lorsque, en raison d’un conflit entre les obligations découlant des clauses types et celles imposées par le droit du pays tiers de destination, ces clauses ne peuvent pas être respectées.

1. Sur les obligations incombant aux responsables du traitement

129.

En premier lieu, les clauses contractuelles types figurant à l’annexe de la décision 2010/87 requièrent qu’en cas de conflit entre les obligations qu’elles prévoient et les prescriptions découlant du droit du pays tiers de destination, ces clauses ne soient pas invoquées à l’appui d’un transfert vers ce pays tiers ou, si le transfert a déjà été initié sur la base desdites clauses, l’exportateur soit informé de ce conflit et puisse suspendre ce transfert.

130.

Ainsi, en vertu de la clause 5, sous a), l’importateur s’engage à traiter les données à caractère personnel transférées pour le compte exclusif de l’exportateur et conformément aux instructions de ce dernier ainsi qu’aux clauses contractuelles types. Si l’importateur se trouve dans l’incapacité de se conformer à ces clauses, il accepte d’en informer dans les meilleurs délais l’exportateur, auquel cas ce dernier a le droit de suspendre le transfert et/ou de résilier le contrat ( 49 ).

131.

La note en bas de page 5 afférente à la clause 5 précise que les clauses types ne sont pas violées lorsque l’importateur se plie aux exigences impératives de la législation nationale qui lui est applicable dans le pays tiers, pour autant que ces exigences n’aillent pas au-delà de celles qui sont nécessaires dans une société démocratique pour protéger l’un des intérêts énoncés à l’article 13, paragraphe 1, de la directive 95/46 (dont le contenu est essentiellement repris à l’article 23, paragraphe 1, du RGPD), au nombre desquels figurent la sécurité publique et la sûreté de l’État. À l’inverse, la méconnaissance de ces clauses en vue de se conformer à une obligation contradictoire tirée du droit du pays tiers de destination qui dépasse ce qui est proportionné à la sauvegarde d’un intérêt légitime reconnu par l’Union est traitée comme une violation desdites clauses.

132.

À mon avis, ainsi que l’ont fait valoir M. Schrems et la Commission, la clause 5, sous a) ne saurait être interprétée comme impliquant que la suspension du transfert ou la résiliation du contrat n’est qu’optionnelle lorsque l’importateur n’est pas en mesure de respecter les clauses types. Si cette clause n’évoque qu’un droit en ce sens au bénéfice de l’exportateur, ce libellé doit être appréhendé par référence au cadre contractuel dans lequel il s’inscrit. Le fait que l’exportateur soit investi d’un droit, dans ses relations bilatérales avec l’importateur, de suspendre le transfert ou de résilier le contrat lorsque ce dernier se trouve dans l’incapacité d’honorer les clauses types ne porte pas préjudice à l’obligation pesant sur l’exportateur de procéder ainsi au regard des exigences de protection des droits des personnes concernées découlant du RGPD. Toute autre interprétation entraînerait l’invalidité de la décision 2010/87 en ce que les clauses contractuelles types qu’elle prévoit ne permettraient pas d’entourer le transfert de « garanties appropriées » comme l’exige l’article 46, paragraphe 1, du RGPD, lu à la lumière des dispositions de la Charte ( 50 ).

133.

De surcroît, aux termes de la clause 5, sous b), l’importateur certifie qu’il n’a aucune raison de croire que la législation le concernant l’empêche de remplir les instructions données par l’exportateur et les obligations qui lui incombent conformément au contrat. Si cette législation fait l’objet d’une modification susceptible d’entraîner des conséquences négatives importantes pour les garanties et les obligations offertes par les clauses types, il communiquera celle-ci sans retard à l’exportateur, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat. Conformément à la clause 4, sous g), l’exportateur doit transmettre la notification reçue de l’importateur à l’autorité de contrôle compétente s’il décide de continuer le transfert.

134.

Je crois nécessaire d’apporter ici quelques précisions relatives à la teneur de l’examen auquel doivent se livrer les parties au contrat aux fins de déterminer, au regard de la note en bas de page afférente à la clause 5, si les obligations que le droit de l’État tiers impose à l’importateur emportent violation des clauses types et, partant, empêchent le transfert d’être entouré de garanties appropriées. Cette problématique a été soulevée, en substance, dans le cadre de la seconde partie de la sixième question préjudicielle.

135.

Un tel examen implique, selon moi, la prise en considération de l’ensemble des circonstances caractérisant chaque transfert, au nombre desquelles peuvent compter la nature des données et leur éventuel caractère sensible, les mécanismes mis en œuvre par l’exportateur et/ou l’importateur pour en assurer la sécurité ( 51 ), la nature et la finalité des traitements par les autorités publiques du pays tiers auxquels seront exposées les données, les modalités de ces traitements ainsi que les limitations et garanties assurées par ce pays tiers. Les éléments caractérisant les activités de traitement par les autorités publiques et les garanties applicables dans l’ordre juridique dudit pays tiers peuvent, à mon sens, recouper ceux énoncés à l’article 45, paragraphe 2, du RGPD.

136.

En second lieu, les clauses contractuelles types énoncées à l’annexe de la décision 2010/87 instituent au bénéfice des personnes concernées des droits opposables ainsi que des voies de recours contre l’exportateur et, subsidiairement, contre l’importateur.

137.

Ainsi, la clause 3, intitulée « Tiers bénéficiaire », prévoit, à son paragraphe 1, un droit de recours de la personne concernée contre l’exportateur en cas de violation, notamment, de la clause 5, sous a) ou b). Conformément à la clause 3, paragraphe 2, lorsque l’exportateur a matériellement disparu ou a cessé d’exister en droit, la personne concernée peut faire appliquer cette clause contre l’importateur.

138.

La clause 6, paragraphe 1, octroie, à toute personne concernée ayant subi un dommage du fait d’un manquement aux obligations visées à la clause 3, le droit d’obtenir de l’exportateur réparation du préjudice subi. En vertu de la clause 7, paragraphe 1, l’importateur convient que si la personne concernée invoque à son égard le droit du tiers bénéficiaire et/ou demande réparation du préjudice subi, il acceptera la décision de cette personne soit de soumettre le litige à la médiation d’une personne indépendante ou, le cas échéant, de l’autorité de contrôle, soit de saisir les tribunaux de l’État membre où l’exportateur est établi.

139.

En sus des voies de recours dont elles disposent en vertu des clauses contractuelles types prévues à l’annexe de la décision 2010/87, les personnes concernées peuvent, lorsqu’elles estiment que ces clauses ont été violées, solliciter des autorités de contrôle l’adoption de mesures correctrices au titre de l’article 58, paragraphe 2, du RGPD, auquel renvoie l’article 4 de la décision 2010/87 ( 52 ).

2. Sur les obligations incombant aux autorités de contrôle

140.

Les raisons suivantes me conduisent à considérer, à l’instar de M. Schrems, de l’Irlande, des gouvernements allemand, autrichien, belge, néerlandais et portugais ainsi que de l’EDPB, que l’article 58, paragraphe 2, du RGPD oblige les autorités de contrôle, lorsqu’elles estiment, au terme d’un examen diligent, que des données transférées vers un pays tiers ne bénéficient pas d’une protection appropriée en raison du non-respect des clauses contractuelles convenues, à prendre les mesures adéquates pour remédier à cette illégalité, si nécessaire en ordonnant la suspension du transfert.

141.

En premier lieu, j’observe que, contrairement à ce qu’avance le DPC, aucune disposition de la décision 2010/87 ne limite à des cas exceptionnels l’exercice des pouvoirs d’« imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement » et d’« ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers », dont disposent les autorités de contrôle en vertu de l’article 58, paragraphe 2, sous f) et j), du RGPD.

142.

La version initiale de l’article 4 de la décision 2010/87 confinait, certes, à son paragraphe 1, l’exercice par les autorités de contrôle de leurs pouvoirs de suspendre ou d’interdire des flux transfrontières de données à certaines hypothèses dans lesquelles il était établi qu’un transfert fondé sur des termes contractuels risquait d’avoir des conséquences négatives importantes pour les garanties destinées à protéger la personne concernée. Cependant, l’article 4 de cette décision, telle que modifiée par la Commission en 2016 aux fins de se conformer à l’arrêt Schrems ( 53 ), se borne désormais à faire référence à ces pouvoirs, sans aucunement les limiter. En tout état de cause, une décision d’exécution de la Commission, telle que la décision 2010/87, ne saurait valablement restreindre les pouvoirs conférés aux autorités de contrôle en vertu du RGPD lui-même ( 54 ).

143.

Cette conclusion n’est pas remise en cause par le considérant 11 de la décision 2010/87, lequel énonce que les pouvoirs de suspension et d’interdiction des transferts ne peuvent être exercés par les autorités de contrôle que dans des « cas exceptionnels ». Ce considérant, déjà présent dans la version initiale de cette décision, se rapportait à l’ancien article 4, paragraphe 1, de ladite décision qui limitait les pouvoirs des autorités de contrôle. Lors de la révision de la décision 2010/87 par la décision 2016/2297, la Commission a omis de retirer ou d’amender ledit considérant en vue d’en adapter le contenu au prescrit du nouvel article 4. Le considérant 5 de la décision 2016/2297 a pourtant réaffirmé le pouvoir des autorités de contrôle de suspendre ou d’interdire tout transfert qu’elles estiment contraire au droit de l’Union, notamment en raison du non-respect par l’importateur des clauses contractuelles types. Le considérant 11 de la décision 2010/87, en ce qu’il contredit désormais tant le libellé que l’objectif d’une disposition juridiquement contraignante de celle-ci, doit être qualifié d’obsolète ( 55 ).

144.

En second lieu, contrairement à ce que soutient également le DPC, l’exercice des pouvoirs de suspension et d’interdiction prévus à l’article 58, paragraphe 2, sous f) et j), du RGPD ne constitue pas davantage une simple faculté laissée à la discrétion des autorités de contrôle. Cette conclusion découle, selon moi, d’une interprétation de l’article 58, paragraphe 2, du RGPD à la lumière d’autres dispositions de ce règlement et de la Charte, de même que de l’économie générale et des objectifs de la décision 2010/87.

145.

En particulier, l’article 58, paragraphe 2, du RGPD doit être lu au regard de l’article 8, paragraphe 3, de la Charte et de l’article 16, paragraphe 2, TFUE. Conformément à ces dispositions, le respect des exigences qu’implique le droit fondamental à la protection des données à caractère personnel est soumis au contrôle d’autorités indépendantes. Cette mission de surveillance du respect des exigences relatives à la protection des données à caractère personnel, également mentionnée à l’article 57, paragraphe 1, sous a), du RGPD, implique une obligation pour les autorités de contrôle d’agir de façon à assurer la bonne application de ce règlement.

146.

Ainsi, une autorité de contrôle doit examiner avec toute la diligence requise la plainte introduite par une personne dont les données sont prétendument transférées vers un État tiers en méconnaissance des clauses contractuelles types applicables au transfert ( 56 ). L’article 58, paragraphe 1, du RGPD investit, à cet effet, les autorités de contrôle d’importants pouvoirs d’enquête ( 57 ).

147.

L’autorité de contrôle compétente est également tenue de réagir de manière appropriée aux éventuelles violations des droits de la personne concernée qu’elle aurait constatées à l’issue de son enquête. À cet égard, chaque autorité de contrôle dispose, en vertu de l’article 58, paragraphe 2, du RGPD, d’un large éventail de moyens – les divers pouvoirs d’adopter des mesures correctrices énumérés à cette disposition – pour accomplir la tâche qui lui a été impartie ( 58 ).

148.

Bien que le choix du moyen le plus efficace relève de la discrétion de l’autorité de contrôle compétente eu égard à toutes les circonstances du transfert en cause, celle-ci est tenue de s’acquitter pleinement de la mission de surveillance qui lui a été confiée. Le cas échéant, cette autorité doit suspendre le transfert si elle conclut que les clauses contractuelles types ne sont pas respectées et qu’une protection appropriée des données transférées ne peut pas être assurée par d’autres moyens, à défaut pour l’exportateur d’avoir lui-même mis fin au transfert.

149.

Cette interprétation est corroborée par l’article 58, paragraphe 4, du RGPD, lequel prévoit que l’exercice des pouvoirs conférés aux autorités de contrôle en application de cet article est subordonné à des garanties appropriées, incluant un droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte. L’article 78, paragraphes 1 et 2, du RGPD reconnaît, par ailleurs, le droit pour toute personne de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne ou lorsque cette autorité omet de traiter sa réclamation ( 59 ).

150.

Ces dispositions impliquent, comme le font valoir, en substance, M. Schrems, la BSA, l’Irlande, les gouvernements polonais et du Royaume-Uni de même que la Commission, qu’une décision par laquelle une autorité de contrôle s’abstient d’interdire ou de suspendre un transfert vers un pays tiers, à la demande d’une personne invoquant un risque que des données la concernant y soient traitées en contrariété avec ses droits fondamentaux, peut faire l’objet d’un recours juridictionnel. Or, la reconnaissance d’un droit de recours juridictionnel suppose l’existence d’une compétence liée, et non purement discrétionnaire, des autorités de contrôle. En outre, M. Schrems et la Commission ont souligné, à juste titre, que l’exercice d’un contrôle juridictionnel effectif implique que l’autorité auteure de l’acte contesté motive celui-ci de façon adéquate ( 60 ). Cette obligation de motivation s’étend, à mon sens, au choix par les autorités de contrôle de faire usage de l’un ou de l’autre des pouvoirs que leur confère l’article 58, paragraphe 2, du RGPD.

151.

Encore faut-il, cependant, répondre aux arguments par lesquels le DPC fait valoir que, quand bien même les autorités de contrôle seraient tenues de suspendre ou d’interdire un transfert lorsque la protection des droits de la personne concernée l’exige, la validité de la décision 2010/87 n’en serait pas pour autant assurée.

152.

Premièrement, le DPC considère qu’une telle obligation ne remédierait pas aux problèmes systémiques relatifs à l’absence de garanties adéquates dans un pays tiers tel que les États-Unis. En effet, les pouvoirs des autorités de contrôle ne peuvent être exercés qu’au cas par cas, alors même que les lacunes caractérisant le droit américain revêtiraient une nature générale et structurelle. Il en résulterait un risque d’adoption, par différentes autorités de contrôle, de décisions divergentes concernant des transferts comparables.

153.

À ce sujet, je ne puis ignorer les difficultés pratiques liées au choix législatif de faire reposer sur les autorités de contrôle la responsabilité de veiller au respect des droits fondamentaux des personnes concernées dans le cadre de transferts spécifiques ou de flux vers un destinataire donné. Ces difficultés ne m’apparaissent cependant pas entraîner l’invalidité de la décision 2010/87.

154.

En effet, le droit de l’Union n’exige pas, me semble-t-il, qu’une solution globale et préventive soit apportée pour l’ensemble des transferts vers un pays tiers déterminé susceptibles d’emporter les mêmes risques de violation des droits fondamentaux.

155.

De surcroît, le risque de fragmentation des approches suivies par les différentes autorités de contrôle est inhérent à l’architecture de surveillance décentralisée voulue par le législateur ( 61 ). Au demeurant, comme l’a souligné le gouvernement allemand, le chapitre VII du RGPD, intitulé « Coopération et cohérence », institue des mécanismes destinés à éviter ce risque. L’article 60 de ce règlement prévoit, en cas de traitement transfrontalier de données, une procédure de coopération entre les autorités de contrôle concernées et l’autorité de contrôle de l’établissement du responsable du traitement, dite « autorité de contrôle chef de file » ( 62 ). En cas d’opinions divergentes, le désaccord doit être tranché par l’EDPB ( 63 ). Ce dernier est également compétent pour délivrer, à la demande d’une autorité de contrôle, des avis sur toute question dont l’intérêt s’étend à plusieurs États membres ( 64 ).

156.

Deuxièmement, le DPC excipe de l’invalidité de la décision 2010/87 au regard de l’article 47 de la Charte au motif que les autorités de contrôle ne peuvent protéger les droits des personnes concernées que pour l’avenir, sans offrir de solution à celles dont les données ont déjà été transférées. En particulier, le DPC relève que l’article 58, paragraphe 2, du RGPD ne prévoit pas de droit d’accès, de rectification et d’effacement des données collectées par les autorités publiques du pays tiers ni de possibilité d’indemnisation des dommages subis par les personnes concernées.

157.

S’agissant de l’absence alléguée d’un droit d’accès, de rectification et d’effacement des données collectées, force est de constater que, lorsqu’aucun recours effectif n’existe dans le pays tiers de destination, les voies de recours prévues au sein de l’Union contre le responsable du traitement ne permettent pas d’obtenir, de la part des autorités publiques de ce pays tiers, l’accès à ces données ou encore leur rectification ou leur effacement.

158.

À mon sens, cette objection ne justifie toutefois pas l’incompatibilité de la décision 2010/87 avec l’article 47 de la Charte. En effet, la validité de cette décision ne dépend pas du niveau de protection existant dans chaque pays tiers vers lequel des données pourraient être transférées sur le fondement des clauses contractuelles types qu’elle énonce. Si le droit de l’État tiers de destination empêche l’importateur d’observer ces clauses en exigeant qu’il concède aux autorités publiques un accès aux données qui ne s’accompagne pas de possibilités de recours appropriées, il incombe, à défaut pour l’exportateur d’avoir suspendu le transfert en vertu de la clause 5, sous a) ou b), figurant à l’annexe de la décision 2010/87, aux autorités de contrôle d’adopter des mesures correctrices.

159.

Par ailleurs, comme l’a souligné M. Schrems, les personnes dont les droits ont été violés bénéficient désormais, en vertu de l’article 82 du RGPD, d’un droit à la réparation du dommage matériel ou moral encouru du fait d’une violation de ce règlement à charge du responsable du traitement ou du sous-traitant ( 65 ).

160.

Ainsi qu’il ressort de l’ensemble de ces considérations, mon analyse n’a mis en lumière aucun élément de nature à affecter la validité de la décision 2010/87 au regard des articles 7, 8 et 47 de la Charte.

F. Sur l’absence de nécessité de répondre aux autres questions préjudicielles et d’examiner la validité de la décision « bouclier de protection des données »

161.

Dans la présente section, j’expose les raisons, tenant principalement à la limitation de l’objet du litige au principal à la validité de la décision 2010/87, pour lesquelles j’estime qu’il n’y a pas lieu de répondre aux deuxième à cinquième ainsi qu’aux neuvième et dixième questions préjudicielles ni de se prononcer sur la validité de la décision « bouclier de protection des données ».

162.

La deuxième question préjudicielle a trait à l’identification des standards de protection qu’un pays tiers doit respecter pour que des données puissent légalement y être transférées sur la base de clauses contractuelles types lorsque ces données, après leur transfert, sont susceptibles d’être traitées à des fins de sécurité nationale par les autorités de ce pays tiers. La troisième question déférée à la Cour concerne la détermination des éléments caractérisant le régime de protection applicable dans l’État tiers de destination qui doivent être pris en compte en vue de vérifier s’il satisfait à ces standards.

163.

Par ses quatrième, cinquième et dixième questions, la juridiction de renvoi cherche essentiellement à savoir si, compte tenu des faits qu’elle a établis concernant le droit des États-Unis, des garanties appropriées y sont prévues contre les ingérences de la part des autorités de renseignement américaines dans l’exercice des droits fondamentaux au respect de la vie privée, à la protection des données à caractère personnel et à la protection juridictionnelle effective.

164.

La neuvième question préjudicielle porte sur l’incidence que revêt, dans le cadre de l’examen par lequel une autorité de contrôle vérifie si un transfert vers les États-Unis fondé sur les clauses contractuelles types prévues dans la décision 2010/87 s’accompagne de garanties appropriées, la circonstance selon laquelle la Commission, dans la décision « bouclier de protection des données », a constaté que les États-Unis offrent un niveau de protection adéquat des droits fondamentaux des personnes concernées contre de telles ingérences.

165.

La question de la validité de la décision « bouclier de protection des données » n’a, quant à elle, pas été explicitement posée par la juridiction de renvoi – bien que, comme expliqué ci-après ( 66 ), les quatrième, cinquième et dixième questions préjudicielles mettent, indirectement, en doute le bien-fondé du constat d’adéquation auquel s’est livrée la Commission dans cette décision.

166.

Selon moi, au vu des éléments qui ressortent de l’analyse qui précède, l’éclairage de la Cour sur ces questions ne serait pas susceptible d’affecter sa conclusion relative à la validité in abstracto de la décision 2010/87 ni, dès lors, d’influer sur la résolution du litige au principal (section 1). Par ailleurs, si les réponses de la Cour auxdites questions pourraient, à un stade ultérieur, se révéler utiles au DPC aux fins de déterminer, dans le cadre de la procédure sous-jacente à ce litige, si les transferts en cause doivent, in concreto, être suspendus en raison de l’absence prétendue de garanties appropriées, il serait, à mes yeux, prématuré de les trancher dans le cadre de la présente affaire (section 2).

1. Sur l’absence de nécessité des réponses de la Cour au regard de l’objet du litige au principal

167.

Le litige au principal résulte, je le rappelle, de l’exercice par le DPC de la voie de recours décrite au point 65 de l’arrêt Schrems, aux termes duquel chaque État membre doit permettre à une autorité de contrôle, lorsqu’elle l’estime nécessaire aux fins du traitement d’une plainte dont elle est saisie, de demander à une juridiction nationale de déférer à la Cour une question préjudicielle relative à la validité d’une décision d’adéquation – ou, par analogie, d’une décision instituant des clauses contractuelles types.

168.

À cet égard, la High Court (Haute Cour) a souligné qu’elle disposait pour seules options, après avoir été saisie par le DPC, soit d’introduire le renvoi préjudiciel sur la validité de la décision 2010/87 demandé par le DPC dans l’hypothèse où elle aurait partagé ses doutes relatifs à la validité de cette décision, soit de refuser d’accéder à cette demande dans l’hypothèse contraire. Cette juridiction considère que, si elle avait emprunté cette seconde voie, elle aurait dû rejeter l’instance dès lors que la plainte du DPC n’avait pas d’autre objet ( 67 ).

169.

Sur cette même ligne, la Supreme Court (Cour suprême), saisie d’un appel interjeté par Facebook Ireland contre la décision de renvoi, a décrit le litige au principal comme une procédure déclaratoire par laquelle le DPC demandait à la juridiction de renvoi de poser à la Cour une question préjudicielle sur la validité de la décision 2010/87. Selon la juridiction suprême irlandaise, la seule question substantielle soulevée devant la juridiction de renvoi et devant la Cour concerne, dès lors, la validité de cette décision ( 68 ).

170.

Eu égard à l’objet du litige au principal ainsi circonscrit, la juridiction de renvoi a déféré à la Cour ses dix premières questions dans la mesure où elle considérait que leur examen participerait de l’évaluation d’ensemble nécessaire à la Cour pour se prononcer, en réponse à la onzième question, sur la validité de la décision 2010/87 au regard des articles 7, 8 et 47 de la Charte. Cette question représente, aux termes de la décision de renvoi, l’aboutissement logique des questions qui la précèdent.

171.

Dans cette optique, les deuxième à cinquième ainsi que les neuvième et dixième questions me paraissent être sous-tendues par la prémisse selon laquelle la validité de la décision 2010/87 dépendrait du niveau de protection des droits fondamentaux prévu dans chacun des État tiers vers lesquels des données peuvent être transférées sur la base des clauses contractuelles types qu’elle prévoit. Or, ainsi qu’il ressort de mon analyse de la septième question ( 69 ), cette prémisse est, à mon sens, erronée. L’examen du droit du pays tiers de destination n’entre en jeu que lorsque la Commission adopte une décision d’adéquation ou lorsque le responsable du traitement – ou, à défaut, l’autorité de contrôle compétente – vérifie si, dans le cadre d’un transfert fondé sur des garanties appropriées au sens de l’article 46, paragraphe 1, du RGPD, les obligations que le droit de ce pays tiers impose à l’importateur ne compromettent pas l’effectivité de la protection assurée par ces garanties.

172.

Par conséquent, les réponses de la Cour aux questions susmentionnées ne sont pas susceptibles d’influencer sa conclusion sur la onzième question ( 70 ). Aussi n’y a-t-il pas lieu d’y répondre du point de vue de l’objet du litige au principal.

173.

Je propose à la Cour de se limiter à traiter la présente affaire sous l’angle de l’objet de ce litige. La Cour ne devrait, à mon avis, pas dépasser ce que requiert la résolution dudit litige en abordant les questions préjudicielles du point de vue de la procédure sous-jacente en cours devant le DPC. Comme exposé ci-après, cette invitation à la retenue procède, d’une part, du souci de ne pas court-circuiter le déroulement normal de la procédure qui devra continuer devant le DPC après que la Cour aura statué sur la validité de la décision 2010/87. D’autre part, au vu des faits de l’espèce, il me paraîtrait quelque peu précipité, même du point de vue de l’enjeu de cette procédure, que la Cour examine les problématiques soulevées par les deuxième à cinquième ainsi que par les neuvième et dixième questions.

2. Sur les raisons plaidant en défaveur d’un examen par la Cour au regard de l’objet de la procédure pendante devant le DPC

174.

Dans sa plainte auprès du DPC, M. Schrems demande à cette autorité de contrôle d’exercer les pouvoirs dont elle dispose en vertu de l’article 58, paragraphe 2, sous f), du RGPD en ordonnant à Facebook Ireland de suspendre le transfert vers les États-Unis, effectué sur la base de clauses contractuelles, des données personnelles le concernant. À l’appui de cette demande, M. Schrems invoque essentiellement le caractère inapproprié de ces garanties contractuelles au regard des ingérences dans l’exercice de ses droits fondamentaux découlant des activités des services de renseignement américains.

175.

L’argumentation de M. Schrems met en cause le constat, dressé par la Commission dans la décision « bouclier de protection des données », selon lequel les États-Unis assurent un niveau de protection adéquat des données transférées en vertu de cette décision eu égard aux restrictions apportées à l’accès à ces données et à leur utilisation par les autorités de renseignement américaines ainsi qu’à la protection juridique offerte aux personnes concernées ( 71 ). Les préoccupations exprimées par le DPC à titre provisoire ( 72 ), de même que par la juridiction de renvoi dans le cadre de ses quatrième, cinquième et dixième questions, jettent également, de manière indirecte, des doutes sur le bien-fondé de ce constat.

176.

Assurément, la décision « bouclier de protection des données » se limite à constater l’adéquation du niveau de protection des données personnelles transférées, conformément aux principes qu’elle énonce, vers une entreprise établie aux États-Unis ayant autocertifié son adhésion à ces principes ( 73 ). Cependant, les considérations qui y figurent dépassent le contexte des transferts couverts par cette décision dans la mesure où elles portent sur le droit et les pratiques en vigueur dans ce pays tiers concernant le traitement, à des fins de protection de la sécurité nationale, des données transférées. Comme l’ont observé en substance Facebook Ireland, M. Schrems, le gouvernement des États-Unis et la Commission, la surveillance exercée par les autorités de renseignement américaines, de même que les garanties contre les risques d’abus qu’elle comporte et les mécanismes visant à en contrôler le respect, s’appliquent quelle que soit, du point de vue du droit de l’Union, la base légale invoquée au soutien du transfert.

177.

Dans cette perspective, la question de savoir si les constats dressés à ce sujet dans la décision « bouclier de protection des données » lient les autorités de contrôle lorsqu’elles examinent la légalité d’un transfert opéré sur le fondement de clauses contractuelles types pourrait s’avérer pertinente aux fins du traitement par le DPC de la plainte de M. Schrems. En cas de réponse affirmative à cette question, se poserait celle de savoir si cette décision est bien valide.

178.

Toutefois, je déconseille à la Cour de statuer sur ces questions dans le seul but d’aider le DPC à traiter cette plainte, alors même qu’il n’y a pas lieu d’y répondre pour permettre à la juridiction de renvoi de résoudre le litige au principal. La procédure prévue à l’article 267 TFUE instituant un dialogue entre juges, la Cour n’est pas appelée à apporter un éclairage à l’unique fin d’assister une autorité administrative dans le cadre d’une procédure sous-jacente à ce litige.

179.

La réserve s’impose, selon moi, d’autant plus que la question de la validité de la décision « bouclier de protection des données » ne lui a pas été expressément déférée – cette décision faisant, par ailleurs, déjà l’objet d’un recours en annulation pendant devant le Tribunal de l’Union européenne ( 74 ).

180.

De surcroît, en se prononçant sur les problématiques susdécrites, la Cour perturberait, à mon sens, le cours normal de la procédure devant se dérouler après qu’elle aura rendu son arrêt dans la présente affaire. Dans le cadre de cette procédure, il incombera au DPC de traiter la plainte de M. Schrems en tenant compte de la réponse que la Cour apportera à la onzième question préjudicielle. Si la Cour juge, comme je le propose et contrairement à ce que le DPC a soutenu devant elle, que la décision 2010/87 n’est pas invalide au regard des articles 7, 8 et 47 de la Charte, le DPC devrait, à mes yeux, recevoir la possibilité de réexaminer le dossier de la procédure en cours devant lui. Dans l’hypothèse où le DPC estimerait ne pas être en mesure de statuer sur la plainte de M. Schrems sans que la Cour détermine au préalable si la décision « bouclier de protection des données » fait obstacle à l’exercice de ses pouvoirs de suspension du transfert en cause et confirmerait nourrir des doutes sur la validité de cette décision, il lui serait loisible de saisir à nouveau les tribunaux nationaux aux fins que ceux-ci interrogent la Cour à ce propos ( 75 ).

181.

Serait alors enclenchée une procédure permettant à toute partie et à tout intéressé visé à l’article 23, deuxième alinéa, du statut de la Cour de soumettre à la Cour des observations concernant spécifiquement la validité de la décision « bouclier de protection des données », en indiquant, le cas échéant, les appréciations particulières qu’il conteste ainsi que les raisons pour lesquelles il estime que la Commission y a outrepassé la marge d’appréciation réduite dont elle disposait ( 76 ). Dans le cadre d’une telle procédure, la Commission aurait l’opportunité de répondre précisément et en détail à chacune des critiques éventuelles dirigées contre ladite décision. Bien que la présente affaire ait fourni l’occasion aux parties et intéressés ayant soumis des observations à la Cour de débattre de certains aspects pertinents aux fins d’évaluer la conformité de la décision « bouclier de protection des données » aux articles 7, 8 et 47 de la Charte, cette question mérite, eu égard à son enjeu, que lui soit consacré un échange exhaustif et approfondi.

182.

À mon avis, la prudence commande d’attendre que ces étapes procédurales soient franchies avant que la Cour n’examine l’incidence qu’exerce la décision « bouclier de protection des données » sur le traitement par une autorité de contrôle d’une demande de suspension d’un transfert effectué vers les États-Unis au titre de l’article 46, paragraphe 1, du RGPD et ne se prononce sur la validité de cette décision.

183.

Il en va ainsi, à plus forte raison, dans la mesure où le dossier soumis à la Cour ne permet pas de conclure que le traitement par le DPC de la plainte de M. Schrems dépendra nécessairement du point de savoir si la décision « bouclier de protection des données » s’oppose à l’exercice par les autorités de contrôle de leur pouvoir de suspendre un transfert fondé sur des clauses contractuelles types.

184.

À cet égard, en premier lieu, il n’est pas exclu que le DPC soit amené à suspendre le transfert en cause pour d’autres motifs que ceux relatifs à la prétendue inadéquation du niveau de protection assuré aux États-Unis contre des atteintes aux droits fondamentaux des personnes concernées découlant des activités des services de renseignement américains. En particulier, la juridiction de renvoi a précisé que M. Schrems soutient, dans sa plainte auprès du DPC, que les clauses contractuelles invoquées par Facebook Ireland à l’appui de ce transfert ne reflètent pas fidèlement celles énoncées à l’annexe de la décision 2010/87. M. Schrems allègue, en outre, que ledit transfert relève du champ d’application non pas de cette décision, mais bien des autres décisions CCT ( 77 ).

185.

En second lieu, le DPC et la juridiction de renvoi ont souligné que Facebook Ireland n’a pas invoqué, à l’appui du transfert visé dans la plainte de M. Schrems, la décision « bouclier de protection des données » ( 78 ), ce qu’a confirmé cette société lors de l’audience. Bien que Facebook Inc. ait autocertifié son adhésion aux principes du bouclier de protection des données depuis le 30 septembre 2016 ( 79 ), Facebook Ireland affirme que cette adhésion ne concerne que le transfert de certaines catégories de données, à savoir celles concernant les partenaires commerciaux de Facebook Inc. Il me semblerait inopportun que la Cour anticipe les interrogations qui pourraient survenir à ce sujet en examinant si, à supposer que Facebook Ireland ne puisse pas se prévaloir de la décision 2010/87 au soutien du transfert en cause, ce transfert serait néanmoins couvert par la décision « bouclier de protection des données », alors même que cette dernière n’a soulevé cet argument ni devant la juridiction de renvoi ni devant le DPC.

186.

J’en conclus qu’il n’y a pas lieu de répondre aux deuxième à cinquième ainsi qu’aux neuvième et dixième questions préjudicielles ni d’examiner la validité de la décision « bouclier de protection des données ».

G. Observations subsidiaires relatives aux effets et à la validité de la décision « bouclier de protection des données »

187.

Bien que l’analyse qui précède m’amène à proposer à la Cour, à titre principal, de s’abstenir de se prononcer sur l’incidence de la décision « bouclier de protection des données » sur le traitement d’une plainte telle que celle formée par M. Schrems devant le DPC et sur la validité de cette décision, il m’a semblé utile de développer, à titre subsidiaire et avec réserves, quelques observations non exhaustives à ce sujet.

1. Sur l’incidence de la décision « bouclier de protection des données » dans le cadre du traitement par une autorité de contrôle d’une plainte relative à la légalité d’un transfert fondé sur des garanties contractuelles

188.

La neuvième question préjudicielle soulève le point de savoir si le constat opéré dans la décision « bouclier de protection des données » relatif au caractère adéquat, au vu des limitations apportées à l’accès aux données transférées et à leur utilisation par les autorités américaines à des fins de sécurité nationale ainsi qu’à la protection juridique des personnes concernées, du niveau de protection assuré aux États-Unis fait obstacle à ce qu’une autorité de contrôle suspende un transfert vers ce pays tiers exécuté en vertu de clauses contractuelles types.

189.

Cette problématique doit, me semble-t-il, être appréhendée au regard des points 51 et 52 de l’arrêt Schrems, dont il ressort qu’une décision d’adéquation s’impose aux autorités de contrôle aussi longtemps qu’elle n’est pas déclarée invalide. Une autorité de contrôle saisie de la plainte d’une personne dont les données sont transférées vers le pays tiers visé par une décision d’adéquation ne saurait, dès lors, suspendre le transfert au motif que le niveau de protection y est inadéquat, sans que la Cour ait au préalable déclaré cette décision invalide ( 80 ).

190.

La juridiction de renvoi souhaite essentiellement savoir si, s’agissant d’une décision d’adéquation – telle que la décision « bouclier de protection des données » ou, avant elle, la décision « sphère de sécurité » – reposant sur l’adhésion volontaire des entreprises aux principes qu’elle énonce, cette conclusion vaut uniquement dans la mesure où le transfert vers le pays tiers en cause est couvert par cette décision, ou également lorsqu’il repose sur une base légale distincte.

191.

Selon M. Schrems, les gouvernements allemand, néerlandais, polonais et portugais ainsi que la Commission, le constat d’adéquation opéré dans la décision « bouclier de protection des données » ne prive pas les autorités de contrôle de leur pouvoir de suspendre ou d’interdire un transfert vers les États-Unis exécuté en vertu de clauses contractuelles types. Lorsque le transfert vers les États-Unis ne se fonde pas sur la décision « bouclier de protection des données », les autorités de contrôle ne seraient pas formellement liées par cette décision dans le cadre de l’exercice des pouvoirs que leur confère l’article 58, paragraphe 2, du RGPD. Ces autorités pourraient, en d’autres termes, se distancer des constatations effectuées par la Commission concernant l’adéquation du niveau de protection contre les ingérences des autorités publiques américaines dans l’exercice des droits fondamentaux des personnes concernées. Le gouvernement néerlandais et la Commission précisent que les autorités de contrôle doivent, néanmoins, en tenir compte lorsqu’elles font usage de ces pouvoirs. De l’avis du gouvernement allemand, ces autorités ne pourraient se livrer à des appréciations contraires qu’au terme d’un examen sur le fond, comportant les investigations pertinentes, des constatations opérées par la Commission.

192.

En revanche, Facebook Ireland et le gouvernement des États-Unis font valoir, en substance, que l’effet contraignant d’une décision d’adéquation implique, à la lumière des impératifs de sécurité juridique et d’application uniforme du droit de l’Union, que les autorités de contrôle ne sont pas habilitées à remettre en cause, même dans le cadre du traitement d’une plainte visant à obtenir la suspension de transferts effectués vers le pays tiers en cause sur un autre fondement que cette décision, les constatations figurant dans ladite décision.

193.

Je souscris à la première de ces deux approches. Le champ d’application de la décision « bouclier de protection des données » étant limité aux transferts exécutés vers une entreprise autocertifiée au titre de cette décision, ladite décision ne saurait contraindre formellement les autorités de contrôle s’agissant des transferts qui ne relèvent pas de ce champ d’application. La décision « bouclier de protection des données » n’a, corrélativement, pour prétention d’assurer la sécurité juridique qu’au bénéfice des exportateurs qui transfèrent des données dans le cadre qu’elle institue. À mes yeux, l’indépendance que l’article 52 du RGPD reconnaît aux autorités de contrôle tend également à s’opposer à ce qu’elles soient liées par les constats dressés par la Commission dans une décision d’adéquation au-delà même de son champ d’application.

194.

Bien évidemment, les constatations figurant dans la décision « bouclier de protection des données » relatives à l’adéquation du niveau de protection assuré aux États-Unis contre les ingérences liées aux activités de leurs services de renseignement, constituent le point de départ de l’analyse par laquelle une autorité de contrôle évalue, au cas par cas, si un transfert fondé sur des clauses contractuelles types doit être suspendu en raison de telles ingérences. Toutefois, si elle estime, au terme d’une enquête approfondie, ne pas pouvoir se rallier à ces constatations en ce qui concerne le transfert porté à son attention, l’autorité de contrôle compétente conserve, selon moi, la faculté d’exercer les pouvoirs que lui confère l’article 58, paragraphe 2, sous f) et j), du RGPD.

195.

Cela étant, dans l’hypothèse où la Cour réserverait à la question ici examinée une réponse contraire à celle que je défends, il y aurait lieu d’examiner si ces pouvoirs ne devraient pas néanmoins être restaurés en raison de l’invalidité de la décision « bouclier de protection des données ».

2. Sur la validité de la décision « bouclier de protection des données »

196.

Les observations qui suivent soulèveront certaines interrogations quant au bien-fondé des appréciations figurant dans la décision « bouclier de protection des données » en ce qui concerne le caractère adéquat, au sens de l’article 45, paragraphe 1, du RGPD, du niveau de protection assuré par les États-Unis au regard des activités de surveillance des communications électroniques menées par les autorités de renseignement américaines. Ces observations n’ont pas vocation à exposer une position définitive ou exhaustive sur la validité de cette décision. Elles se borneront à fournir certaines réflexions qui pourraient se révéler utiles à la Cour dans l’hypothèse où elle souhaiterait, contrairement à ce que je préconise, statuer sur ce point.

197.

À ce propos, il ressort du considérant 64 et du point I.5 de l’annexe II de la décision « bouclier de protection des données » que l’adhésion des entreprises aux principes énoncés dans cette décision peut être limitée, notamment, par des exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation ou par des obligations contradictoires tirées du droit américain.

198.

La Commission a, dès lors, évalué les garanties prévues dans le droit des États-Unis en ce qui concerne l’accès aux données transférées et leur utilisation par les autorités publiques américaines à des fins, en particulier, de sécurité nationale ( 81 ). Elle a obtenu de la part du gouvernement américain certains engagements concernant, d’une part, les limitations à l’accès et à l’utilisation par les autorités américaines des données transférées ainsi que, d’autre part, la protection juridique offerte aux personnes concernées ( 82 ).

199.

Devant la Cour, M. Schrems excipe de l’invalidité de la décision « bouclier de protection des données » au motif que les garanties ainsi décrites ne suffisent pas à assurer un niveau adéquat de protection des droits fondamentaux des personnes dont les données sont transférées vers les États-Unis. Le DPC, l’EPIC ainsi que les gouvernements autrichien, polonais et portugais, sans directement mettre en cause la validité de cette décision, contestent les appréciations que la Commission y a effectuées concernant l’adéquation du niveau de protection contre les ingérences découlant des activités des services de renseignement américains. Ces doutes relayent les préoccupations exprimées par le Parlement ( 83 ), l’EDPB ( 84 ) et le CEPD ( 85 ).

200.

Avant d’examiner le bien-fondé du constat d’adéquation opéré dans la décision « bouclier de protection des données », il est nécessaire de préciser la méthodologie devant guider cet examen.

a) Précisions concernant la teneur de l’examen de validité d’une décision d’adéquation

1) Sur les termes de la comparaison permettant d’évaluer l’« équivalence substantielle » du niveau de protection

201.

Conformément à l’article 45, paragraphe 3, du RGPD et à la jurisprudence de la Cour ( 86 ), la Commission ne peut constater qu’un pays tiers assure un niveau de protection adéquat que pour autant qu’elle ait conclu, de manière dûment motivée, que le niveau de protection des droits fondamentaux des personnes concernées y est « substantiellement équivalent » à celui qui est requis dans l’Union en vertu de ce règlement lu à la lumière de la Charte.

202.

Ainsi, la vérification du caractère adéquat du niveau de protection assuré dans un pays tiers implique nécessairement une comparaison entre les règles et les pratiques prévalant dans ce pays tiers, d’une part, et les standards de protection en vigueur dans l’Union, d’autre part. Par sa deuxième question, la juridiction de renvoi demande à la Cour de préciser les termes de cette comparaison ( 87 ).

203.

Plus spécifiquement, cette juridiction cherche à savoir si la réserve de compétence que l’article 4, paragraphe 2, TUE et l’article 2, paragraphe 2, du RGPD reconnaissent aux États membres en matière de protection de la sécurité nationale implique que l’ordre juridique de l’Union ne comporte pas de standards de protection auxquels devraient être comparées, en vue d’en évaluer le caractère adéquat, les garanties encadrant dans un pays tiers le traitement par les autorités publiques, à des fins de protection de la sécurité nationale, des données qui y sont transférées. Dans l’affirmative, ladite juridiction souhaite savoir comment le cadre de référence pertinent doit être déterminé.

204.

À cet égard, il convient de garder à l’esprit que la raison d’être des restrictions que le droit de l’Union apporte aux transferts internationaux de données à caractère personnel, en exigeant que soit assurée la continuité du niveau de protection des droits des personnes concernées, tient à éviter le risque de contournement des standards applicables au sein de l’Union ( 88 ). Ainsi que l’a fait valoir en substance Facebook Ireland, il ne serait aucunement justifié, au regard de cet objectif, d’escompter de la part d’un pays tiers le respect d’exigences qui ne correspondent pas à des obligations incombant aux États membres.

205.

Or, conformément à son article 51, paragraphe 1, la Charte s’applique aux États membres uniquement lorsqu’ils mettent en œuvre le droit de l’Union. Par conséquent, la validité d’une décision d’adéquation au regard des restrictions à l’exercice des droits fondamentaux des personnes concernées découlant de la réglementation du pays tiers de destination dépend d’une comparaison entre ces restrictions et celles qu’autoriseraient de la part des États membres les dispositions de la Charte dans la seule mesure où une réglementation similaire d’un État membre relèverait du champ d’application du droit de l’Union.

206.

Cependant, l’adéquation du niveau de protection assuré dans l’État tiers de destination ne saurait être appréciée en ignorant les éventuelles ingérences dans l’exercice des droits fondamentaux des personnes concernées qui résulteraient de mesures étatiques, notamment dans le domaine de la sécurité nationale, qui, si elles étaient adoptées par un État membre, tomberaient en dehors du champ d’application du droit de l’Union. Aux fins de cette appréciation, l’article 45, paragraphe 2, sous a), du RGPD requiert la prise en compte, sans limitation aucune, des réglementations en matière de sécurité nationale en vigueur dans cet État tiers.

207.

L’évaluation du caractère adéquat du niveau de protection au regard de telles mesures étatiques implique, à mon avis, de comparer les garanties dont elles sont assorties avec le niveau de protection exigé au sein de l’Union en vertu du droit des États membres, en ce compris de leurs engagements au titre de la CEDH. Dès lors que l’adhésion des États membres à la CEDH oblige ceux-ci à mettre leurs droits internes en conformité avec les dispositions de cette convention et constitue ainsi, comme l’ont souligné en substance Facebook Ireland, les gouvernements allemand et tchèque de même que la Commission, un dénominateur commun aux États membres, je considérerai ces dispositions comme le comparateur pertinent aux fins de cette évaluation.

208.

En l’occurrence, comme évoqué ci-avant ( 89 ), les exigences relatives à la sécurité nationale des États-Unis priment les obligations des entreprises autocertifiées au titre de la décision « bouclier de protection des données ». Aussi la validité de cette décision dépend-elle du point de savoir si ces exigences sont entourées de garanties offrant un niveau de protection substantiellement équivalent à celui qui doit être assuré dans l’Union.

209.

La réponse à cette question nécessite, au préalable, d’identifier les standards – à savoir ceux tirés de la Charte ou bien de la CEDH – auxquels devraient répondre, au sein de l’Union, des réglementations en matière de surveillance des communications électroniques semblables à celles que la Commission a examinées dans la décision « bouclier de protection des données ». La détermination des standards applicables dépend du point de savoir si des réglementations telles que l’article 702 du FISA et l’EO 12333 tomberaient ou non, si elles émanaient d’un État membre, sous le coup de la limitation apportée au champ d’application du RGPD en vertu de l’article 2, paragraphe 2, de ce règlement, lu à la lumière de l’article 4, paragraphe 2, TUE.

210.

À ce propos, il ressort du libellé de l’article 4, paragraphe 2, TUE et de la jurisprudence constante que le droit de l’Union et, notamment, les instruments de droit dérivé concernant la protection des données à caractère personnel ne s’appliquent pas aux activités en matière de protection de la sécurité nationale dans la mesure où elles constituent des activités propres aux États ou aux autorités étatiques et étrangères aux domaines d’activité des particuliers ( 90 ).

211.

Ce principe implique, d’une part, qu’une réglementation dans le domaine de la protection de la sécurité nationale ne relève pas du champ d’application du droit de l’Union lorsqu’elle régit uniquement des activités étatiques, sans encadrer aucune activité exercée par des particuliers. En conséquence, ce droit ne s’applique pas, à mes yeux, à des mesures nationales relatives à la collecte et à l’utilisation de données personnelles directement mises en œuvre par l’État à des fins de protection de la sécurité nationale, sans imposer d’obligations spécifiques à des opérateurs privés. En particulier, comme l’a fait valoir la Commission lors de l’audience, une mesure adoptée par un État membre qui, à l’instar de l’EO 12333, autoriserait l’accès direct par ses services de sécurité aux données en transit, serait exclue du champ d’application du droit de l’Union ( 91 ).

212.

Autrement plus complexe est la question de savoir si, d’autre part, des dispositions nationales qui, de la même manière que l’article 702 du FISA, obligent les fournisseurs de services de communications électroniques à offrir leur support aux autorités compétentes en matière de sécurité nationale afin de leur permettre d’accéder à certaines données à caractère personnel tomberaient également en dehors du champ d’application du droit de l’Union.

213.

Alors que l’arrêt PNR plaide en faveur d’une réponse affirmative à cette question, le raisonnement adopté dans les arrêts Tele2 Sverige et Ministerio Fiscal pourrait justifier qu’une réponse négative lui soit apportée.

214.

Dans l’arrêt PNR, la Cour a annulé la décision dans laquelle la Commission avait constaté l’adéquation du niveau de protection des données à caractère personnel contenues dans les dossiers des passagers aériens (Passenger Name Records, PNR) transférés à l’autorité américaine compétente en matière de douanes et de protection des frontières ( 92 ). La Cour a jugé que le traitement sur lequel portait cette décision – à savoir le transfert des données PNR par les compagnies aériennes vers l’autorité en cause – tombait, eu égard à son objet, sous le coup de l’exclusion du champ d’application de la directive 95/46 prévue à son article 3, paragraphe 2. Selon la Cour, ce traitement était nécessaire non pas à la réalisation d’une prestation de services, mais bien à la sauvegarde de la sécurité publique et à des fins répressives. Dès lors que le transfert en cause s’inscrivait dans un cadre institué par les pouvoirs publics et visant la sécurité publique, il était exclu du champ d’application de cette directive en dépit du fait que les données PNR étaient initialement collectées par des opérateurs privés dans le cadre d’une activité commerciale relevant de ce champ d’application et que ce transfert était organisé par ces derniers ( 93 ).

215.

Dans l’arrêt subséquent Tele2 Sverige ( 94 ), la Cour a jugé que des dispositions nationales, fondées sur l’article 15, paragraphe 1, de la directive 2002/58/CE ( 95 ), régissant tant la conservation, par les fournisseurs de services de télécommunications, de données de trafic et de localisation, que l’accès par les autorités publiques aux données conservées aux fins mentionnées à cette disposition – lesquelles incluent la répression pénale et la protection de la sécurité nationale – relèvent du champ d’application de cette directive et, partant, de la Charte. Selon la Cour, ni les dispositions relatives à la conservation des données, ni celles concernant l’accès aux données conservées ne sont couvertes par l’exclusion du champ d’application de cette directive prévue à son article 1er, paragraphe 3, lequel fait référence, notamment, aux activités de l’État en matière de répression et de protection de la sécurité nationale ( 96 ). La Cour a confirmé cette jurisprudence dans l’arrêt Ministerio Fiscal ( 97 ).

216.

L’article 702 du FISA diffère, cependant, d’une telle réglementation en ce que cette disposition ne fait peser sur les fournisseurs de services de communications électroniques aucune obligation de conserver les données ni de se livrer à un quelconque autre traitement en l’absence d’une demande d’accès aux données émanant des autorités de renseignement.

217.

Se pose, dès lors, la question de savoir si relèvent du champ d’application du RGPD et, partant, de la Charte, des mesures nationales qui imposent à ces fournisseurs une obligation de mettre des données à disposition des autorités publiques à des fins de sécurité nationale indépendamment de toute obligation de conservation ( 98 ).

218.

Une première approche pourrait consister à concilier, autant que possible, les deux lignes de jurisprudence susmentionnées en interprétant la conclusion tirée par la Cour dans les arrêts Tele2 Sverige et Ministerio Fiscal, relative à l’applicabilité du droit de l’Union aux mesures régissant l’accès aux données par des autorités nationales à des fins, notamment, de protection de la sécurité nationale ( 99 ), comme étant limitée aux cas de figure dans lesquels les données ont été conservées en vertu d’une obligation légale instituée au titre de l’article 15, paragraphe 1, de la directive 2002/58. Cette conclusion ne s’appliquerait pas, en revanche, au contexte factuel distinct de l’arrêt PNR, lequel concernait le transfert à une autorité américaine compétente en matière de sécurité intérieure de données conservées par les compagnies aériennes, dans un but commercial, à leur propre initiative.

219.

Selon une seconde approche, que la Commission préconise et que j’estime plus convaincante, le raisonnement adopté dans les arrêts Tele2 Sverige et Ministerio Fiscal justifierait l’applicabilité du droit de l’Union à des règles nationales imposant aux fournisseurs de services de communication électroniques d’apporter leur assistance aux autorités en charge de la sécurité nationale afin que celles-ci puissent accéder à certaines données, sans qu’il importe que ces règles accompagnent ou non une obligation de conservation préalable des données.

220.

Le cœur de ce raisonnement repose, en effet, non pas sur l’objet des dispositions en cause comme dans l’arrêt PNR, mais bien sur le fait que ces dispositions régissaient les activités des fournisseurs en leur enjoignant de se livrer à un traitement de données. Ces activités ne constituaient pas des activités de l’État dans les domaines visés à l’article 1er, paragraphe 3, de la directive 2002/58 et à l’article 3, paragraphe 2, de la directive 95/46, dont l’article 2, paragraphe 2, du RGPD reprend essentiellement le contenu.

221.

Ainsi, dans l’arrêt Tele2 Sverige, la Cour a observé que « l’accès aux données conservées par [les] fournisseurs porte sur des traitements de données à caractère personnel par ces derniers, traitements qui relèvent du champ d’application de cette directive » ( 100 ). De la même manière, elle a jugé, dans l’arrêt Ministerio Fiscal, que des mesures législatives imposant aux fournisseurs d’accorder aux autorités compétentes l’accès aux données conservées « impliquent nécessairement un traitement, par ces fournisseurs, [de ces] données » ( 101 ).

222.

Or, la mise à disposition de données par le responsable du traitement au bénéfice d’une autorité publique répond à la définition du « traitement » prévue à l’article 4, point 2, du RGPD ( 102 ). Il en va de même du filtrage préalable des données au moyen de critères de recherche aux fins d’isoler celles auxquelles les autorités publiques ont sollicité l’accès ( 103 ).

223.

J’en conclus que, suivant le raisonnement adopté par la Cour dans les arrêts Tele2 Sverige et Ministerio Fiscal, le RGPD et, partant, la Charte s’appliquent à une réglementation nationale obligeant un fournisseur de services de communications électroniques à offrir son concours aux autorités en charge de la sécurité nationale en mettant des données à leur disposition, le cas échéant après les avoir filtrées, même indépendamment de toute obligation légale de conservation de ces données.

224.

De surcroît, cette interprétation semble découler, du moins implicitement, de l’arrêt Schrems. Comme l’ont souligné le DPC, les gouvernements autrichien et polonais ainsi que la Commission, la Cour, dans le cadre de l’examen de la validité de la décision « sphère de sécurité », y a jugé que le droit du pays tiers visé par une décision d’adéquation doit prévoir, contre les ingérences de ses autorités publiques dans les droits fondamentaux des personnes concernées à des fins de sécurité nationale, des garanties substantiellement équivalentes à celles qui découlent, notamment, des articles 7, 8 et 47 de la Charte ( 104 ).

225.

Il s’ensuit, de manière plus spécifique, qu’une mesure nationale imposant aux fournisseurs de services de communications électroniques de répondre à une demande d’accès, émanant des autorités compétentes en matière de sécurité nationale, à certaines données conservées par ces fournisseurs dans le cadre de leurs activités commerciales indépendamment de toute obligation légale, en identifiant au préalable les données demandées par l’application de sélecteurs (comme dans le cadre du programme PRISM), ne tomberait pas sous le coup de l’article 2, paragraphe 2, du RGPD. Il en irait de même d’une mesure nationale exigeant des entreprises exploitant la « dorsale » des télécommunications qu’elles donnent accès aux autorités en charge de la sécurité nationale à des données transitant par les infrastructures qu’elles exploitent (comme dans le cadre du programme Upstream).

226.

En revanche, une fois les données en cause parvenues entre les mains des autorités étatiques, leur conservation et leur utilisation ultérieure par ces autorités à des fins de sécurité nationale sont, à mon sens, pour les mêmes raisons que celles évoquées au point 211 des présentes conclusions, couvertes par la dérogation prévue à l’article 2, paragraphe 2, du RGPD, de sorte qu’elles ne relèvent pas du champ d’application de ce règlement ni, partant, de la Charte.

227.

Au vu de tout ce qui précède, j’estime que le contrôle de la validité de la décision « bouclier de protection des données » au regard des limitations aux principes y énoncés qui sont susceptibles de découler des activités des autorités de renseignement américaines implique une double vérification.

228.

Il conviendra, en premier lieu, d’examiner si les États-Unis assurent un niveau de protection substantiellement équivalent à celui qui découle des dispositions du RGPD et de la Charte contre les limitations résultant de l’application de l’article 702 du FISA, en ce que cette disposition permet à la NSA d’imposer aux fournisseurs de mettre des données personnelles à sa disposition.

229.

En second lieu, les dispositions de la CEDH constitueront le cadre de référence pertinent afin d’évaluer si les limitations que pourrait entraîner la mise en œuvre de l’EO 12333, en ce qu’il autorise les autorités de renseignement à collecter elles-mêmes, sans le concours d’opérateurs privés, des données à caractère personnel, mettent en cause l’adéquation du niveau de protection assuré aux États-Unis. Ces dispositions fourniront également les standards de comparaison permettant d’apprécier le caractère adéquat de ce niveau de protection au regard de la conservation et de l’utilisation des données acquises par ces autorités à des fins de sécurité nationale.

230.

Encore faut-il, cependant, déterminer si un constat d’adéquation suppose que la collecte de données au titre de l’EO 12333 s’accompagne d’un niveau de protection substantiellement équivalent à celui qui doit être assuré au sein de l’Union même dans la mesure où cette collecte aurait lieu en dehors du territoire des États-Unis, au cours de la phase de transit des données depuis l’Union vers ce pays tiers.

2) Sur la nécessité d’assurer un niveau adéquat de protection au cours de la phase de transit des données

231.

Trois positions distinctes ont été défendues devant la Cour en ce qui concerne la nécessité ou non pour la Commission de tenir compte, aux fins d’évaluer l’adéquation du niveau de protection assuré dans un pays tiers, de mesures nationales relatives à l’accès aux données par les autorités de ce pays tiers, en dehors de son territoire, au cours de la phase de transit des données depuis l’Union vers ce territoire.

232.

Premièrement, Facebook Ireland ainsi que les gouvernements des États-Unis et du Royaume-Uni soutiennent, en substance, que l’existence de telles mesures est sans incidence dans le cadre d’un constat d’adéquation. Ces derniers se prévalent, au soutien de cette approche, de l’impossibilité pour un État tiers de contrôler l’ensemble des voies de communication situées en dehors de son territoire par lesquelles transitent les données en provenance de l’Union, si bien qu’il ne pourrait par hypothèse jamais être garanti qu’un autre État tiers ne collecte pas secrètement des données au cours de leur transit.

233.

Deuxièmement, le DPC, M. Schrems, l’EPIC, les gouvernements autrichien et néerlandais, le Parlement et l’EDPB font valoir que l’impératif de continuité du niveau de protection, énoncé à l’article 44 du RGPD, implique que ce niveau doit être adéquat tout au long du transfert, y compris lorsque les données transitent par des câbles sous-marins avant d’atteindre le territoire du pays tiers de destination.

234.

Tout en reconnaissant ce principe, la Commission soutient, troisièmement, que l’objet d’un constat d’adéquation se cantonne à la protection assurée par le pays tiers visé à l’intérieur de ses frontières, si bien que la circonstance selon laquelle un niveau adéquat de protection n’est pas garanti au cours du transit vers ce pays tiers ne remet pas en cause la validité d’une décision d’adéquation. Il incomberait néanmoins au responsable du traitement, conformément à l’article 32 du RGPD, de veiller à la sécurité du transfert en protégeant autant que possible les données à caractère personnel pendant la phase de transit vers ledit pays tiers.

235.

À cet égard, j’observe que l’article 44 du RGPD subordonne un transfert vers un pays tiers au respect des conditions énoncées aux dispositions du chapitre V de ce règlement dans la mesure où les données sont susceptibles de faire l’objet d’un traitement « après ce transfert ». Ces termes pourraient être compris comme signifiant soit, comme l’a soutenu le gouvernement des États-Unis dans sa réponse écrite aux questions de la Cour, que ces conditions doivent être respectées une fois les données parvenues à destination, soit qu’elles s’imposent après que le transfert a été initié (y compris au cours de la phase de transit).

236.

Le libellé de l’article 44 du RGPD n’étant pas concluant, une interprétation téléologique m’amène à faire mienne la seconde de ces interprétations et, dès lors, à me rallier à la deuxième des approches susmentionnées. En effet, s’il était considéré que l’exigence de continuité du niveau de protection prévue à cette disposition ne couvre que les mesures de surveillance mises en œuvre à l’intérieur du territoire du pays tiers de destination, elle pourrait être contournée lorsque ce pays tiers applique de telles mesures en dehors de son territoire au cours de la phase de transit des données. Afin d’éviter ce risque, l’évaluation de l’adéquation du niveau de protection assuré par un pays tiers doit porter sur l’ensemble des dispositions, notamment en matière de sécurité nationale, de l’ordre juridique de ce pays tiers ( 105 ), parmi lesquelles figurent aussi bien celles relatives à la surveillance mise en œuvre sur son territoire que celles qui permettent la surveillance des données en transit vers ce territoire ( 106 ).

237.

Cela étant, nul ne conteste que, comme l’a souligné l’EDPB, l’évaluation du caractère adéquat du niveau de protection porte uniquement, ainsi qu’il ressort de l’article 45, paragraphe 1, du RGPD, sur les dispositions de l’ordre juridique du pays tiers de destination des données. L’impossibilité, dont excipent Facebook Ireland ainsi que les gouvernements des États-Unis et du Royaume-Uni, de garantir qu’un autre État tiers ne collecte pas secrètement ces données au cours de leur transit n’affecte pas cette évaluation. Au demeurant, un tel risque ne saurait être exclu même après que les données sont parvenues sur le territoire de l’État tiers de destination.

238.

Il est vrai également, par ailleurs, que la Commission, lorsqu’elle apprécie l’adéquation du niveau de protection garanti par un pays tiers, pourrait le cas échéant être confrontée à l’omission, de la part de ce pays tiers, de dévoiler à cette dernière l’existence de certains programmes de surveillance secrets. Il n’en découle cependant pas que, lorsque de tels programmes sont portés à sa connaissance, la Commission peut s’abstenir d’en tenir compte dans le cadre de son examen d’adéquation. De même, si, après l’adoption d’une décision d’adéquation, l’existence de certains programmes de surveillance secrets, mis en œuvre par le pays tiers visé sur son territoire ou au cours du transit vers celui-ci, lui est révélée, la Commission est tenue de réexaminer son constat relatif à l’adéquation du niveau de protection assuré par ce pays tiers si une telle révélation fait naître un doute à ce sujet ( 107 ).

3) Sur la prise en considération des constatations factuelles opérées par la Commission et par la juridiction de renvoi concernant le droit des États-Unis

239.

S’il est constant que la Cour n’est pas compétente pour procéder à une interprétation du droit d’un pays tiers qui s’imposerait dans l’ordre juridique de celui-ci, la validité de la décision « bouclier de protection des données » dépend du bien-fondé des appréciations effectuées par la Commission concernant le niveau de protection, assuré par le droit et les pratiques des États-Unis, des droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers. En effet, la Commission était tenue de motiver son constat d’adéquation au regard des éléments, portant notamment sur le contenu du droit dudit pays tiers, mentionnés à l’article 45, paragraphe 2, du RGPD ( 108 ).

240.

La High Court (Haute Cour) a présenté, dans son jugement du 3 octobre 2017, des constatations détaillées décrivant les aspects pertinents du droit américain après avoir évalué les preuves apportées par les parties au litige ( 109 ). Cet exposé recoupe largement les constatations opérées par la Commission, dans la décision « bouclier de protection des données », relatives au contenu des règles entourant la collecte et l’accès par les autorités de renseignement américaines aux données transférées ainsi qu’aux voies de recours et aux mécanismes de supervision afférents à ces activités.

241.

La juridiction de renvoi, de même que plusieurs des parties et intéressés ayant soumis des observations à la Cour, mettent davantage en cause les conséquences juridiques que la Commission a tirées de ces constatations – à savoir la conclusion selon laquelle les États-Unis assurent un niveau adéquat de protection des droits fondamentaux des personnes dont les données sont transférées au titre de cette décision – que la description qu’elle a présentée du contenu du droit américain.

242.

Dans ces conditions, j’évaluerai essentiellement la validité de la décision « bouclier de protection des données » à la lumière des constatations opérées par la Commission elle-même en ce qui concerne le contenu du droit américain, en examinant si celles-ci justifiaient l’adoption de cette décision d’adéquation.

243.

À ce propos, je n’adhère pas au point de vue, défendu par le DPC et M. Schrems, selon lequel les constatations opérées par la High Court (Haute Cour) au sujet du droit des États-Unis lieraient la Cour dans le cadre de l’examen de la validité de la décision « bouclier de protection des données ». Ces derniers font valoir que, dès lors que le droit étranger constitue une question factuelle en vertu du droit procédural irlandais, la juridiction de renvoi est seule compétente pour en établir le contenu.

244.

La jurisprudence constante reconnaît, certes, à la juridiction nationale la compétence exclusive pour établir les éléments de fait pertinents ainsi que pour interpréter le droit d’un État membre et l’appliquer au litige pendant devant elle ( 110 ). Cette jurisprudence traduit la répartition des fonctions entre la Cour et la juridiction de renvoi dans le cadre de la procédure instituée à l’article 267 TFUE. Alors que la Cour est seule compétente pour interpréter le droit de l’Union et pour statuer sur la validité du droit dérivé, il appartient à la juridiction nationale, amenée à trancher un litige concret pendant devant elle, d’en établir le contexte factuel et réglementaire afin que la Cour puisse lui fournir une réponse utile.

245.

La raison d’être de cette compétence exclusive de la juridiction de renvoi ne me paraît pas transposable à l’établissement du droit d’un pays tiers en tant qu’élément de nature à influencer la conclusion de la Cour sur la validité d’un acte de droit dérivé ( 111 ). Dès lors qu’une déclaration d’invalidité d’un tel acte s’impose erga omnes dans l’ordre juridique de l’Union ( 112 ), la conclusion de la Cour ne saurait dépendre de l’origine du renvoi préjudiciel. Or, comme l’ont souligné Facebook Ireland et le gouvernement des États-Unis, elle en serait tributaire si la Cour était liée par les constats dressés par la juridiction de renvoi relatifs au droit d’un État tiers, ceux-ci étant susceptibles de varier en fonction de la juridiction nationale qui s’y livre.

246.

Au vu de ces considérations, j’estime que, lorsque la réponse à une question préjudicielle portant sur la validité d’un acte de l’Union implique que soit évalué le contenu du droit d’un État tiers, la Cour, bien qu’elle puisse en tenir compte, n’est pas liée par les constatations opérées par la juridiction de renvoi relatives au droit de cet État tiers. La Cour peut, le cas échéant, s’en écarter ou les compléter en prenant en considération, dans le respect du principe du contradictoire, d’autres sources aux fins d’établir les éléments nécessaires à l’évaluation de la validité de l’acte en cause ( 113 ).

4) Sur la portée du standard de l’« équivalence substantielle »

247.

La validité de la décision « bouclier de protection des données » dépend, je le rappelle, du point de savoir si l’ordre juridique des États-Unis assure, au bénéfice des personnes dont les données sont transférées depuis l’Union vers ce pays tiers, un niveau de protection qui soit « substantiellement équivalent » à celui garanti au sein des États membres en vertu du RGPD et de la Charte ainsi que, dans les domaines exclus du champ d’application du droit de l’Union, de leurs engagements au titre de la CEDH.

248.

Comme la Cour l’a souligné dans l’arrêt Schrems ( 114 ), ce standard ne signifie pas que le niveau de protection doit être « identique » à celui qui est requis dans l’Union. Si les moyens auxquels un pays tiers a recours pour protéger les droits des personnes concernées peuvent différer de ceux que prescrit le RGPD lu à la lumière de la Charte, « ces moyens doivent […] s’avérer, en pratique, effectifs afin d’assurer une protection substantiellement équivalente à celle garantie au sein de l’Union ».

249.

Il en découle également, selon moi, que le droit de l’État tiers de destination peut refléter sa propre échelle de valeurs en fonction de laquelle le poids respectif des divers intérêts en présence peut diverger de celui qui leur est attribué dans l’ordre juridique de l’Union. Au demeurant, la protection des données personnelles qui prévaut au sein de l’Union répond à un standard particulièrement élevé en comparaison avec le niveau de protection en vigueur dans le reste du monde. Le critère de l’« équivalence substantielle » devrait, dès lors, à mon sens, être appliqué de manière à préserver une certaine souplesse pour tenir compte des diverses traditions juridiques et culturelles. Ce critère implique, cependant, sauf à le vider de sa substance, que certaines garanties minimales et exigences générales de protection des droits fondamentaux qui découlent de la Charte et de la CEDH trouvent leur équivalent dans l’ordre juridique du pays tiers de destination ( 115 ).

250.

À cet égard, conformément à l’article 52, paragraphe 1, de la Charte, toute limitation de l’exercice des droits et des libertés consacrés par celle-ci doit être prévue par la loi, respecter leur contenu essentiel et, dans le respect du principe de proportionnalité, être nécessaire et répondre effectivement à un objectif d’intérêt général reconnu par l’Union ou au besoin de protection des droits et libertés d’autrui. Ces exigences correspondent essentiellement à celles énoncées à l’article 8, paragraphe 2, de la CEDH ( 116 ).

251.

Conformément à l’article 52, paragraphe 3, de la Charte, dans la mesure où les droits garantis à ses articles 7, 8 et 47 correspondent à ceux consacrés aux article 8 et 13 de la CEDH, ils en partagent le sens et la portée, étant entendu que le droit de l’Union peut néanmoins leur accorder une protection plus étendue. Dans cette optique, ainsi que mon exposé le fera apparaître, les standards résultant des articles 7, 8 et 47 de la Charte, tels qu’interprétés par notre Cour, sont à certains égards plus stricts que ceux qui découlent de l’article 8 de la CEDH selon l’interprétation qu’en a donnée la Cour européenne des droits de l’homme (ci-après la « Cour EDH »).

252.

J’observe également que des affaires pendantes devant chacune de ces juridictions invitent celles-ci à reconsidérer certains aspects de leurs jurisprudences respectives. Ainsi, d’une part, deux arrêts récents de la Cour EDH en matière de surveillance des communications électroniques – à savoir les arrêts Centrüm för Rättvisa c. Suède ( 117 ) et Big Brother Watch c. Royaume-Uni ( 118 ) – ont fait l’objet d’un renvoi pour réexamen en grande chambre. D’autre part, trois juridictions nationales ont saisi notre Cour de renvois préjudiciels qui ouvrent le débat sur la nécessité ou non d’un infléchissement de sa jurisprudence issue de l’arrêt Tele2 Sverige ( 119 ).

253.

Ces précisions étant apportées, j’examine à présent la validité de la décision « bouclier de protection des données » au regard de l’article 45, paragraphe 1, du RGPD, lu à la lumière de la Charte et de la CEDH en ce qu’elles garantissent les droits, d’une part, au respect de la vie privée ainsi qu’à la protection des données à caractère personnel [section b)], et, d’autre part, à une protection juridictionnelle effective [section c)].

b) Sur la validité de la décision « bouclier de protection des données » au regard des droits au respect de la vie privée et à la protection des données à caractère personnel

254.

Dans le cadre de sa quatrième question, la juridiction de renvoi met, essentiellement, en cause l’équivalence substantielle entre le niveau de protection assuré par les États-Unis et celui que les personnes concernées tirent, au sein de l’Union, de leurs droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.

1) Sur l’existence d’ingérences

255.

Aux considérants 67 à 124 de la décision « bouclier de protection des données », la Commission fait état de la possibilité que les autorités publiques américaines accèdent aux données transférées depuis l’Union et utilisent celles-ci à des fins de sécurité nationale dans le cadre de programmes fondés, en particulier, sur l’article 702 du FISA ou sur l’EO 12333.

256.

La mise en œuvre de ces programmes entraîne des intrusions de la part des services de renseignement américains qui, si elles émanaient des autorités d’un État membre, seraient considérées comme des ingérences dans l’exercice du droit au respect de la vie privée garanti à l’article 7 de la Charte et à l’article 8 de la CEDH. Elle expose également les personnes concernées à un risque de voir leurs données à caractère personnel subir des traitements ne répondant pas aux exigences énoncées à l’article 8 de la Charte ( 120 ).

257.

Je précise d’emblée que les droits au respect de la vie privée et à la protection des données à caractère personnel englobent la protection non seulement du contenu des communications mais également les données de trafic ( 121 ) et de localisation (désignées, ensemble, par le terme « métadonnées »). Tant notre Cour que la Cour EDH ont, en effet, reconnu que les métadonnées, comme les données de contenu, sont susceptibles de révéler des informations très précises concernant la vie privée d’un individu ( 122 ).

258.

Selon la jurisprudence de la Cour, il importe peu, aux fins d’établir l’existence d’une ingérence dans l’exercice du droit garanti à l’article 7 de la Charte, que les données concernées présentent ou non un caractère sensible et que les personnes intéressées aient ou non subi d’éventuels inconvénients en raison de la mesure de surveillance en cause ( 123 ).

259.

Cela étant rappelé, les programmes de surveillance fondés sur l’article 702 du FISA entraînent, au premier chef, des ingérences dans l’exercice des droits fondamentaux des personnes dont les communications répondent aux sélecteurs choisis par la NSA et sont, en conséquence, transmises à cette dernière par les fournisseurs de services de communications électroniques ( 124 ). Plus précisément, l’obligation pesant sur les fournisseurs de mettre les données à la disposition de la NSA, dans la mesure où elle déroge au principe de confidentialité des communications ( 125 ), emporte en elle-même une ingérence quand bien même ces données ne seraient pas ultérieurement consultées et utilisées par les autorités de renseignement ( 126 ). La conservation et l’accès effectif par ces autorités aux métadonnées et au contenu des communications mises à leur disposition, de même que l’utilisation de ces données, constituent autant d’ingérences additionnelles ( 127 ).

260.

Qui plus est, selon les constatations de la juridiction de renvoi ( 128 ) et d’autres sources telles que le rapport du PCLOB sur les programmes mis en œuvre en vertu de l’article 702 du FISA porté à l’attention de la Cour par le gouvernement américain ( 129 ), la NSA aurait, dans le cadre du programme Upstream, déjà accès aux fins de leur filtrage à de vastes corpus (« paquets ») de données participant aux flux de communications traversant la « dorsale » des télécommunications et englobant des communications qui ne contiennent pas les sélecteurs identifiés par la NSA. La NSA ne pourrait examiner ces corpus de données que pour déterminer rapidement, de manière automatisée, s’ils contiennent ces sélecteurs. Seules les communications ainsi filtrées seraient alors sauvegardées dans les bases de données de la NSA. Cet accès aux données aux fins de leur filtrage constituerait également, à mon sens, une ingérence dans l’exercice du droit au respect de la vie privée des personnes concernées, quelle que soit l’utilisation ultérieure des données retenues ( 130 ).

261.

Par ailleurs, la mise à disposition et le filtrage des données en cause ( 131 ), l’accès à ces données par les autorités de renseignement, de même que la conservation, l’analyse et l’utilisation éventuelles desdites données relèvent de la notion de « traitement » au sens de l’article 4, point 2, du RGPD et de l’article 8, paragraphe 2, de la Charte. Ces traitements doivent, par suite, satisfaire aux exigences prévues par cette dernière disposition ( 132 ).

262.

La surveillance au titre de l’EO 12333 pourrait, quant à elle, impliquer l’accès direct, par les autorités de renseignement, aux données en transit, emportant une ingérence dans l’exercice du droit garanti à l’article 8 de la CEDH. À cette ingérence s’ajouterait celle que constituerait l’utilisation ultérieure éventuelle de ces données.

2) Sur le caractère « prévu par la loi » des ingérences

263.

En vertu de la jurisprudence de notre Cour ( 133 ) et de la Cour EDH ( 134 ), l’exigence selon laquelle toute ingérence dans l’exercice des droits fondamentaux doit être « prévue par la loi », au sens de l’article 52, paragraphe 1, de la Charte et de l’article 8, paragraphe 2, de la CEDH, implique non seulement que la mesure prévoyant l’ingérence doit avoir une base légale en droit interne, mais également que cette base légale doit revêtir certaines qualités d’accessibilité et de prévisibilité de façon à éviter le risque d’arbitraire.

264.

À cet égard, les parties et intéressés ayant soumis des observations à la Cour s’opposent, essentiellement, sur le point de savoir si l’article 702 du FISA et l’EO 12333 remplissent la condition relative à la prévisibilité de la loi.

265.

Cette condition, telle qu’interprétée par la Cour ( 135 ) et par la Cour EDH ( 136 ), requiert qu’une réglementation qui comporte une ingérence dans l’exercice du droit au respect de la vie privée institue des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant un minimum d’exigences, de manière à fournir aux personnes concernées des garanties suffisantes pour protéger leurs données contre les risques d’abus ainsi que contre tout accès ou utilisation illicites de celles-ci. De telles règles doivent, en particulier, indiquer dans quelles circonstances et sous quelles conditions les autorités publiques peuvent conserver des données personnelles, y avoir accès et les utiliser ( 137 ). Par ailleurs, la base légale qui permet l’ingérence doit définir elle-même la portée de la limitation à l’exercice du droit au respect de la vie privée ( 138 ).

266.

Je doute, à l’instar de M. Schrems et de l’EPIC, que l’EO 12333, de même que la PPD 28 qui énonce des garanties accompagnant l’ensemble des activités de renseignement portant sur les transmissions électromagnétiques ( 139 ), soient suffisamment prévisibles pour revêtir la « qualité de loi ».

267.

Ces instruments mentionnent expressément qu’ils ne confèrent pas de droits juridiquement exécutoires aux personnes concernées ( 140 ). Celles-ci ne peuvent donc pas se prévaloir des garanties prévues par la PPD 28 devant les tribunaux ( 141 ). La Commission a d’ailleurs considéré, dans la décision « bouclier de protection des données », que les garanties énoncées dans cette directive présidentielle, bien qu’elles revêtent un caractère contraignant pour les services de renseignement ( 142 ), « ne sont pas formulées dans un langage juridique » ( 143 ). L’EO 12333 et la PPD 28 s’apparentent davantage à des instructions administratives internes qui peuvent être révoquées ou modifiées par le président des États-Unis. Or, la Cour EDH a déjà jugé que des directives administratives internes ne présentent pas la qualité de « loi » ( 144 ).

268.

En ce qui concerne l’article 702 du FISA, le caractère prévisible de cette disposition est mis en cause par M. Schrems au motif qu’elle n’encadrerait pas le choix des critères de sélection utilisés pour filtrer les données par des garanties suffisantes contre les risques d’abus. Dans la mesure où cette problématique a également trait au caractère strictement nécessaire des ingérences prévues par l’article 702 du FISA, je l’examinerai dans la suite de mon exposé ( 145 ).

269.

La troisième question préjudicielle recoupe la thématique du respect de la condition relative à la « qualité de la loi ». Par cette question, la juridiction de renvoi cherche, en substance, à savoir si l’adéquation du niveau de protection assuré dans un pays tiers doit être examinée au regard uniquement des règles juridiquement contraignantes en vigueur dans ce pays tiers et des pratiques visant à en assurer le respect, ou bien également des divers instruments non contraignants et mécanismes de contrôle extrajudiciaires qui y sont appliqués.

270.

À ce sujet, l’article 45, paragraphe 2, sous a), du RGPD énonce une liste non exhaustive de circonstances dont la Commission doit tenir compte aux fins d’évaluer le caractère adéquat du niveau de protection offert par un pays tiers. Au nombre de ces circonstances figurent la législation applicable ainsi que la manière dont elle est mise en œuvre. Cette disposition mentionne également l’incidence d’autres types de normes, telles que les règles professionnelles et mesures de sécurité. Elle requiert, en outre, la prise en considération des « droits effectifs et opposables » et des « recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées » ( 146 ).

271.

Lue dans sa globalité et au regard du caractère non limitatif de la liste qu’elle contient, ladite disposition implique, à mes yeux, que des pratiques ou instruments non fondés sur une base légale accessible et prévisible peuvent être pris en compte dans le cadre de l’évaluation d’ensemble du niveau de protection assuré par le pays tiers en cause de façon à corroborer des garanties qui trouvent elles-mêmes un fondement juridique présentant ces caractères. En revanche, ainsi que l’ont essentiellement fait valoir le DPC, M. Schrems, le gouvernement autrichien et l’EDPB, pareils instruments ou pratiques ne sauraient se substituer à de telles garanties ni, partant, assurer en eux-mêmes le niveau de protection requis.

3) Sur l’absence d’atteinte au contenu essentiel des droits fondamentaux

272.

L’exigence, énoncée à l’article 52, paragraphe 1, de la Charte, selon laquelle toute limitation aux droits ou libertés garantis par la Charte doit respecter le contenu essentiel de ceux-ci implique que, lorsqu’une ingérence y porte atteinte, aucun objectif légitime ne saurait la justifier. L’ingérence est alors jugée contraire à la Charte sans qu’il faille examiner si elle est apte et nécessaire à la réalisation de l’objectif poursuivi.

273.

À ce propos, la Cour a jugé qu’une réglementation nationale autorisant un accès généralisé au contenu des communications électroniques par les autorités publiques attente à l’essence même du droit au respect de la vie privée garanti à l’article 7 de la Charte ( 147 ). En revanche, tout en soulignant les risques associés à l’accès et à l’analyse des données de trafic et de localisation ( 148 ), la Cour a considéré que le contenu essentiel de ce droit n’est pas affecté lorsqu’une réglementation nationale autorise un accès généralisé par les autorités étatiques à ces données ( 149 ).

274.

L’article 702 du FISA ne saurait, à mon sens, être considéré comme habilitant les autorités de renseignement américaines à accéder de manière généralisée au contenu des communications électroniques.

275.

En effet, d’une part, l’accès aux données par les autorités de renseignement, au titre de l’article 702 du FISA, aux fins de leur analyse et de leur utilisation éventuelles est limité aux données répondant à des critères de sélection associés à des cibles individuelles.

276.

D’autre part, le programme Upstream pourrait, certes, impliquer un accès généralisé au contenu des communications électroniques en vue de leur filtrage automatisé dans l’hypothèse où des sélecteurs seraient appliqués non seulement aux champs « de » et « à », mais également à l’ensemble du contenu des flux de communications (recherche « concernant » le sélecteur) ( 150 ). Toutefois, comme le soutient la Commission et contrairement à ce qu’allèguent M. Schrems et l’EPIC, l’accès temporaire des autorités de renseignement à l’ensemble du contenu des communications électroniques aux seules fins de leur filtrage par l’application de critères de sélection ne saurait être assimilé à un accès généralisé à ce contenu ( 151 ). À mon avis, la gravité de l’ingérence découlant de cet accès limité dans le temps à des fins de filtrage automatisé n’atteint pas celle de l’ingérence qui résulte d’un accès généralisé à ce contenu par les autorités publiques en vue de son analyse et de son éventuelle utilisation ( 152 ). L’accès temporaire en vue du filtrage ne permet pas à ces autorités de conserver les métadonnées ou le contenu des communications qui ne répondent pas aux critères de sélection ni, en particulier, comme l’a fait remarquer le gouvernement américain, d’établir des profils concernant les individus non ciblés par ces critères.

277.

Cela étant, la question de savoir si le ciblage au moyen de sélecteurs dans le cadre des programmes fondés sur l’article 702 du FISA limite de façon effective les pouvoirs des autorités de renseignement dépend de l’encadrement du choix des sélecteurs ( 153 ). M. Schrems fait valoir, à ce sujet, que, faute d’un contrôle suffisant à cet effet, le droit américain ne prévoit pas de garantie contre un accès généralisé au contenu des communications déjà au stade du filtrage, si bien qu’il porte atteinte à l’essence même du droit au respect de la vie privée des personnes concernées.

278.

Ainsi que je l’exposerai plus en détail ci-après ( 154 ), j’incline à partager ces doutes quant au caractère suffisant de l’encadrement du choix des sélecteurs aux fins de répondre aux critères de prévisibilité et de proportionnalité des ingérences. Cependant, l’existence de cet encadrement, fût-il imparfait, s’oppose à la conclusion selon laquelle l’article 702 du FISA autorise un accès généralisé par les autorités publiques au contenu des communications électroniques et, partant, équivaut à une atteinte à l’essence même du droit consacré à l’article 7 de la Charte.

279.

Je souligne également que, dans l’avis 1/15, la Cour a considéré que le contenu essentiel du droit à la protection des données à caractère personnel, garanti à l’article 8 de la Charte, est préservé lorsque les finalités du traitement sont circonscrites et que le traitement s’accompagne de règles destinées à assurer, notamment, la sécurité, la confidentialité et l’intégrité des données, ainsi qu’à les protéger contre les accès et les traitements illégaux ( 155 ).

280.

Dans la décision « bouclier de protection des données », la Commission a constaté que tant l’article 702 du FISA que la PPD 28 délimitent les finalités pour lesquelles les données peuvent être collectées dans le cadre des programmes mis en œuvre au titre de l’article 702 du FISA ( 156 ). La Commission y a également relevé que la PPD 28 prévoit des règles encadrant l’accès aux données ainsi que leur stockage et leur diffusion afin d’en assurer la sécurité et de les prémunir contre les accès non autorisés ( 157 ). Comme le montrera la suite de mon exposé ( 158 ), je nourris des doutes, en particulier, sur le point de savoir si les finalités des traitements en cause sont définies avec assez de clarté et de précision pour assurer un niveau de protection substantiellement équivalent à celui qui prévaut dans l’ordre juridique de l’Union. Toutefois, ces faiblesses éventuelles ne suffiraient pas, à mon sens, à autoriser le constat selon lequel pareils programmes violeraient, s’ils étaient déployés au sein de l’Union, le contenu essentiel du droit à la protection des données à caractère personnel.

281.

Par ailleurs, le caractère adéquat du niveau de protection assuré dans le cadre d’activités de surveillance au titre de l’EO 12333 doit, je le rappelle, être évalué au regard des dispositions de la CEDH. À ce propos, il ressort de la décision « bouclier de protection des données » que les seules restrictions apportées à la mise en œuvre de mesures fondées sur l’EO 12333 pour collecter les données concernant des personnes non américaines sont celles que prévoit la PPD 28 ( 159 ). Cette directive présidentielle dispose que l’utilisation du renseignement extérieur doit être « aussi ciblée que possible ». Elle mentionne toutefois expressément la possibilité de collecter des données « en vrac », en dehors du territoire américain, aux fins de la poursuite de certains objectifs de sécurité nationale spécifiques ( 160 ). De l’avis de M. Schrems, les dispositions de la PPD 28, laquelle ne crée, du reste, pas de droits dans le chef des individus, ne protègent pas les personnes concernées contre le risque d’un accès généralisé au contenu de leurs communications électroniques.

282.

Je me limiterai à observer, à ce sujet, que la Cour EDH n’a, dans sa jurisprudence relative à l’article 8 de la CEDH, pas eu recours au concept d’atteinte au contenu essentiel, ou à la substance même, du droit au respect de la vie privée ( 161 ). Cette dernière n’a, jusqu’à présent, pas considéré que des régimes permettant l’interception des communications électroniques, même massive, excédaient en tant que tels la marge d’appréciation des États membres. La Cour EDH considère que de tels régimes sont compatibles avec l’article 8, paragraphe 2, de la CEDH pour autant qu’ils s’accompagnent d’un certain nombre de garanties minimales ( 162 ). Dans ces conditions, il ne me semble pas approprié de conclure qu’un régime de surveillance tel que celui prévu par l’EO 12333 dépasserait la marge d’appréciation des États membres sans se livrer à un quelconque examen des éventuelles garanties qui l’accompagnent.

4) Sur la poursuite d’un objectif légitime

283.

Aux termes de l’article 52, paragraphe 1, de la Charte, toute limitation à l’exercice des droits qu’elle consacre doit répondre effectivement à un objectif d’intérêt général reconnu par l’Union. L’article 8, paragraphe 2, de la Charte dispose également que tout traitement de données à caractère personnel qui ne repose pas sur le consentement de la personne concernée doit reposer sur un « fondement légitime prévu par la loi ». L’article 8, paragraphe 2, de la CEDH énumère, quant à lui, les buts susceptibles de justifier une ingérence dans l’exercice du droit au respect de la vie privée.

284.

En vertu de la décision « bouclier de protection des données », l’adhésion aux principes qu’elle énonce peut être limitée pour satisfaire à des obligations relatives à la sécurité nationale, à l’intérêt public et au respect de la législation ( 163 ). Les considérants 67 à 124 de cette décision examinent plus spécifiquement les limitations qui découlent de l’accès aux données et de leur utilisation par les autorités publiques américaines à des fins de sécurité nationale.

285.

Il est constant que la protection de la sécurité nationale constitue un objectif légitime susceptible de justifier des dérogations aux exigences tirées du RGPD ( 164 ), ainsi qu’aux droits fondamentaux consacrés aux articles 7 et 8 de la Charte ( 165 ) de même qu’à l’article 8, paragraphe 2, de la CEDH. Cependant, M. Schrems, le gouvernement autrichien et l’EPIC ont fait remarquer que les objectifs poursuivis dans le cadre des programmes de surveillance fondés sur l’article 702 du FISA et sur l’EO 12333 dépassent la seule sécurité nationale. En effet, ces instruments ont pour objet l’obtention de « renseignement extérieur », cette notion couvrant divers types d’informations qui incluent celles relatives à la sécurité nationale sans nécessairement y être limitées ( 166 ). Relèvent, ainsi, de la notion de « renseignement extérieur », au sens de l’article 702 du FISA, les données concernant la conduite des affaires étrangères ( 167 ). L’EO 12333 définit, quant à lui, cette notion comme englobant les informations relatives aux capacités, intentions ou activités de gouvernements étrangers, d’organisations étrangères et de personnes étrangères ( 168 ). M. Schrems met en question le caractère légitime de l’objectif ainsi visé en ce qu’il excéderait la sécurité nationale.

286.

À mes yeux, le périmètre de la sécurité nationale peut inclure, dans une certaine mesure, la protection d’intérêts relatifs à la conduite des affaires étrangères ( 169 ). Par ailleurs, il n’est pas inenvisageable que certaines des finalités autres que la protection de la sécurité nationale que recouvre la notion de « renseignement extérieur », telle que définie par l’article 702 du FISA et par l’EO 12333, correspondent à des objectifs importants d’intérêt général susceptibles de justifier une ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. Ces objectifs pèseraient, en tout état de cause, moins lourd que la sauvegarde de la sécurité nationale dans le cadre d’une mise en balance entre les droits fondamentaux des personnes concernées et le but recherché par l’ingérence ( 170 ).

287.

Cependant, encore convient-il, conformément à l’article 52, paragraphe 1, de la Charte, que la sécurité nationale ou un autre objectif légitime soit effectivement poursuivi par les mesures prévoyant les ingérences en cause ( 171 ). En outre, les finalités des ingérences doivent être définies de manière à répondre aux exigences de clarté et de précision ( 172 ).

288.

Or, selon M. Schrems, la finalité des mesures de surveillance prévues par l’article 702 du FISA et par l’EO 12333 n’est pas énoncée avec une précision suffisante pour respecter les garanties de prévisibilité et de proportionnalité. Il en irait ainsi, en particulier, dans la mesure où ces instruments définissent la notion de « renseignement extérieur » de manière particulièrement large. De surcroît, la Commission a constaté au considérant 109 de la décision « bouclier de protection des données » que l’article 702 du FISA exige que la collecte d’informations en matière de renseignement extérieur constitue « un objectif important » de la collecte, cette formulation n’excluant pas, à première vue et comme l’a relevé l’EPIC, la poursuite d’autres objectifs non déterminés.

289.

Pour ces raisons, sans qu’il soit exclu que les mesures de surveillance au titre de l’article 702 du FISA ou de l’EO 12333 répondent à des objectifs légitimes, il est permis de se demander si ceux-ci sont définis de façon suffisamment claire et précise pour prévenir les risques d’abus et pour permettre un contrôle de la proportionnalité des ingérences qui en découlent ( 173 ).

5) Sur le caractère nécessaire et proportionné des ingérences

290.

La Cour a itérativement souligné que les droits consacrés aux articles 7 et 8 de la Charte ne constituent pas des prérogatives absolues mais doivent être considérés par rapport à leur fonction dans la société et mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité ( 174 ). Comme l’a souligné Facebook Ireland, parmi ces autres droits figure le droit à la sûreté garanti à l’article 6 de la Charte.

291.

À cet égard, selon une jurisprudence tout aussi constante, toute ingérence dans l’exercice des droits garantis aux articles 7 et 8 de la Charte doit faire l’objet d’un contrôle strict de proportionnalité ( 175 ).

292.

En particulier, il ressort de l’arrêt Schrems que « n’est pas limitée au strict nécessaire une réglementation qui autorise de manière généralisée la conservation de l’intégralité des données […] sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données » ( 176 ).

293.

La Cour a également jugé que, sauf cas d’urgence dûment justifiés, l’accès doit être subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante dont la décision vise à limiter l’accès aux données et leur utilisation à ce qui est strictement nécessaire à la réalisation de l’objectif poursuivi ( 177 ).

294.

L’article 23, paragraphe 2, du RGPD établit désormais une série de garanties qu’un État membre doit prévoir lorsqu’il déroge aux dispositions de ce règlement. La réglementation permettant une telle dérogation doit contenir des dispositions relatives, notamment, aux finalités du traitement, à l’étendue de la dérogation, aux garanties destinées à prévenir les abus, aux durées de conservation ainsi qu’au droit des personnes concernées d’être informées de la dérogation, à moins que cela ne risque de nuire à la finalité de celle-ci.

295.

En l’espèce, M. Schrems soutient que l’article 702 du FISA ne s’accompagne pas de garanties suffisantes contre les risques d’abus et d’accès illicite aux données. En particulier, le choix des critères de sélection ne serait pas suffisamment encadré, si bien que cette disposition n’offrirait pas d’assurances contre un accès généralisé au contenu des communications.

296.

Le gouvernement des États-Unis et la Commission font valoir, au contraire, que l’article 702 du FISA limite par des critères objectifs le choix des sélecteurs dès lors que cette disposition permet uniquement la collecte des données de communications électroniques de personnes non américaines situées en dehors des États-Unis aux fins d’obtenir des informations en matière de renseignement extérieur.

297.

Il est, selon moi, permis de douter du caractère suffisamment clair et précis de ces critères ainsi que de l’existence de garanties suffisantes pour prévenir les risques d’abus.

298.

Tout d’abord, le considérant 109 de la décision « bouclier de protection des données » indique que les sélecteurs ne sont pas individuellement approuvés par le FISC ni par un autre organe judiciaire ou administratif indépendant préalablement à leur application. La Commission y a constaté que « le FISC n’autorise pas de mesures de surveillance individuelle, mais plutôt des programmes de surveillance […] sur la base de certifications annuelles », ce qu’a confirmé le gouvernement des États-Unis devant la Cour. Ce considérant précise que « les certifications qui doivent être approuvées par le FISC ne contiennent pas d’informations sur les personnes à cibler individuellement mais déterminent plutôt des catégories d’informations en matière de renseignement extérieur » pouvant être collectées. La Commission y constate également que « le FISC n’évalue pas, à l’aune d’une cause ou de tout autre critère, si les personnes sont correctement ciblées pour se procurer des informations en matière de renseignement extérieur », bien qu’il contrôle la condition qu’« un objectif important de l’acquisition soit d’obtenir des informations en matière de renseignement extérieur ».

299.

Ensuite, aux termes dudit considérant, l’article 702 du FISA n’autorise la NSA à collecter des communications « que s’il existe des motifs raisonnables de penser qu’un moyen de communication spécifique est utilisé pour communiquer des informations en matière de renseignement extérieur ». Le considérant 70 de la décision « bouclier de protection des données » ajoute que le choix des sélecteurs est effectué au sein du cadre des priorités de contrôle du renseignement national (National Intelligence Priorities Framework, NIPF). Cette décision ne fait pas état d’exigences de motivation ou de justification plus précises du choix des sélecteurs au regard de ces priorités administratives qui s’imposeraient à la NSA ( 178 ).

300.

Enfin, le considérant 71 de la décision « bouclier de protection des données » fait référence à l’exigence, prévue dans la PPD 28, selon laquelle la collecte de renseignement extérieur doit être « aussi ciblée que possible ». Outre le fait que cette directive présidentielle ne crée pas de droits dans le chef des individus, l’équivalence substantielle entre le critère d’une activité « aussi ciblée que possible » et celui de la « stricte nécessité » que l’article 52, paragraphe 1, de la Charte impose aux fins de justifier une ingérence dans l’exercice des droits garantis à ses articles 7 et 8 m’apparaît loin d’être évidente ( 179 ).

301.

Au vu de ces considérations, il n’est pas certain que, sur la base des éléments exposés dans la décision « bouclier de protection des données », les mesures de surveillance fondées sur l’article 702 du FISA s’accompagnent de garanties, relatives à la limitation des personnes susceptibles de faire l’objet d’une mesure de surveillance et des objectifs pour lesquels des données peuvent être collectées, substantiellement équivalentes à celles qui sont requises en vertu du RGPD, lu à la lumière des articles 7 et 8 de la Charte ( 180 ).

302.

Par ailleurs, en ce qui concerne l’évaluation du caractère adéquat du niveau de protection entourant la surveillance au titre de l’EO 12333, la Cour EDH reconnaît aux États membres une ample marge d’appréciation aux fins de choisir les moyens pour protéger leur sécurité nationale, cette marge étant toutefois limitée par l’exigence de prévoir des garanties adéquates et suffisantes contre les abus ( 181 ). Dans sa jurisprudence relative aux mesures de surveillance secrète, la Cour EDH vérifie si le droit interne sur lequel se fondent ces mesures contient des garanties et des garde-fous suffisants et effectifs propres à satisfaire aux exigences de « prévisibilité » et de « nécessité dans une société démocratique » ( 182 ).

303.

La Cour EDH énonce, à ce propos, un certain nombre de garanties minimales. Ces garanties concernent l’indication claire de la nature des infractions susceptibles de donner lieu à un mandat d’interception, la définition des catégories de personnes susceptibles de voir leurs communications interceptées, la fixation d’une limite à la durée de l’exécution de la mesure, la procédure à suivre pour l’examen, l’utilisation et la conservation des données recueillies, les précautions à prendre pour la communication des données à d’autres parties, et les circonstances dans lesquelles peut ou doit s’opérer l’effacement ou la destruction des enregistrements ( 183 ).

304.

Le caractère adéquat et effectif des garanties encadrant l’ingérence dépend de toutes les circonstances de la cause, en ce compris la nature, l’étendue et la durée des mesures, les raisons requises pour les ordonner, les autorités compétentes pour les permettre, les exécuter et les contrôler, et le type de recours fourni par le droit interne ( 184 ).

305.

En particulier, aux fins d’évaluer la justification d’une mesure de surveillance secrète, la Cour EDH tient compte de l’ensemble des contrôles exercés « lorsqu’on l’ordonne », « pendant qu’on la mène » et « après qu’elle a cessé » ( 185 ). S’agissant du premier de ces trois stades, la Cour EDH exige qu’une telle mesure soit autorisée par un organe indépendant. Bien que le pouvoir judiciaire représente selon elle les meilleures garanties d’indépendance, d’impartialité et de régularité de la procédure, l’organe en cause ne doit pas nécessairement appartenir à l’ordre judiciaire ( 186 ). Un contrôle juridictionnel approfondi à un stade ultérieur peut contrebalancer les éventuels défauts de la procédure d’autorisation ( 187 ).

306.

En l’occurrence, il ressort de la décision « bouclier de protection des données » que les seules garanties qui limitent la collecte et l’usage de données en dehors du territoire des États-Unis figurent dans la PPD 28, l’article 702 du FISA ne s’appliquant pas en dehors de ce territoire. Je ne suis pas persuadé que ces garanties puissent suffire à satisfaire aux conditions de « prévisibilité » et de « nécessité dans une société démocratique ».

307.

Tout d’abord, j’ai déjà relevé que cette directive présidentielle ne crée pas de droits dans le chef des individus. Ensuite, je doute que l’exigence d’assurer une surveillance « aussi ciblée que possible » soit formulée en termes suffisamment clairs et précis pour prémunir adéquatement les personnes concernées contre les risques d’abus ( 188 ). Enfin, la décision « bouclier de protection des données » n’établit pas que la surveillance fondée sur l’EO 12333 serait soumise à un contrôle préalable par un organe indépendant ou pourrait faire l’objet d’un contrôle juridictionnel a posteriori ( 189 ).

308.

Dans ces conditions, je m’interroge sur le bien-fondé du constat selon lequel les États-Unis assurent, dans le cadre des activités de leurs services de renseignement au titre de la section 702 du FISA et de l’EO 12333, un niveau adéquat de protection au sens de l’article 45, paragraphe 1, du RGPD, lu à la lumière des articles 7 et 8 de la Charte ainsi que de l’article 8 CEDH.

c) Sur la validité de la décision « bouclier de protection des données » au regard du droit à un recours effectif

309.

La cinquième question préjudicielle invite la Cour à déterminer si les personnes dont les données sont transférées vers les États-Unis y bénéficient d’une protection juridictionnelle substantiellement équivalente à celle qui doit être assurée dans l’Union en vertu de l’article 47 de la Charte. Par sa dixième question, la juridiction de renvoi lui demande, en substance, si la cinquième question appelle une réponse affirmative compte tenu de l’introduction par la décision « bouclier de protection des données » du mécanisme de médiation.

310.

Je constate d’emblée que, au considérant 115 de cette décision, la Commission reconnaît que le système juridique américain comporte des lacunes dans la protection juridictionnelle des individus.

311.

Aux termes de ce considérant, premièrement, « au moins quelques bases juridiques pouvant être utilisées par les services de renseignement américains (comme l’EO 12333) ne sont pas couvertes » par les possibilités de recours juridictionnel. En effet, l’EO 12333 et la PPD 28 ne confèrent pas de droits aux personnes concernées et ne peuvent pas être invoqués par celles-ci devant les tribunaux. Or, une protection juridictionnelle effective présuppose, à tout le moins, que les particuliers disposent de droits pouvant être invoqués en justice.

312.

Deuxièmement, « même lorsque des possibilités de recours juridictionnel existent en principe pour des personnes non américaines, comme par exemple pour la surveillance FISA, les moyens d’action sont limités et les réclamations introduites […] seront déclarées irrecevables lorsqu’elles ne peuvent démontrer leur qualité pour agir, ce qui restreint l’accès aux juridictions ordinaires ».

313.

Il ressort des considérants 116 à 124 de la décision « bouclier de protection des données » que l’institution du médiateur vise à compenser ces limitations. La Commission conclut, au considérant 139 de cette décision, que « pris dans leur ensemble, les mécanismes de surveillance et de recours prévus par le bouclier de protection des données […] offrent aux personnes concernées des voies de droit afin d’avoir accès à des données à caractère personnel les concernant et, in fine, d’obtenir leur rectification ou leur suppression » (souligné par mes soins).

314.

Tout en rappelant les principes généraux qui se dégagent de la jurisprudence de notre Cour et de la Cour EDH relative au droit de recours contre des mesures de surveillance des communications, j’examinerai si les recours judiciaires prévus par le droit américain, tels que décrits dans la décision « bouclier de protection des données », permettent d’assurer une protection juridictionnelle adéquate des personnes concernées [section 1)]. Je déterminerai, par la suite, si l’introduction du mécanisme extrajudiciaire de médiation permet, le cas échéant, de combler les éventuelles lacunes caractérisant la protection juridictionnelle de ces personnes [section 2)].

1) Sur l’effectivité des recours judiciaires prévus par le droit des États-Unis

315.

En premier lieu, l’article 47, premier alinéa, de la Charte consacre le droit de toute personne dont les droits et libertés garantis par le droit de l’Union ont été violés à un recours effectif devant un tribunal ( 190 ). Aux termes du deuxième alinéa de cet article, toute personne a droit à ce que sa cause soit entendue par un tribunal indépendant et impartial ( 191 ). L’accès à un tribunal indépendant relève du contenu essentiel du droit garanti à l’article 47 de la Charte ( 192 ).

316.

Ce droit à la protection juridictionnelle individuelle s’ajoute à l’obligation, pesant sur les États membres en vertu des articles 7 et 8 de la Charte, de soumettre toute mesure de surveillance, sauf cas d’urgence dûment justifiés, à un contrôle préalable par un tribunal ou une autorité administrative indépendante ( 193 ).

317.

Certes, comme l’ont fait valoir les gouvernements allemand et français, le droit à un recours juridictionnel effectif ne constitue pas une garantie absolue ( 194 ), ce droit pouvant être limité pour des raisons de sécurité nationale. Les dérogations ne sont cependant autorisées que pour autant qu’elles ne portent pas atteinte à son contenu essentiel et qu’elles soient strictement nécessaires à la réalisation d’un objectif légitime.

318.

À cet égard, la Cour a jugé, dans l’arrêt Schrems, qu’une réglementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, ne respecte pas le contenu essentiel du droit fondamental consacré à l’article 47 de la Charte ( 195 ).

319.

Je souligne que ce droit d’accès implique la possibilité pour une personne d’obtenir des autorités publiques, sous réserve des dérogations strictement nécessaires à la poursuite d’un intérêt légitime, la confirmation du fait qu’elles traitent ou non des données à caractère personnel la concernant ( 196 ). Telle est, à mon sens, la portée pratique du droit d’accès lorsque la personne intéressée ignore si les autorités publiques ont conservé des données personnelles la concernant à l’issue, notamment, d’un processus de filtrage automatisé des flux de communications électroniques.

320.

Par ailleurs, il ressort de la jurisprudence que les autorités d’un État membre sont, en principe, tenues de notifier l’accès aux données dès le moment où la notification n’est plus susceptible de compromettre les enquêtes menées ( 197 ). Une telle notification constitue, en effet, un prérequis à l’exercice du droit de recours au titre de l’article 47 de la Charte ( 198 ). Cette obligation est désormais reprise à l’article 23, paragraphe 2, sous h), du RGPD.

321.

Les considérants 111 à 135 de la décision « bouclier de protection des données » exposent succinctement l’ensemble des voies de recours disponibles aux personnes dont les données sont transférées lorsqu’elles craignent que ces données aient été traitées par les services de renseignement américains après le transfert. Ces voies de recours ont également été décrites dans le jugement de la High Court (Haute Cour) du 3 octobre 2017 ainsi que dans les observations, notamment, du gouvernement des États-Unis.

322.

Il n’est pas nécessaire de rappeler en détail la teneur de ces exposés. En effet, la juridiction de renvoi met en cause le caractère adéquat des garanties relatives à la protection juridique des personnes concernées au motif, essentiellement, que les exigences particulièrement strictes en matière de qualité pour agir (standing) ( 199 ), combinées à l’absence de toute obligation de notifier les personnes ayant fait l’objet d’une mesure de surveillance même lorsque la notification n’en mettrait plus en péril les objectifs, rendrait, en pratique, exagérément difficile l’exercice des voies de recours prévues dans le droit des États-Unis. Ces doutes sont partagés par le DPC, M. Schrems, les gouvernements autrichien, polonais et portugais ainsi que l’EDPB ( 200 ).

323.

Je me bornerai, à ce sujet, à rappeler que les règles en matière de qualité pour agir ne peuvent pas porter atteinte à la protection juridictionnelle effective ( 201 ), ainsi qu’à constater que la décision « bouclier de protection des données » ne mentionne aucune exigence d’informer les personnes concernées du fait qu’elles ont fait l’objet d’une mesure de surveillance ( 202 ). Dès lors qu’elle serait susceptible d’empêcher l’exercice des voies de recours juridictionnelles, l’absence d’obligation de notifier une telle mesure, même lorsque l’information de la personne concernée ne nuirait plus à son efficacité, apparaît problématique au regard de la jurisprudence mentionnée au point 320 des présentes conclusions.

324.

La note en bas de page 169 de la décision « bouclier de protection des données » reconnaît, en outre, que les procédures disponibles « nécessitent soit l’existence d’un dommage […], soit la preuve que le gouvernement envisage d’utiliser ou de divulguer à l’encontre d’une personne des informations obtenues sur celle-ci par surveillance électronique ». Ainsi que l’ont souligné la juridiction de renvoi, le DPC et M. Schrems, cette exigence contraste avec la jurisprudence de la Cour selon laquelle, aux fins d’établir une ingérence dans le droit au respect de la vie privée de la personne concernée, il n’est pas nécessaire que celle-ci ait subi d’éventuels inconvénients du fait de l’ingérence alléguée ( 203 ).

325.

Par ailleurs, le point de vue exprimé par Facebook Ireland et le gouvernement des États-Unis, selon lequel les faiblesses caractérisant la protection juridictionnelle des personnes dont les données sont transférées vers les États-Unis seraient compensées par les contrôles préalable et a posteriori exercés par le FISC ainsi que par les multiples mécanismes de surveillance établis au sein des pouvoirs exécutif et législatif ( 204 ), n’emporte pas ma conviction.

326.

J’ai déjà relevé que, d’une part, conformément aux constatations figurant dans la décision « bouclier de protection des données », le FISC ne contrôle pas les mesures individuelles de surveillance avant leur mise en œuvre ( 205 ). Ainsi que l’indique le considérant 109 de cette décision et que l’a confirmé le gouvernement des États-Unis dans sa réponse écrite aux questions posées par la Cour, le contrôle ex post de l’application des sélecteurs a, d’autre part, pour objet de vérifier, lorsqu’un incident relatif à la possible méconnaissance des procédures de ciblage et de minimisation est porté à l’attention du FISC par une agence de renseignement ( 206 ), le respect des conditions régissant le choix des sélecteurs prévues dans la certification annuelle. La procédure devant le FISC ne semble, dès lors, pas offrir de voie de recours individuelle effective aux personnes dont les données sont transférées vers les États-Unis.

327.

Les mécanismes de contrôle extrajudiciaires mentionnés aux considérants 95 à 110 de la décision « bouclier de protection des données », s’ils pourraient le cas échéant renforcer d’éventuelles voies de recours juridictionnelles, ne sauraient, à mes yeux, suffire à assurer un niveau de protection adéquat au regard du droit de recours des personnes concernées. En particulier, les inspecteurs généraux, appartenant à la structure interne de chaque agence, ne constituent pas, me semble-t-il, des mécanismes de contrôle indépendants. La surveillance exercée par le PCLOB et par les commissions du renseignement du Congrès n’équivaut pas, quant à elle, à un mécanisme de recours individuel contre des mesures de surveillance.

328.

Il conviendra dès lors d’examiner si l’institution du médiateur pallie ces lacunes en fournissant aux personnes concernées une voie de recours effective devant un organe indépendant et impartial ( 207 ).

329.

En second lieu, aux fins d’évaluer le bien-fondé du constat d’adéquation effectué dans la décision « bouclier de protection des données » au regard des voies de recours disponibles aux personnes qui pensent avoir fait l’objet d’une surveillance fondée sur l’EO 12333, le cadre de référence pertinent réside, je le rappelle, dans les dispositions de la CEDH.

330.

Comme exposé précédemment ( 208 ), la Cour EDH procède, aux fins d’évaluer si une mesure de surveillance répond aux conditions de « prévisibilité » et de « nécessité dans une société démocratique » au sens de l’article 8, paragraphe 2, CEDH ( 209 ), à un examen d’ensemble des mécanismes de contrôle et de supervision mis en œuvre « avant, pendant et après » son exécution. Lorsque l’exercice d’un recours individuel est empêché du fait que la notification de la mesure de surveillance n’est pas possible sans mettre en péril l’efficacité de celle-ci ( 210 ), cette lacune peut être contrebalancée par la mise en œuvre d’un contrôle indépendant préalablement à l’application de la mesure en cause ( 211 ). Ainsi, la Cour EDH, si elle juge une telle notification « souhaitable » dès qu’elle peut avoir lieu sans altérer l’efficacité de la mesure de surveillance, ne l’a pas érigée en exigence ( 212 ).

331.

À cet égard, la décision « bouclier de protection des données » ne fait pas apparaître que les mesures de surveillance fondées sur l’EO 12333 seraient notifiées aux individus concernés ou encadrées par des mécanismes de contrôle juridictionnel ou administratif indépendants à un quelconque stade de leur adoption ou de leur mise en œuvre.

332.

Dans ces conditions, il y a lieu d’examiner si le recours au médiateur permet néanmoins d’assurer un contrôle indépendant des mesures de surveillance, y compris lorsqu’elles se fondent sur l’EO 12333.

2) Sur l’incidence du mécanisme de médiation sur le niveau de protection du droit au recours effectif

333.

Aux termes du considérant 116 de la décision « bouclier de protection des données », le mécanisme de médiation décrit à l’annexe III A de cette décision vise à fournir des voies de recours supplémentaires à toutes les personnes dont les données sont transférées depuis l’Union vers les États-Unis.

334.

Ainsi que l’a souligné le gouvernement des États-Unis, la recevabilité d’une plainte déposée auprès du médiateur n’est pas subordonnée au respect de règles en matière de qualité pour agir semblables à celles qui régissent l’accès aux tribunaux américains. Le considérant 119 de ladite décision précise, à ce propos, que le recours au médiateur ne présuppose pas que la personne intéressée démontre que le gouvernement des États-Unis a consulté des données personnelles la concernant.

335.

À l’instar du DPC, de M. Schrems, des gouvernements polonais et portugais ainsi que de l’EPIC, je doute de la capacité de ce mécanisme à compenser les insuffisances de la protection judiciaire offerte aux personnes dont les données sont transférées depuis l’Union vers les États-Unis.

336.

Tout d’abord, bien qu’un mécanisme de recours extrajudiciaire puisse constituer une voie de recours effective au sens de l’article 47 TFUE, tel n’est le cas que pour autant, en particulier, que l’organe en question trouve une origine légale et satisfasse à la condition d’indépendance ( 213 ).

337.

Or, il ressort de la décision « bouclier de protection des données » que le mécanisme de médiation, puisant sa source dans la PPD 28 ( 214 ), n’a pas d’origine dans la loi. Le médiateur est désigné par le secrétaire d’État et fait partie intégrante du département d’État des États-Unis ( 215 ). Cette décision ne comporte aucune indication selon laquelle la révocation du médiateur ou l’annulation de sa nomination seraient assorties de garanties particulières ( 216 ). Bien que le médiateur soit présenté comme étant indépendant de la « communauté du renseignement », il rend des comptes au secrétaire d’État et n’est, dès lors, pas indépendant du pouvoir exécutif ( 217 ).

338.

Ensuite, l’effectivité d’une voie de recours extrajudiciaire dépend également, me semble-t-il, de la capacité de l’organe en cause à adopter des décisions contraignantes et motivées. À ce sujet, la décision « bouclier de protection des données » ne comporte aucune indication selon laquelle le médiateur prendrait de telles décisions. Elle n’établit pas que l’institution du médiateur permettrait aux requérants d’accéder aux données les concernant et de les faire rectifier ou effacer, ni que le médiateur accorderait une réparation aux personnes lésées par une mesure de surveillance. En particulier, ainsi qu’il ressort de l’annexe III A, point 4, sous e), de cette décision, « le médiateur […] ne confirmera ni ne démentira que la personne a fait l’objet d’une surveillance, pas plus qu’il ne confirmera la mesure de réparation spécifique appliquée » ( 218 ). Si le gouvernement américain s’est engagé à ce que la composante concernée des services de renseignement soit tenue de corriger toute violation des normes applicables détectée par le médiateur ( 219 ), ladite décision ne fait pas état de garanties légales qui accompagneraient cet engagement et dont pourraient se prévaloir les individus concernés.

339.

Par conséquent, l’institution du médiateur ne fournit pas, à mon sens, une voie de recours devant un organe indépendant offrant aux personnes dont les données sont transférées une possibilité de faire valoir leur droit d’accès aux données ou de contester d’éventuels manquements aux règles applicables de la part des services de renseignement.

340.

Enfin, conformément à la jurisprudence, le respect du droit garanti à l’article 47 de la Charte supposerait alors que la décision de cette autorité administrative qui ne remplit pas elle-même la condition d’indépendance subisse le contrôle ultérieur d’un organe juridictionnel compétent pour se pencher sur toutes les questions pertinentes ( 220 ). Pourtant, selon les indications fournies dans la décision « bouclier de protection des données », les décisions du médiateur ne font pas l’objet d’un contrôle juridictionnel indépendant.

341.

Dans ces conditions, ainsi que l’ont fait valoir le DPC, M. Schrems, l’EPIC ainsi que les gouvernements polonais et portugais, l’équivalence substantielle entre la protection juridictionnelle offerte dans l’ordre juridique des États-Unis aux personnes dont les données y sont transférées depuis l’Union et celle qui découle du RGPD lu à la lumière de l’article 47 de la Charte et de l’article 8 CEDH me semble sujette à caution.

342.

Au vu de l’ensemble des considérations qui précèdent, je nourris certains doutes sur la conformité de la décision « bouclier de protection des données » à l’article 45, paragraphe 1, du RGPD, lu à la lumière des articles 7, 8 et 47 de la Charte ainsi que de l’article 8 CEDH.

V. Conclusion

343.

Je propose à la Cour de répondre comme suit aux questions préjudicielles posées par la High Court (Haute Cour, Irlande) :

L’analyse des questions préjudicielles n’a pas révélé d’élément de nature à affecter la validité de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission du 16 décembre 2016.


( 1 ) Langue originale : le français.

( 2 ) Voir article 45 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

( 3 ) Voir article 46 du RGPD.

( 4 ) Voir article 49 du RGPD.

( 5 ) Décision de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil (JO 2010, L 39, p. 5), telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission du 16 décembre 2016 (JO 2016, L 344, p. 100) (ci-après la « décision 2010/87 »).

( 6 ) Décision de la Commission du 12 juillet 2016 conformément à la [directive 95/46] relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (JO 2016, L 207, p. 1, ci-après la « décision bouclier de protection des données »).

( 7 ) Voir discours de l’ancien contrôleur européen à la protection des données (CEPD) P. Hustinx, « Le droit de l’Union européenne sur la protection des données : la révision de la directive 95/46/CE et la proposition de règlement général sur la protection des données », p. 49, disponible à l’adresse https://edps.europa.eu/sites/edp/files/publication/14-09-15_article_eui_fr.pdf.

( 8 ) Directive du Parlement européen et du Conseil du 24 octobre 1995 (JO 1995, L 281, p. 31), telle que modifiée par le règlement (CE) no 1882/2003 du Parlement européen et du Conseil, du 29 septembre 2003 (JO 2003, L 284, p. 1) (ci-après la « directive 95/46 »).

( 9 ) Décision 2001/497/CE de la Commission, du 15 juin 2001, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive [95/46] (JO 2001, L 181, p. 19) ; décision 2004/915/CE de la Commission, du 27 décembre 2004, modifiant la décision [2001/497] en ce qui concerne l’introduction d’un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers (JO 2004, L 385, p. 74), ainsi que décision 2010/87.

( 10 ) Décision de la Commission du 16 décembre 2016 modifiant les décisions [2001/497] et [2010/87] relatives aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers et vers des sous-traitants établis dans ces pays, en vertu de la directive [95/46] (JO 2016, L 344, p. 100).

( 11 ) Décision du 26 juillet 2000 conformément à la directive [95/46] (JO 2000, L 215, p. 7, ci-après la « décision “sphère de sécurité” »).

( 12 ) C-362/14 (EU:C:2015:650, ci-après l’« arrêt Schrems »).

( 13 ) Voir arrêt Schrems (point 106).

( 14 ) 50 U.S.C. 1881 (a).

( 15 ) 50 U.S.C. 1881 (e).

( 16 ) La juridiction de renvoi a constaté que les procédures de ciblage concernent la manière dont le pouvoir exécutif détermine qu’il est raisonnable de penser qu’un individu particulier est une personne non américaine située en dehors des États-Unis et que le ciblage de cet individu est susceptible de conduire à l’acquisition d’informations en matière de renseignement extérieur. Les procédures de minimisation couvrent l’acquisition, la rétention, l’utilisation et la dissémination de toute information non publique concernant une personne américaine acquise au titre de l’article 702 du FISA.

( 17 ) EO 12333, point 3.5, sous e).

( 18 ) 133 S.Ct. 1138 (2013).

( 19 ) La juridiction de renvoi a, cependant, constaté que le principe selon lequel la notification de la personne visée par une mesure de surveillance n’est pas requise connaît une exception lorsque le gouvernement américain cherche à utiliser des données collectées au titre de l’article 702 du FISA contre cette personne dans le cadre d’une procédure pénale ou administrative.

( 20 ) En particulier, la juridiction de renvoi a relevé que, bien que le Judicial Redress Act (JRA) (loi sur la protection juridictionnelle) ait étendu aux citoyens de l’Union les dispositions du Privacy Act (loi sur la protection de la vie privée), lequel permet l’accès par les personnes physiques aux informations les concernant détenues par certaines agences en relation avec certains pays tiers, la NSA ne figure pas au nombre des agences désignées au titre du JRA.

( 21 ) La juridiction de renvoi fait référence, à ce propos, à l’annexe III A de la décision « bouclier de protection des données » (voir points 37 et 38 des présentes conclusions).

( 22 ) La juridiction de renvoi invoque l’arrêt du 27 janvier 2005, Denuit et Cordenier (C-125/04, EU:C:2005:69, point 12).

( 23 ) Le considérant 11 de la décision 2010/87 énonce : « Les autorités de contrôle des États membres jouent un rôle clé dans ce mécanisme contractuel en garantissant la protection adéquate des données à caractère personnel après le transfert. Dans les cas exceptionnels où les exportateurs de données refusent ou ne sont pas en mesure d’instruire convenablement l’importateur de données et où il existe un risque imminent de dommage grave pour les personnes concernées, les clauses contractuelles types doivent permettre aux autorités de contrôle de soumettre les importateurs de données et les sous-traitants ultérieurs à des vérifications et, lorsque cela se révèle approprié, de prendre des décisions auxquelles ces derniers devront se plier. Les autorités de contrôle doivent avoir la faculté d’interdire ou de suspendre un transfert de données ou un ensemble de transferts fondé sur les clauses contractuelles types dans les cas exceptionnels où il est établi qu’un transfert fondé sur des termes contractuels risque d’avoir des conséquences négatives importantes pour les garanties et les obligations offrant un niveau de protection adéquat à la personne concernée. »

( 24 ) Facebook Ireland a interjeté appel contre la décision de renvoi devant la Supreme Court (Cour suprême, Irlande). Cet appel a été rejeté par arrêt du 31 mai 2019, The Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems, Appeal no 2018/68 [ci-après l’« arrêt de la Supreme Court (Cour suprême) du 31 mai 2019 »].

( 25 ) La BSA affirme que 70 % des entreprises membres de cette alliance ayant répondu à une enquête à ce sujet ont déclaré avoir recours à des clauses contractuelles types en tant que fondement principal des transferts de données à caractère personnel vers des pays tiers. Digitaleurope estime également que les clauses contractuelles types représentent l’instrument juridique principal invoqué à l’appui de ces transferts.

( 26 ) Bien que la juridiction de renvoi indique que sa demande de décision préjudicielle porte sur la validité des trois décisions CCT, celles-ci étant examinées dans le projet de décision du DPC et dans le jugement du 3 octobre 2017, les questions préjudicielles se réfèrent exclusivement à la décision 2010/87. Il en va ainsi dès lors que, devant cette juridiction, Facebook Ireland a identifié cette décision en tant que base juridique des transferts des données des utilisateurs européens du réseau social Facebook vers les États-Unis. Mon analyse portera donc uniquement sur ladite décision.

( 27 ) Voir points 167 à 186 des présentes conclusions.

( 28 ) Voir, notamment, arrêts du 10 décembre 2018, Wightman e.a. (C-621/18, EU:C:2018:999, point 27) et du 19 novembre 2019, A. K. e.a. (Indépendance de la chambre disciplinaire de la Cour suprême) (C-585/18, C-624/18 et C-625/18, EU:C:2019:982, point 98).

( 29 ) Voir article 94, paragraphe 1, et article 99, paragraphe 1, du RGPD.

( 30 ) Je souligne que, conformément à l’article 46, paragraphe 5, du RGPD, les décisions adoptées par la Commission sur la base de l’article 26, paragraphe 4, de la directive 95/46 demeurent en vigueur jusqu’à leur modification, leur remplacement ou leur abrogation.

( 31 ) Voir, notamment, arrêts du 7 février 1979, France/Commission (15/76 et 16/76, EU:C:1979:29, point 7) ; du 17 mai 2001, IECC/Commission (C-449/98 P, EU:C:2001:275, point 87), et du 17 octobre 2013, Schaible (C-101/12, EU:C:2013:661, point 50).

( 32 ) Voir, notamment, arrêts du 16 avril 2015, Parlement/Conseil (C-540/13, EU:C:2015:224, point 35) ; du 16 avril 2015, Parlement/Conseil (C-317/13 et C-679/13, EU:C:2015:223, point 45), et du 22 septembre 2016, Parlement/Conseil (C-14/15 et C-116/15, EU:C:2016:715, point 48).

( 33 ) En particulier, dans l’arrêt Schrems, la Cour a apprécié la validité de la décision « sphère de sécurité » au regard des dispositions de la Charte, dont l’adoption postdate celle de cette décision. Voir, également, arrêts du 17 mars 2011, AJD Tuna (C-221/09, EU:C:2011:153, point 48) et du 11 juin 2015, Pfeifer & Langen (C-51/14, EU:C:2015:380, point 42).

( 34 ) Voir, notamment, arrêts du 15 juillet 2010, Pannon Gép Centrum (C-368/09, EU:C:2010:441, points 30 à 35) ; du 10 février 2011, Andersson (C-30/10, EU:C:2011:66, points 20 et 21), ainsi que du 25 octobre 2018, Roche Lietuva (C-413/17, EU:C:2018:865, points 17 à 20).

( 35 ) Voir, à cet égard, conclusions de l’avocat général Bobek dans l’affaire Fashion ID (C-40/17, EU:C:2018:1039, point 87).

( 36 ) Voir point 87 des présentes conclusions.

( 37 ) Voir, en ce sens, arrêts du 1er avril 1982, Holdijk e.a. (141/81 à 143/81, EU:C:1982:122, point 5) et du 9 décembre 2003, Gasser (C-116/02, EU:C:2003:657, point 27).

( 38 ) Voir, en ce sens, arrêt du 30 mai 2006, Parlement/Conseil et Commission (C-317/04 et C-318/04, EU:C:2006:346, ci-après l’« arrêt PNR », point 56), ainsi qu’arrêt Schrems (point 45). L’article 4, point 2, du RGPD reprend pour l’essentiel la définition de la notion de « traitement » qui figurait à l’article 2, sous b), de la directive 95/46.

( 39 ) Conformément à l’article 3, paragraphe 1, du RGPD, ce règlement s’applique à tout traitement effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. La question de l’applicabilité du droit de l’Union aux traitements par les services de renseignement d’un pays tiers en dehors de l’Union doit être distinguée de celle de la pertinence des règles et des pratiques entourant ces traitements dans le pays tiers en cause en vue de déterminer si un niveau adéquat de protection y est assuré. Cette dernière thématique fait l’objet de la deuxième question préjudicielle et sera abordée aux points 201 à 229 des présentes conclusions.

( 40 ) Dans mes conclusions dans l’affaire Ministerio Fiscal (C-207/16, EU:C:2018:300, point 47), j’ai souligné la distinction entre, d’une part, le traitement direct de données à caractère personnel dans le cadre des activités régaliennes de l’État, et, d’autre part, le traitement commercial suivi d’une utilisation par les autorités publiques.

( 41 ) De la même manière, dans l’avis 1/15 (Accord PNR UE-Canada), du 26 juillet 2017 (EU:C:2017:592, ci-après l’« avis 1/15 »), la Cour a examiné la conformité aux articles 7, 8 et 47 de la Charte d’un projet d’accord international entre le Canada et l’Union portant sur des données qui, une fois transférées au Canada, étaient destinées à être traitées par les autorités publiques à des fins de protection de la sécurité nationale.

( 42 ) Arrêt Schrems (point 73). La Cour a confirmé cette conclusion dans l’avis 1/15 (point 134).

( 43 ) L’article 26, paragraphe 2, de la directive 95/46 prévoyait qu’un État membre peut autoriser un tel transfert « lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants » (souligné par mes soins). Les notions de « garanties suffisantes » et de « garanties appropriées », mentionnées respectivement à cette disposition et à l’article 46, paragraphe 1, du RGPD, présentent, à mon sens, le même contenu.

( 44 ) À cet égard, le considérant 6 du RGPD indique qu’un « niveau élevé » de protection des données doit être assuré tant au sein de l’Union qu’en cas de transfert en dehors de celle-ci. Voir, également, considérant 101 du RGPD.

( 45 ) Voir arrêt Schrems (point 73) et avis 1/15 (point 214).

( 46 ) Il en va ainsi sans préjudice de la possibilité de transférer des données à caractère personnel, même en l’absence de garanties appropriées, sur la base des motifs de dérogation prévus à l’article 49, paragraphe 1, du RGPD.

( 47 ) Voir point 128 des présentes conclusions.

( 48 ) Imaginons, par exemple, qu’un pays tiers prévoie une obligation pour les fournisseurs de service de télécommunications de concéder aux autorités publiques un accès aux données transférées sans aucunes limitations ni garanties. Si de tels fournisseurs s’en trouveraient dans l’incapacité de respecter les clauses contractuelles types, les entreprises qui ne sont pas soumises à cette obligation n’en seraient pas pour autant empêchées.

( 49 ) Je note, par ailleurs, que la clause 5, sous d), point i) exempte l’importateur de son obligation d’informer l’exportateur d’une demande contraignante de divulgation émanant d’une autorité de maintien de l’ordre du pays tiers lorsque le droit de ce pays tiers s’oppose à une telle information. Dans un tel cas de figure, l’exportateur n’aura pas la possibilité de suspendre le transfert si cette divulgation, dont il n’aura pas connaissance, viole les clauses types. Cependant, l’importateur demeure, en vertu de la clause 5, sous a), tenu d’informer, le cas échéant, l’exportateur du fait qu’il estime que la législation de ce pays tiers l’empêche de remplir ses obligations au titre des clauses contractuelles convenues.

( 50 ) Il ressort de la jurisprudence que les dispositions d’un acte d’exécution doivent être interprétées en conformité avec les dispositions de l’acte de base par lequel le législateur en a autorisé l’adoption [voir, en ce sens, notamment, arrêts du 26 juillet 2017, République tchèque/Commission (C-696/15 P, EU:C:2017:595, point 51) ; du 17 mai 2018, Evonik Degussa (C-229/17, EU:C:2018:323, point 29), et du 20 juin 2019, ExxonMobil Production Deutschland (C-682/17, EU:C:2019:518, point 112)]. En outre, un acte de l’Union doit être interprété, dans la mesure du possible, d’une manière qui ne remette pas en cause sa validité et en conformité avec l’ensemble du droit primaire et, notamment, avec les dispositions de la Charte [voir, notamment, arrêt du 14 mai 2019, M e.a. (Révocation du statut de réfugié) (C-391/16, C-77/17 et C-78/17, EU:C:2019:403, point 77 et jurisprudence citée)].

( 51 ) À cet égard, le considérant 109 du RGPD encourage l’exportateur et l’importateur à ajouter aux clauses types de protection des garanties supplémentaires, notamment par la voie contractuelle.

( 52 ) Si l’article 4, paragraphe 1, de la décision 2010/87 fait référence à l’article 28, paragraphe 3, de la directive 95/46, je rappelle que, en vertu de l’article 94, paragraphe 2, du RGPD, les références faites à cette directive doivent être entendues comme renvoyant aux dispositions correspondantes du RGPD.

( 53 ) Voir considérants 6 et 7 de la décision 2016/2297. Aux points 101 à 104 de l’arrêt Schrems, la Cour avait jugé invalide une disposition de la décision « sphère de sécurité » qui limitait à des « cas exceptionnels » les pouvoirs conférés aux autorités de contrôle par l’article 28 de la directive 95/46, au motif que la Commission n’était pas compétente pour restreindre ces pouvoirs.

( 54 ) Voir arrêt Schrems (point 103).

( 55 ) En tout état de cause, le préambule d’un acte de l’Union n’a pas de valeur juridique contraignante et ne saurait être invoqué pour déroger aux dispositions mêmes de cet acte. Voir arrêts du 19 novembre 1998, Nilsson e.a. (C-162/97, EU:C:1998:554, point 54) ; du 12 mai 2005, Meta Fackler (C-444/03, EU:C:2005:288, point 25), et du 10 janvier 2006, IATA et ELFAA (C-344/04, EU:C:2006:10, point 76).

( 56 ) Voir, par analogie, arrêt Schrems (point 63).

( 57 ) J’ajoute que, en vertu de la clause 8, paragraphe 2, figurant à l’annexe de la décision 2010/87, les parties au contrat conviennent d’accorder à l’autorité de contrôle le pouvoir d’effectuer des vérifications auprès de l’importateur dans les mêmes conditions qu’en cas de vérifications opérées chez l’exportateur conformément au droit applicable.

( 58 ) Voir, en ce sens, arrêt Schrems (point 43).

( 59 ) Aux termes du considérant 141 du RGPD, toute personne doit disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte si l’autorité de contrôle « n’agit pas alors qu’une action est nécessaire pour protéger les droits de [cette personne] ». Voir, également, considérants 129 et 143 du RGPD.

( 60 ) Voir, notamment, arrêts du 28 juillet 2011, Samba Diouf (C-69/10, EU:C:2011:524, point 57) et du 17 novembre 2011, Gaydarov (C-430/10, EU:C:2011:749, point 41).

( 61 ) Voir, à ce propos, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, points 69 à 73).

( 62 ) Voir article 56, paragraphe 1, du RGPD. Conformément à l’article 61 de ce règlement, les autorités de contrôle sont tenues de se prêter assistance mutuelle. L’article 62 dudit règlement les autorise à mener des opérations conjointes.

( 63 ) Voir article 65 du RGPD.

( 64 ) Voir article 64, paragraphe 2, du RGPD.

( 65 ) L’article 83, paragraphe 5, sous c), du RGPD prévoit également des amendes à charge du responsable du traitement en cas de violation des articles 44 à 49 de ce règlement.

( 66 ) Voir point 175 des présentes conclusions.

( 67 ) Jugement de la High Court (Haute Cour) du 3 octobre 2017 (point 337).

( 68 ) Aux termes de l’arrêt de la Supreme Court (Cour suprême) du 31 mai 2019 (point 2.7), « [t]he sole relief claimed by the DPC is, in substance, a reference to the CJEU under Article 267 [TFUE] ». Le point 2.9 de cet arrêt poursuit : « Here, the only issue of substance which arises before either the Irish courts or the CJEU is the question of the validity or otherwise of Union measures. Whatever the view taken by the CJEU on that issue, the Irish courts will have no further role, for the measures under question will either be found to be valid or invalid and in either event, that will be the end of the matter » (souligné par mes soins).

( 69 ) Voir point 124 des présentes conclusions.

( 70 ) Pour cette même raison, la Supreme Court (Cour suprême), dans son arrêt du 31 mai 2019 (points 8.1 à 8.5), tout en se reconnaissant incompétente pour remettre en cause la décision de la juridiction de renvoi de déférer à la Cour les questions préjudicielles et pour en amender les termes, a exprimé des doutes sur la nécessité de certaines de ces questions. En particulier, le point 8.5 de cet arrêt énonce : « The sole purpose of the proceedings before the courts in Ireland was to enable the High Court to refer that question of validity to the CJEU and obtain a definitive answer from the only court which has competence to make the decision in question. It is difficult, therefore, to see how the High Court needs answers to many of the questions which have been referred, for the answers to those questions are only relevant to the question of the validity of the challenged measures […]. »

( 71 ) Voir considérants 64 à 141 de la décision « bouclier de protection des données ». Je rappelle que, ainsi qu’il ressort de l’article 1er, paragraphe 2, de cette décision, le bouclier de protection des données se compose non seulement de principes auxquels doivent adhérer les entreprises qui souhaitent transférer des données sur le fondement de ladite décision, mais également des observations et engagements officiels obtenus de la part du gouvernement des États-Unis et figurant dans les documents y annexés.

( 72 ) Le projet de décision du DPC précède l’adoption de la décision « bouclier de protection des données ». Ainsi que le DPC l’a précisé dans ce projet, s’il y a conclu provisoirement que les garanties prévues par le droit des États-Unis ne permettaient pas, à tout le moins, d’assurer la conformité des transferts vers ce pays tiers à l’article 47 de la Charte, il n’a pas examiné ou pris en compte, à ce stade, les nouveaux arrangements envisagés dans le projet d’accord relatif au « bouclier de protection » dès lors que celui-ci n’avait pas encore été adopté. Cela étant, au point 307 de son jugement du 3 octobre 2017, la High Court (Haute Cour) estime : « It is fair to conclude […] that the decision of the Commission in regard to the adequacy of the protections afforded to EU citizens against interference by the intelligence authorities in the [U.S.] with the fundamental rights of EU citizens whose data are transferred from the [EU] to the [U.S.], conflicts with the case made by the DPC to this court ».

( 73 ) Voir article 1er, paragraphes 1 et 3, ainsi que considérants 14 à 16 de la décision « bouclier de protection des données ».

( 74 ) Affaire pendante T-738/16, La Quadrature du Net e.a./Commission (JO 2017, C 6, p. 39).

( 75 ) J’observe d’ailleurs que, dans ses observations écrites, le DPC n’a pas pris position sur l’incidence de la décision « bouclier de protection des données » sur le traitement de la plainte dont il est saisi.

( 76 ) Voir, à cet égard, arrêt Schrems (point 78).

( 77 ) M. Schrems fait valoir, à l’appui de cette thèse, que Facebook Inc. doit être considérée non seulement comme un sous-traitant, mais également comme un « responsable du traitement », au sens de l’article 4, point 7, du RGPD, en ce qui concerne le traitement des données personnelles des utilisateurs du réseau social Facebook. Voir, à cet égard, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388, point 30).

( 78 ) Voir jugement de la High Court (Haute Cour) du 3 octobre 2017 (point 66).

( 79 ) Voir site Internet du « bouclier de protection des données » (https://www.privacyshield.gov/participant_search).

( 80 ) Voir, en ce sens, arrêt Schrems (point 59).

( 81 ) Voir considérant 65 de la décision « bouclier de protection des données ».

( 82 ) Voir annexes III à VII à la décision « bouclier de protection des données ».

( 83 ) Résolutions du Parlement du 6 avril 2017 sur l’adéquation de la protection offerte par le bouclier de protection des données UE-États-Unis, P8_TA(2017)0131 et du 5 juillet 2018 sur l’adéquation de la protection assurée par le bouclier de protection des données UE–États-Unis, P8_TA(2018)0315.

( 84 ) Voir groupe de travail « article 29 » sur la protection des données (ci-après le « Groupe 29 »), Opinion 1/2016 on the EU-U.S. Privacy Shield draft adequacy decision, 13 avril 2016, WP 238 ; Groupe 29, EU-US Privacy Shield – First Annual Joint Review, 28 novembre 2017, WP 255, et EDPB, EU-US Privacy Shield – Second Annual Joint Review, 22 janvier 2019. Le Groupe 29 avait été institué en vertu de l’article 29, paragraphe 1, de la directive 95/46 qui en prévoyait le caractère consultatif et indépendant. Aux termes du paragraphe 2 de cet article, ce groupe se composait d’un représentant de chaque autorité de contrôle nationale, d’un représentant de chaque autorité créée pour les institutions et organismes communautaires ainsi que d’un représentant de la Commission. Depuis l’entrée en vigueur du RGPD, le Groupe 29 a été remplacé par l’EDPB (voir article 94, paragraphe 2, de ce règlement).

( 85 ) Voir CEPD, avis 4/2016 concernant le « Bouclier vie privée UE-États-Unis » (Privacy Shield) – Projet de décision d’adéquation, du 30 mai 2016. Le CEPD a été institué par l’article 1er, paragraphe 2, du règlement (CE) no 45/2001 du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO 2001, L 8, p. 1). Il contrôle l’application des dispositions de ce règlement.

( 86 ) Voir point 112 des présentes conclusions.

( 87 ) Je rappelle que l’équivalence substantielle du niveau de protection garanti par un État tiers par rapport à celui qui est exigé dans l’Union doit également être évaluée lorsque, dans le cadre d’un transfert spécifique fondé sur les clauses contractuelles types prévues dans la décision 2010/87, le responsable du traitement ou, à défaut, l’autorité de contrôle compétente vérifie si les autorités publiques du pays tiers de destination soumettent l’importateur à des exigences qui excèdent les limites de ce qui est nécessaire dans une société démocratique (voir clause 5 figurant à l’annexe de la décision 2010/87 ainsi que la note en bas de page y afférente). Voir points 115, 134 et 135 des présentes conclusions.

( 88 ) Voir point 117 des présentes conclusions.

( 89 ) Voir point 197 des présentes conclusions.

( 90 ) Voir, notamment, arrêt du 6 novembre 2003, Lindqvist (C-101/01, EU:C:2003:596, points 43 et 44) ; arrêt PNR (point 58) ; arrêt du 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia (C-73/07, EU:C:2008:727, point 41) ; arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a. (C-203/15 et C-698/15, EU:C:2016:970, ci-après l’« arrêt Tele2 Sverige », point 69), ainsi qu’arrêt du 2 octobre 2018, Ministerio Fiscal (C-207/16, EU:C:2018:788, ci-après l’« arrêt Ministerio Fiscal », point 32).

( 91 ) En vue d’éviter toute confusion sur ce point, je souligne que, dans la décision « bouclier de protection des données », la Commission n’a pas été en mesure de déterminer si les États-Unis interceptent effectivement les communications transitant par les câbles transatlantiques, dès lors que les autorités américaines n’ont ni confirmé ni infirmé cette proposition [voir considérant 75 de cette décision ainsi que lettre de M. Robert Litt, du 22 février 2016, figurant à son annexe VI, point I, sous a)]. Cependant, dès lors que le gouvernement des États-Unis n’a pas nié collecter des données en transit sur le fondement de l’EO 12333, la Commission devait, me semble-t-il, avant de procéder au constat d’adéquation, obtenir de la part de ce dernier des assurances selon lesquelles une telle collecte, dans l’hypothèse où elle se produirait, serait entourée de garanties suffisantes contre les risques d’abus. C’est dans cette optique que la Commission a examiné, aux considérants 68 à 77 de ladite décision, les limitations et garanties qui devraient s’appliquer dans une telle hypothèse en vertu de la PPD 28.

( 92 ) Il s’agissait de la décision 2004/535/CE de la Commission, du 14 mai 2004, relative au niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens transférés au Bureau des douanes et de la protection des frontières des États-Unis d’Amérique (JO 2004, L 235, p. 11).

( 93 ) Arrêt PNR (points 56 à 58). Par ailleurs, dans l’arrêt du 10 février 2009, Irlande/Parlement et Conseil (C-301/06, EU:C:2009:68, points 90 et 91), la Cour a jugé que les considérations développées dans l’arrêt PNR n’étaient pas transposables aux traitements visés par la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO 2006, L 105, p. 54). La Cour a justifié cette conclusion par le fait que la directive 2006/24, à la différence de la décision en cause dans l’arrêt PNR, régissait uniquement les activités des fournisseurs de services dans le marché intérieur, sans réglementer les activités des autorités publiques à des fins répressives. Par ce raisonnement, la Cour paraît avoir affirmé que, a contrario, la conclusion tirée dans l’arrêt PNR aurait été transposable à des dispositions relatives à l’accès aux données conservées ou à leur utilisation par ces autorités.

( 94 ) Arrêt Tele2 Sverige (points 67 à 81).

( 95 ) Directive du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37).

( 96 ) Dès lors que la directive 2002/58 concrétise les exigences de la directive 95/46, désormais abrogée par le RGPD qui en reprend largement le contenu, la jurisprudence relative à l’interprétation de l’article 1er, paragraphe 3, de la directive 2002/58 est, me semble-t-il, applicable par analogie à l’interprétation de l’article 2, paragraphe 2, du RGPD. Voir, en ce sens, arrêts Tele2 Sverige (point 69) et Ministerio Fiscal (point 32).

( 97 ) Arrêt Ministerio Fiscal (points 34, 35 et 37).

( 98 ) Cette même question a été soulevée dans le cadre de trois autres renvois préjudiciels pendants devant la Cour. Voir affaire C-623/17, Privacy International (JO 2018, C 22, p. 29) ainsi qu’affaires jointes C-511/18 et C-512/18, La Quadrature du Net e.a. et French Data Network e.a. (JO 2018, C 392, p. 7).

( 99 ) Dans l’arrêt Tele2 Sverige, bien que la Cour se soit concentrée sur l’examen de la justification des ingérences découlant des mesures de conservation et d’accès en cause au regard de l’objectif de lutte contre les infractions pénales, la conclusion à laquelle elle est parvenue vaut également, mutatis mutandis, lorsque de telles mesures poursuivent un objectif de protection de la sécurité nationale. En effet, l’article 15, paragraphe 1, de la directive 2002/58 mentionne, parmi les objectifs pouvant justifier de telles mesures, tant la lutte contre les infractions pénales que la protection de la sécurité nationale. Par ailleurs, l’article 1er, paragraphe 3, de la directive 2002/58 et l’article 2, paragraphe 2, du RGPD excluent du champ d’application de ces instruments les activités de l’État aussi bien en matière de sécurité nationale que dans le domaine pénal. Les mesures en cause dans l’affaire ayant donné lieu à l’arrêt Tele2 Sverige poursuivaient d’ailleurs également un but lié à la sécurité nationale. Au point 119 de cet arrêt, la Cour a expressément traité de la justification de mesures relatives à la conservation et à l’accès aux données de trafic et de localisation au regard de l’objectif de protection de la sécurité nationale en ce qu’il englobe la lutte contre le terrorisme.

( 100 ) Arrêt Tele2 Sverige (point 78, souligné par mes soins). Comme en témoigne l’emploi du terme « [en] outre », c’est uniquement pour corroborer sa conclusion relative à l’applicabilité de la directive 2002/58 que la Cour a souligné, au point 79 de cet arrêt, le lien intrinsèque entre l’obligation de conservation des données en cause dans l’affaire ayant donné lieu à cet arrêt et les dispositions relatives à l’accès par les autorités nationales aux données conservées.

( 101 ) Arrêt Ministerio Fiscal (point 37, souligné par mes soins).

( 102 ) Voir, en ce sens, arrêt Ministerio Fiscal (point 38).

( 103 ) Voir, en ce sens, arrêt du 13 mai 2014, Google Spain et Google (C-131/12, EU:C:2014:317, point 28).

( 104 ) Arrêt Schrems (points 91 à 96). Aux considérants 90, 124 et 141 de la décision « bouclier de protection des données », la Commission fait d’ailleurs référence aux dispositions de la Charte, acceptant ainsi le principe selon lequel les limitations des droits fondamentaux qui répondent à un objectif de protection de la sécurité nationale doivent être conformes à la Charte.

( 105 ) Voir, en ce sens, arrêt Schrems (points 74 et 75).

( 106 ) Voir, en ce sens, EDPB, EU-US Privacy Shield – Second Annual Joint Review, du 22 janvier 2019 (p. 17, point 86).

( 107 ) Voir article 45, paragraphe 5, du RGPD. Voir, également, arrêt Schrems (point 76).

( 108 ) Ainsi, la décision « sphère de sécurité » a été déclarée invalide au motif que la Commission n’avait pas fait état, dans cette décision, de ce que les États-Unis assuraient effectivement un niveau adéquat de protection en raison de leur législation interne ou de leurs engagements internationaux (arrêt Schrems, point 97). En particulier, la Commission n’avait constaté l’existence ni de règles étatiques destinées à limiter les éventuelles ingérences dans les droits fondamentaux des personnes concernées (arrêt Schrems, point 88) ni d’une protection juridique efficace contre de telles ingérences (arrêt Schrems, point 89).

( 109 ) Les points 54 à 73 des présentes conclusions résument ces constatations.

( 110 ) Voir, notamment, arrêts du 4 mai 1999, Sürül (C-262/96, EU:C:1999:228, point 95) ; du 11 septembre 2008, Eckelkamp e.a. (C-11/07, EU:C:2008:489, point 32), et du 26 octobre 2016, Senior Home (C-195/15, EU:C:2016:804, point 20).

( 111 ) Voir, à cet égard, arrêt de la Supreme Court (Cour suprême) du 31 mai 2019 (point 6.18).

( 112 ) Voir arrêt du 13 mai 1981, International Chemical Corporation (66/80, EU:C:1981:102, points 12 et 13).

( 113 ) Voir, à cet égard, arrêt du 22 mars 2012, GLS (C-338/10, EU:C:2012:158, points 15, 33 et 34), dans lequel la Cour a tenu compte, afin d’apprécier la validité d’un règlement instituant un droit antidumping, de statistiques d’Eurostat produites par la Commission à la demande de la Cour. Voir, également, arrêt du 22 octobre 1991, Nölle (C-16/90, EU:C:1991:402, points 17, 23 et 24). De même, dans l’arrêt Schrems (point 90), la Cour a pris en considération, lors de l’examen de la validité de la décision « sphère de sécurité », certaines communications de la Commission.

( 114 ) Arrêt Schrems (points 73 et 74).

( 115 ) Voir, en ce sens, Groupe 29, « Adequacy Referential (updated) », 28 novembre 2017, WP 254 (p. 3, 4 et 9).

( 116 ) L’article 8, paragraphe 2, de la CEDH ne fait, cependant, pas référence à la notion de « contenu essentiel » du droit au respect de la vie privée. Voir, à ce sujet, note 161 des présentes conclusions.

( 117 ) Cour EDH, 19 juin 2018 (CE:ECHR:2018:0619JUD003525208, ci-après l’« arrêt Centrüm för Rättvisa »).

( 118 ) Cour EDH, 13 septembre 2018 (CE:ECHR:2018:0913JUD005817013, ci-après l’« arrêt Big Brother Watch »).

( 119 ) Voir affaires citées à la note 98 des présentes conclusions ainsi qu’affaire C-520/18, Ordre des barreaux francophones et germanophones e.a. (JO 2018, C 408, p. 39).

( 120 ) Bien qu’un traitement puisse violer à la fois les articles 7 et 8 de la Charte, le cadre d’analyse pertinent aux fins d’appliquer l’article 8 est structurellement différent de celui qui s’attache à l’article 7. Le droit à la protection des données à caractère personnel implique, aux termes de l’article 8, paragraphe 2, de la Charte que « [c]es données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi » et que « [t]oute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification ». La violation de ce droit suppose que des données personnelles subissent un traitement accompli en méconnaissance de ces exigences. Tel est le cas, notamment, lorsque le traitement ne repose ni sur le consentement de la personne concernée, ni sur un autre fondement légitime prévu par la loi. Dans une telle situation, alors que la question de l’existence d’une ingérence et celle de sa justification sont conceptuellement distinctes dans le cadre de l’article 7, elles se confondent en ce qui concerne l’article 8 de la Charte.

( 121 ) L’article 2, second alinéa, sous b), de la directive 2002/58 définit la notion de « données relatives au trafic » comme « toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou de sa facturation ».

( 122 ) Voir arrêt du 8 avril 2014, Digital Rights Ireland e.a. (C-293/12 et C-594/12, EU:C:2014:238, ci-après l’« arrêt Digital Rights Ireland », point 27) et arrêt Tele2 Sverige (point 99). Voir, également, Cour EDH, 2 août 1984, Malone c. Royaume-Uni (CE:ECHR:1984:0802JUD000869179, § 84) et 8 février 2018, Ben Faiza c. France (CE:ECHR:2018:0208JUD003144612, § 66).

( 123 ) Voir arrêt Digital Rights Ireland (point 33) ; avis 1/15 (point 124), ainsi qu’arrêt Ministerio Fiscal (point 51).

( 124 ) Voir considérants 78 à 81 ainsi qu’annexe VI, point II, de la décision « bouclier de protection des données ».

( 125 ) Voir, à cet égard, arrêt Digital Rights Ireland (point 32).

( 126 ) Voir, en ce sens, avis 1/15 (points 124 et 125), dont il ressort que la communication de données à un tiers constitue une ingérence dans l’exercice des droits fondamentaux des personnes concernées quelle qu’en soit l’utilisation ultérieure.

( 127 ) Voir, en ce sens, arrêt Digital Rights Ireland (point 35) ; arrêt Schrems (point 87), et avis 1/15 (points 123 à 126).

( 128 ) Voir point 60 des présentes conclusions.

( 129 ) PCLOB, Report on the Surveillance Program Operated Pursuant to Section 702 of the [FISA], 2 juillet 2014 (ci-après le « rapport du PCLOB », p. 84 et 111). Voir, également, Groupe 29, EU-U.S. Privacy Shield – First Annual Joint Review, 28 novembre 2017, WP 255 (sous B.1.1, p. 15).

( 130 ) Voir note 126 des présentes conclusions.

( 131 ) Voir, à ce propos, point 222 des présentes conclusions.

( 132 ) Voir avis 1/15 (point 123 et jurisprudence citée).

( 133 ) Voir, notamment, avis 1/15 (point 146).

( 134 ) Voir, notamment, Cour EDH, 2 août 1984, Malone c. Royaume-Uni (CE:ECHR:1984:0802JUD000869179, § 66), décision du 29 juin 2006, Weber et Saravia c. Allemagne (CE:ECHR:2006:0629DEC005493400, ci-après la « décision Weber et Saravia », § 84 et jurisprudence citée), ainsi qu’arrêt du 4 décembre 2015, Zakharov c. Russie (CE:ECHR:2015:1204JUD004714306, ci-après l’« arrêt Zakharov », § 228).

( 135 ) Voir, notamment, arrêt Digital Rights Ireland (points 54 et 65) ; arrêt Schrems (point 91) ; arrêt Tele2 Sverige (point 109), et avis 1/15 (point 141).

( 136 ) Voir, notamment, décision Weber et Saravia (§ 94 et 95) ; arrêt Zakharov (§ 236), et Cour EDH, 12 janvier 2016, Szabó et Vissy c. Hongrie (CE:ECHR:2016:0112JUD003713814, ci-après l’« arrêt Szabó et Vissy », § 59).

( 137 ) Voir arrêt Tele2 Sverige (point 117) et avis 1/15 (point 190). Voir, également, notamment, Cour EDH, 2 août 1984, Malone c. Royaume-Uni (CE:ECHR:1984:0802JUD000869179, § 67) ; arrêt Zakharov (§ 229), et arrêt Szabó et Vissy (§ 62). La Cour EDH y précise que l’impératif de prévisibilité ne revêt pas la même portée en matière d’interception des communications que dans d’autres domaines. Dans le contexte des mesures de surveillance secrète, « l’exigence de prévisibilité ne saurait signifier qu’il faille permettre à quelqu’un de prévoir si et quand ses communications risquent d’être interceptées par les autorités, afin qu’il puisse régler son comportement en conséquence ».

( 138 ) Avis 1/15 (point 139). Voir, également, en ce sens, Cour EDH, 25 mars 1983, Silver e.a. c. Royaume-Uni (CE:ECHR:1983:0325JUD000594772, § 88 et 89).

( 139 ) Les considérants 69 à 77 ainsi que l’annexe VI, point I, de la décision « bouclier de protection des données » contiennent un exposé de la PPD 28. Il y est précisé que cette directive présidentielle s’applique aussi bien aux activités de renseignement fondées sur l’article 702 du FISA qu’à celles conduites en dehors du territoire des États-Unis.

( 140 ) Le point 3.7, sous c), de l’EO 12333 énonce : « [t]his order is intended only to improve the internal management of the executive branch and is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity, by any party against the United States, its departments, agencies or entities, its officers, employees, or agents, or any other person ». L’article 6, sous d), de la PPD 28 prévoit également : « This directive is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person ».

( 141 ) Voir, en ce sens, EDPB, EU-U.S. Privacy Shield – Second Annual Joint Review, du 22 janvier 2019 (point 99).

( 142 ) Voir considérants 69 et 77 de la décision « bouclier de protection des données ».

( 143 ) Considérant 76 de la décision « bouclier de protection des données ».

( 144 ) Voir Cour EDH, 25 mars 1983, Silver e.a. c. Royaume-Uni (CE:ECHR:1983:0325JUD000594772, § 26 et 86).

( 145 ) Voir points 295 à 301 des présentes conclusions. Dans l’arrêt Tele2 Sverige (points 116 et 117) et l’avis 1/15 (points 140 et 141), la condition de prévisibilité de la loi a été présentée comme étant intrinsèquement liée à la condition de nécessité et de proportionnalité de l’ingérence. De la même manière, selon la jurisprudence de la Cour EDH, l’existence de garanties effectives contre les risques d’abus participe tant de la condition de « prévisibilité » de l’ingérence que de celle relative à son caractère « nécessaire dans une société démocratique », le respect de ces deux conditions étant examiné conjointement. Voir, notamment, Cour EDH, 18 mai 2010, Kennedy c. Royaume-Uni (CE:ECHR:2010:0518JUD002683905, § 155) ; arrêt Zakharov (§ 236) ; arrêt Centrüm för Rättvisa (§ 107), et arrêt Big Brother Watch (§ 322).

( 146 ) Voir, également, considérant 104 du RGPD.

( 147 ) Voir arrêt Schrems (point 94). Voir, également, arrêts Digital Rights Ireland (point 39) et Tele2 Sverige (point 101). Compte tenu du lien étroit unissant les droits au respect de la vie privée et à la protection des données à caractère personnel, une mesure nationale conférant aux autorités publiques un accès généralisé au contenu des communications violerait également, me semble-t-il, le contenu essentiel du droit consacré à l’article 8 de la Charte.

( 148 ) Voir point 257 des présentes conclusions. Dans l’arrêt Tele2 (point 99), la Cour a souligné que les métadonnées fournissent, en particulier, les moyens d’établir le profil des personnes concernées. Dans son avis 04/2014 sur la surveillance des communications électroniques à des fins de renseignement et de sécurité nationale, du 10 avril 2014, WP 215 (p. 5), le Groupe 29 a observé que, du fait de leur nature structurée, les métadonnées sont plus faciles à recouper et à analyser que les données de contenu.

( 149 ) Voir arrêt Tele2 Sverige (point 99). Certains commentateurs se sont interrogés sur le bien-fondé de la distinction entre l’accès généralisé au contenu des communications et l’accès généralisé aux métadonnées eu égard aux évolutions des technologies et des modes de communication. Voir Falot, N. et Hijmans, H., « Tele2 : de afweging tussen privacy en veiligheid nader omlijnd », Nederlands Tijdschrift voor Europees Recht, no 3, 2017 (p. 48) ainsi qu’Ojanen, T., « Making essence of the rights real : the Court of Justice of the European Union clarifies the structure of fundamental rights under the Charter » (commentaire sur l’arrêt Schrems), European Constitutional Law Review, 2016 (p. 5).

( 150 ) Voir note en bas de page 87 de la décision « bouclier de protection des données ». Cependant, aux termes des observations de l’EPIC et de la réponse écrite du gouvernement des États-Unis aux questions posées par la Cour, le FISC aurait exigé, en 2017, la suspension des recherches « concernant » un sélecteur en raison d’irrégularités ayant entaché les recherches de ce type. Le Congrès aurait toutefois prévu, dans l’acte de réautorisation du FISA adopté en 2018, la possibilité de réintroduire ce type de recherches avec l’accord du FISC et du Congrès. Voir, également, EDPB, EU-U.S. Privacy Shield – Second Annual Joint Review, 22 janvier 2019 (p. 27, point 55).

( 151 ) Dans cette optique, la juridiction de renvoi, aux points 188 et 189 de son jugement du 3 octobre 2017, distingue la recherche « en vrac » de l’acquisition, la collecte ou la rétention « en vrac ». Cette juridiction considère essentiellement que, si le programme Upstream implique une recherche « en vrac » au sein de l’ensemble des flux de données transitant par la « dorsale » des télécommunications, l’acquisition, la collecte et la rétention sont ciblées en ce sens qu’elles n’ont pour objet que les données qui contiennent les sélecteurs en cause.

( 152 ) Voir, en ce sens, arrêt de la Supreme Court (Cour suprême) du 31 mai 2019 (points 11.2 et 11.3). Cette juridiction y relève : « [I]t is inevitable that any screening process designed to identify data of interest will necessarily involve all of the data available, for the whole point of the screening process is to identify within that entire universe of available data the relevant material which may be of interest and thus require closer scrutiny. Perhaps part of the problem lies in the fact that the term “processing” covers a wide range of activity, apparently, in the view of the DPC, including screening. On the assumption that that is a correct view of the law, then it is technically correct to describe bulk screening as involving indiscriminate processing. But the use of that terminology might be taken to imply that other forms of processing, which are significantly more invasive, are carried out on an indiscriminate basis. »

( 153 ) Voir avis 1/15 (point 122). Voir, également, rapport de la Commission européenne pour la démocratie par le droit (Commission de Venise) sur le contrôle démocratique des agences de collecte de renseignements d’origine électromagnétique, du 15 décembre 2015, étude no 719/2013 [CDL-AD(2015)011,, p. 11] : « En pratique, la question de savoir si ce processus limite convenablement les intrusions superflues dans les communications personnelles innocentes revient à déterminer si le sélecteur est suffisamment pertinent et spécifique, et si la qualité de l’algorithme du logiciel employé pour identifier les données pertinentes dans le cadre des paramètres choisis est satisfaisante […] ».

( 154 ) Voir points 297 à 301 des présentes conclusions.

( 155 ) Avis 1/15 (point 150).

( 156 ) Voir considérants 70, 103 et 109 de la décision « bouclier de protection des données ».

( 157 ) Voir considérants 83 à 87 ainsi qu’annexe VI, point I, sous c), de la décision « bouclier de protection des données ». J’observe que, selon le rapport du PCLOB (p. 51 à 66), les procédures de « minimisation » de la NSA au titre de l’article 702 du FISA ne visent, pour la plupart de leurs aspects, que les personnes américaines. La PPD 28 visait à étendre les garanties applicables aux personnes non américaines. Voir PCLOB, Report to the President on the Implementation of [PPD 28] : Signals Intelligence Activities, disponible à l’adresse https://www.pclob.gov/reports/report-PPD28/ (p. 2). Cela étant, le stockage et l’utilisation des données, à des fins de sécurité nationale, après qu’elles ont été acquises par les autorités publiques, ne relèvent, selon moi, pas du champ d’application du droit de l’Union (voir point 226 des présentes conclusions). L’adéquation du niveau de protection assuré dans le cadre de ces activités ne doit donc être appréciée qu’au regard de l’article 8 de la CEDH.

( 158 ) Voir points 283 à 289 des présentes conclusions.

( 159 ) En particulier, la Commission a constaté, au considérant 127 de la décision « bouclier de protection des données », que le quatrième amendement de la Constitution des États-Unis ne s’applique pas aux personnes non américaines.

( 160 ) Voir considérants 73 et 74 ainsi qu’annexe VI, point I, sous b), de la décision « bouclier de protection des données ». Ces objectifs comprennent la lutte contre l’espionnage et contre d’autres menaces et activités dirigées par des pouvoirs étrangers contre les États-Unis et ses intérêts ; contre les menaces terroristes ; contre les menaces découlant du développement, de la possession, de la prolifération, ou de l’utilisation d’armes de destruction massive ; contre les menaces liées à la cybersécurité ; contre les menaces pesant sur les forces armées des États-Unis ou de ses alliés, et contre les menaces de la criminalité transnationale. Aux termes de la note en bas de page 5 de la PPD 28, la limitation des objectifs justifiant l’utilisation de données collectées « en vrac » ne s’applique pas lorsqu’une telle collecte n’est que temporaire et destinée à faciliter une collecte ciblée.

( 161 ) Bien que les dispositions de la CEDH ne fassent pas mention du « contenu essentiel » des droits fondamentaux, la notion équivalente de « substance même » d’un droit fondamental se retrouve dans la jurisprudence de la Cour EDH relative à certaines de ces dispositions. Voir, en ce qui concerne la substance même du droit à un procès équitable garanti à l’article 6 de la CEDH, notamment, Cour EDH, 25 mai 1985, Ashingdane c. Royaume-Uni (CE:ECHR:1985:0528JUD000822578, § 57 et 59) ; 21 décembre 2000, Heaney and McGuinness c. Irlande (CE:ECHR:2000:1221JUD003472097, § 55 et 58), et 23 juin 2016, Baka c. Hongrie (CE:ECHR:2016:0623JUD002026112, § 121). S’agissant de la substance même du droit au mariage consacré à l’article 12 de la CEDH, voir Cour EDH, 11 juillet 2002, Christine Goodwin c. Royaume-Uni (CE:ECHR:2002:0711JUD002895795, § 99 et 101). Concernant la substance même du droit à l’instruction garanti à l’article 2 du Protocole no 1 à la CEDH, voir Cour EDH, 23 juillet 1968, affaire « relative à certains aspects du régime linguistique de l’enseignement en Belgique » (CE:ECHR:1968:0723JUD000147462, § 5).

( 162 ) Voir, en particulier, arrêts Centrüm för Rättvisa (§ 112 à 114 ainsi que jurisprudence citée) et Big Brother Watch (§ 337).

( 163 ) Voir point 197 des présentes conclusions.

( 164 ) Voir article 23, paragraphe 1, sous a), du RGPD.

( 165 ) Voir arrêt Schrems (point 88). La Cour a considéré la notion voisine de « sécurité publique », au sens des dispositions du TFUE autorisant des dérogations aux libertés fondamentales qu’il garantit, comme une notion autonome du droit de l’Union couvrant la sécurité tant intérieure qu’extérieure des États membres [voir, notamment, arrêts du 26 octobre 1999, Sirdar (C-273/97, EU:C:1999:523, point 17) ainsi que du 13 septembre 2016, CS (C-304/14, EU:C:2016:674, point 39 et jurisprudence citée)]. Tandis que la sécurité intérieure est susceptible d’être affectée, notamment, par une menace directe pour la tranquillité et la sécurité physique de la population de l’État membre concerné, la sécurité extérieure peut être mise en péril, notamment, par le risque d’une perturbation grave des relations extérieures ou de la coexistence pacifique des peuples. Sans pouvoir déterminer unilatéralement le contenu de ces notions, chaque État membre dispose d’une certaine marge d’appréciation pour définir ses intérêts essentiels en termes de sécurité. Voir, en particulier, arrêt du 2 mai 2018, K. et H. F. (Droit de séjour et allégations de crimes de guerre) (C-331/16 et C-366/16, EU:C:2018:296, points 40 à 42 ainsi que jurisprudence citée). Ces considérations sont, à mon avis, transposables à l’interprétation de la notion de « sécurité nationale » en tant qu’intérêt dont la protection est susceptible de justifier des restrictions aux dispositions du RGPD et aux droits garantis aux articles 7 et 8 de la Charte.

( 166 ) Voir, à cet égard, considérant 89 et note en bas de page 97 de la décision « bouclier de protection des données ».

( 167 ) Voir point 55 des présentes conclusions.

( 168 ) Voir point 61 des présentes conclusions.

( 169 ) Dans l’arrêt Centrüm för Rättvisa (§ 111), la Cour EDH a jugé que des activités de surveillance visant à soutenir la politique étrangère, la politique de défense et la politique de sécurité de la Suède ainsi qu’à repérer les menaces extérieures organisées en Suède poursuivaient des buts légitimes relatifs à la sécurité nationale.

( 170 ) Voir, à ce sujet, arrêt Tele2 Sverige (point 115) et arrêt Ministerio Fiscal (point 55). La Cour y a souligné le lien entre le degré de gravité d’une ingérence et celui de l’intérêt invoqué pour la justifier.

( 171 ) Le Groupe 29, dans son document de travail sur la surveillance des communications électroniques à des fins de renseignement et de sécurité nationale, du 5 décembre 2014, WP 228 (p. 27), a insisté sur l’importance d’évaluer de façon critique si la surveillance est effectivement réalisée à des fins de sécurité nationale.

( 172 ) Voir avis 1/15 (point 181), dans lequel la Cour a jugé que le libellé des dispositions législatives prévoyant les ingérences ne satisfaisait pas aux exigences de clarté et de précision, si bien que ces ingérences n’étaient pas limitées au strict nécessaire. Dans cette même optique, l’avocat général Bot a considéré, dans ses conclusions dans l’affaire Schrems (C-362/14, EU:C:2015:627, points 181 à 184), que les buts des mesures de surveillance étaient formulés de façon trop générale pour être considérés comme des objectifs d’intérêt général, sauf en ce qui concerne la sécurité nationale.

( 173 ) Des doutes similaires ont été exprimés par le CEPD dans son avis 4/2016 concernant le « Bouclier vie privée UE-États-Unis » (Privacy Shield) – Projet de décision d’adéquation, du 30 mai 2016 (p. 8).

( 174 ) Voir arrêt du 9 novembre 2010, Volker und Markus Schecke et Eifert (C-92/09 et C-93/09, EU:C:2010:662, point 48) ; avis 1/15 (point 136), et arrêt du 24 septembre 2019, Google (Portée territoriale du déréférencement) (C-507/17, EU:C:2019:772, point 60).

( 175 ) Voir, notamment, arrêt du 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia (C-73/07, EU:C:2008:727, point 56) ; arrêt Digital Rights Ireland (points 48 et 52) ; arrêt Schrems (points 78 et 92), ainsi qu’avis 1/15 (points 139 et 140). Voir, également, considérant 140 de la décision « bouclier de protection des données ».

( 176 ) Arrêt Schrems (point 93). Voir, également, en ce sens, arrêt Digital Rights Ireland (point 60).

( 177 ) Voir arrêt Tele2 Sverige (point 120) et avis 1/15 (point 202).

( 178 ) Le rapport du PCLOB (p. 45) spécifie : « With respect to the foreign intelligence purpose, the NSA targeting procedures require the analyst only to “identify” the foreign power or foreign territory regarding which the foreign intelligence information is to be acquired. By policy, but not as a requirement of the targeting procedures, the NSA also requires that all taskings be accompanied by a very brief statement (typically no more than one sentence long) that further explains the analyst’s rationale for assessing that tasking the selector in question will result in the acquisition of the types of foreign intelligence information authorized by the Section 702 certification. »

( 179 ) Voir, en ce sens, Groupe 29, Opinion 1/2016 on the EU-U.S. Privacy Shield draft adequacy decision, 13 avril 2016, WP 238 (sous 3.3.1, p. 38) ; résolution du Parlement du 6 avril 2017 sur l’adéquation de la protection offerte par le bouclier de protection des données UE-États-Unis, P8_TA(2017)0131 (point 17), ainsi que rapport du Parlement sur les incidences des mégadonnées pour les droits fondamentaux : respect de la vie privée, protection des données, non-discrimination, sécurité et application de la loi, du 20 février 2017, A8-0044/2017 (point 17).

( 180 ) Voir, en ce sens, Groupe 29, EU-U.S. Privacy Shield – First Annual Joint Review, 28 novembre 2017, WP 255 (p. 3) ; résolution du Parlement européen du 5 juillet 2018 sur l’adéquation de la protection assurée par le bouclier de protection des données UE–États-Unis, P8_TA(2018)0315 (point 22), et EDPB, EU-U.S. Privacy Shield – Second Annual Joint Review, 22 janvier 2019 (points 81 à 83 et 87).

( 181 ) Voir, notamment, arrêts Zakharov (§ 232) et Szabó et Vissy (§ 57).

( 182 ) Voir, notamment, arrêts Zakharov (§ 237) ; Centrüm för Rättvisa (§ 111), et Big Brother Watch (§ 322).

( 183 ) Voir, notamment, décision Weber et Saravia (§ 95) ; Cour EDH, 28 juin 2007, Association pour l’intégration européenne et les droits de l’homme et Ekimdjiev (CE:ECHR:2007:0628JUD006254000, § 76), ainsi qu’arrêt Zakharov (§ 231).

( 184 ) Voir, notamment, décision Weber et Saravia (§ 106) ; arrêt Zakharov (§ 232), et arrêt Centrüm för Rättvisa (§ 104).

( 185 ) Voir, notamment, Cour EDH, 6 septembre 1978, Klass e. a. c. Allemagne (CE:ECHR:1978:0906JUD000502971, § 55) ; arrêt Zakharov (§ 233), ainsi qu’arrêt Centrüm för Rättvisa (§ 105).

( 186 ) Voir, notamment, arrêt Klass (§ 56) ; Cour EDH, 18 mai 2010, Kennedy c. Royaume-Uni (CE:ECHR:2010:0518JUD002683905, § 167), ainsi qu’arrêt Zakharov (§ 233 et 258).

( 187 ) Voir arrêts Szabó et Vissy (§ 77) et Centrüm för Rättvisa (§ 133).

( 188 ) Il en va ainsi à plus forte raison au vu des considérations exposées au point 281 des présentes conclusions.

( 189 ) Voir points 330 et 331 des présentes conclusions.

( 190 ) Les explications relatives à la Charte énoncent, à cet égard, que « dans le droit de l’Union, la protection [prévue à l’article 47 de celle-ci] est plus étendue [que celle conférée par l’article 13 de la CEDH] puisqu’elle garantit un droit à un recours effectif devant un juge ». Voir, également, conclusions de l’avocat général Wathelet dans l’affaire Berlioz Investment Fund (C-682/15, EU:C:2017:2, point 37).

( 191 ) Afin d’apprécier la qualité de « juridiction » d’un organe dans le cadre de l’application de l’article 47 de la Charte, doivent être pris en considération son origine légale, sa permanence, le caractère obligatoire de sa juridiction, la nature contradictoire de sa procédure, l’application, par cet organe, des règles de droit ainsi que son indépendance. Voir arrêt du 27 février 2018, Associação Sindical dos Juízes Portugueses (C-64/16, EU:C:2018:117, point 38 et jurisprudence citée).

( 192 ) Voir, notamment, arrêts du 25 juillet 2018, Minister for Justice and Equality (Défaillances du système judiciaire) (C-216/18 PPU, EU:C:2018:586, points 59 et 63) ; du 5 novembre 2019, Commission/Pologne (Indépendance des juridictions de droit commun) (C-192/18, EU:C:2019:924, point 106), et du 19 novembre 2019, A. K. e.a. (Indépendance de la chambre disciplinaire de la Cour suprême) (C-585/18, C-624/18 et C-625/18, EU:C:2019:982, point 120).

( 193 ) Voir point 293 des présentes conclusions. L’article 45, paragraphe 3, sous a), du RGPD prévoit la prise en compte, lors de l’évaluation de l’adéquation du niveau de protection fourni par un État tiers, des « recours administratifs et judiciaires » que peuvent effectivement y introduire les personnes concernées (souligné par mes soins). De la même manière, aux termes du considérant 104 du RGPD, l’adoption d’une décision d’adéquation devrait être subordonnée à la condition que les personnes concernées se voient octroyer, dans le pays tiers visé, « des possibilités effectives de recours administratif et juridictionnel » (souligné par mes soins). Voir, également, Groupe 29, EU-U.S. Privacy Shield – First Annual Joint Review, 28 novembre 2017, WP 255 (point B.3) ; résolution du Parlement du 5 juillet 2018 sur l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, P8_TA(2018)0315 (points 25 et 30), et EDPB, EU-U.S. Privacy Shield – Second Annual Joint Review, 22 janvier 2019 (points 94 à 97).

( 194 ) Voir, en ce sens, arrêt du 28 février 2013, Réexamen Arango Jaramillo e.a./BEI (C-334/12 RX-II, EU:C:2013:134, point 43).

( 195 ) Arrêt Schrems (point 95).

( 196 ) L’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée », dispose, à son paragraphe 1, que cette personne « a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données ». Le « principe d’accès » prévu à l’annexe II, point II.8, sous a), de la décision « bouclier de protection des données » revêt la même signification.

( 197 ) Arrêt Tele2 Sverige (point 121), ainsi qu’avis 1/15 (points 220). Comme l’a fait remarquer Facebook Ireland, la notification de l’accès des autorités publiques aux données ne saurait donc être systématiquement exigée. À ce propos, la Cour EDH considère qu’« [i]l peut ne pas être possible en pratique d’exiger une notification a posteriori », dans la mesure où la menace qui fait l’objet des mesures de surveillance « peut subsister pendant des années, voire des décennies » après la levée de ces mesures, de sorte que la notification peut « compromettre le but à long terme qui motivait à l’origine la surveillance » ainsi que « révéler les méthodes de travail des services de renseignement, leurs champs d’activité et […] l’identité de leurs agents » [arrêt Zakharov (§ 287 et jurisprudence citée)]. À défaut de notification, bien que les voies de recours individuelles soient dès lors impraticables en cas de violation des exigences légales, d’autres garanties peuvent suffire à protéger le droit au respect de la vie privée (voir, également, arrêt Centrüm för Rättvisa, § 164 à 167 et 171 à 178). Voir point 330 des présentes conclusions.

( 198 ) Voir, à cet égard, note 210 des présentes conclusions.

( 199 ) Voir point 67 des présentes conclusions.

( 200 ) Voir EDPB, EU-U.S. Privacy Shield – Second Annual Joint Review, 22 janvier 2019 (p. 18, point 97).

( 201 ) Voir, notamment, arrêts du 11 juillet 1991, Verholen e.a. (C-87/90 à C-89/90, EU:C:1991:314, point 24 et jurisprudence citée), ainsi que du 28 février 2013, Réexamen Arango Jaramillo e.a./BEI (C-334/12 RX-II, EU:C:2013:134, point 43).

( 202 ) Le gouvernement des États-Unis a toutefois précisé, à l’instar de la juridiction de renvoi, qu’une mesure de surveillance au titre de l’article 702 du FISA doit être notifiée à la personne ciblée si les données collectées sont utilisées contre elle dans le cadre d’une procédure juridictionnelle.

( 203 ) Arrêt du 20 mai 2003, Österreichischer Rundfunk e.a. (C-465/00, C-138/01 et C-139/01, EU:C:2003:294, point 75) ; arrêt Digital Rights Ireland (point 33) ; arrêt Schrems (point 87), et avis 1/15 (point 124).

( 204 ) Ces mécanismes sont décrits aux considérants 95 à 110 de la décision « bouclier de protection des données ». La Commission y distingue, au sein de la catégorie des règles relatives à la « protection juridictionnelle effective », les mécanismes de surveillance (voir considérants 92 à 110) des recours individuels (voir considérants 111 à 124).

( 205 ) Voir point 298 des présentes conclusions.

( 206 ) Aux termes du considérant 109 de la décision « bouclier de protection des données », « [l]e procureur général et le directeur de [la NSA] vérifient le respect des normes et les agences ont l’obligation de rapporter tout cas de non-respect au FISC […], qui peut modifier l’autorisation sur cette base ».

( 207 ) Voir points 333 à 340 des présentes conclusions.

( 208 ) Voir point 305 des présentes conclusions.

( 209 ) Dans sa jurisprudence relative aux mesures de surveillance des télécommunications, la Cour EDH a traité la question des voies de recours dans le cadre de l’examen de la « qualité de la loi » et de la nécessité d’une ingérence dans l’exercice du droit garanti à l’article 8 de la CEDH [voir, notamment, arrêts Zakharov (§ 236) et Centrüm för Rättvisa (§ 107)]. La Cour EDH, dans l’arrêt du 1er juillet 2008, Liberty e. a. c. Royaume-Uni (CE:ECHR:2008:0701JUD005824300, § 73), et l’arrêt Zakharov (§ 307), après avoir constaté une violation de l’article 8 de la CEDH, n’a pas jugé nécessaire d’examiner séparément le grief tiré de l’article 13 de cette convention.

( 210 ) Selon la Cour EDH, si l’absence de notification à un stade quelconque n’empêche pas nécessairement qu’une mesure de surveillance réponde à la condition de « nécessité dans une société démocratique », elle compromet l’accès aux tribunaux et, partant, l’effectivité des recours [voir, notamment, arrêt du 6 septembre 1978, Klass e. a. c. Allemagne (CE:ECHR:1978:0906JUD000502971, § 57 et 58) ; décision Weber et Saravia (§ 135), et arrêt Zakharov (§ 302)].

( 211 ) Voir, en ce sens, arrêt Centrum för Rättvisa (§ 105).

( 212 ) Dans l’arrêt Big Brother Watch (§ 317), la Cour EDH a refusé d’ajouter, parmi les garanties minimales applicables à un régime de surveillance caractérisé par une interception massive des communications électroniques, une exigence de notification de la surveillance aux personnes concernées. Voir, également, arrêt Centrüm för Rättvisa (§ 164). Le renvoi de ces arrêts devant la grande chambre de la Cour EDH a, notamment, pour objet le réexamen de cette conclusion.

( 213 ) La notion d’indépendance comporte un premier aspect, externe, qui suppose que l’instance concernée soit protégée contre les interventions ou les pressions extérieures susceptibles de mettre en péril l’indépendance de jugement de ses membres quant aux litiges qui leur sont soumis. Le second aspect, interne, de cette notion rejoint celle d’« impartialité » et vise l’égale distance par rapport aux parties au litige et à leurs intérêts respectifs au regard de l’objet de celui-ci. Voir, notamment, arrêts du 19 septembre 2006, Wilson (C-506/04, EU:C:2006:587, points 50 à 52) ; du 25 juillet 2018, Minister for Justice and Equality (Défaillances du système judiciaire) (C-216/18 PPU, EU:C:2018:586, points 63 et 65), et du 19 novembre 2019, A. K. e.a. (Indépendance de la chambre disciplinaire de la Cour suprême) (C-585/18, C-624/18 et C-625/18, EU:C:2019:982, points 121 et 122). Conformément au principe de séparation des pouvoirs, l’indépendance des juridictions doit être garantie à l’égard, notamment, du pouvoir exécutif. Voir arrêt du 19 novembre 2019, A. K. e.a. (Indépendance de la chambre disciplinaire de la Cour suprême) (C-585/18, C-624/18 et C-625/18, EU:C:2019:982, point 127 et jurisprudence citée).

( 214 ) L’annexe III A de la décision « bouclier de protection des données » fait référence, à cet égard, à la section 4, sous d), de la PPD 28.

( 215 ) Voir considérant 116 de la décision « bouclier de protection des données ».

( 216 ) Dans l’arrêt du 31 mai 2005, Syfait e.a. (C-53/03, EU:C:2005:333, point 31), la Cour a souligné l’importance de telles garanties pour satisfaire à la condition d’indépendance. Voir, également, à cet égard, arrêts du 24 juin 2019, Commission/Pologne (Indépendance de la Cour suprême) (C-619/18, EU:C:2019:531, point 76) et du 5 novembre 2019, Commission/Pologne (Indépendance des juridictions de droit commun) (C-192/18, EU:C:2019:924, point 113).

( 217 ) Voir considérants 65 et 121 ainsi qu’annexe III A, point 1, de la décision « bouclier de protection des données ».

( 218 ) En outre, le considérant 121 de la décision « bouclier de protection des données » indique que « le médiateur devra “confirmer” que : i) la plainte a été correctement analysée ; et que ii) le droit américain pertinent, y compris les limites et les protections prévues à l’annexe VI, a été respecté ou, dans la négative, que le manquement a été corrigé ».

( 219 ) La Commission a constaté, dans le cadre de la troisième révision annuelle du bouclier de protection des données, que, d’après les déclarations du gouvernement des États-Unis, dans le cas de figure où l’enquête du médiateur révélerait une violation des procédures de ciblage et de minimisation approuvées par le FISC, cette violation devrait être portée à l’attention de ce tribunal. Le FISC conduirait alors une enquête indépendante et, si nécessaire, ordonnerait à l’agence de renseignement concernée de remédier à ladite violation. Voir Commission staff working document accompanying the report from the Commission to the European Parliament and the Council on the third annual review of the functioning of the EU-U.S. Privacy Shield, 23 octobre 2019, SWD(2019) 390 final, p. 28. La Commission s’y réfère au document intitulé « Privacy Shield Ombudsperson Mechanism Unclassified Implementation Procedure », disponible à l’adresse https://www.state.gov/wp-content/uploads/2018/12/Ombudsperson-Mechanism-Implementation-Procedures-UNCLASSIFIED.pdf (p. 4 et 5).

( 220 ) Voir arrêts du 16 mai 2017, Berlioz Investment Fund (C-682/15, EU:C:2017:373, point 55) et du 13 décembre 2017, El Hassani (C-403/16, EU:C:2017:960, point 39).



Chercher les extraits similaires
highlight
Chercher les extraits similaires
Extraits les plus copiés
Chercher les extraits similaires
Collez ici un lien vers une page Doctrine
Inscrivez-vous gratuitement pour imprimer votre décision
CJUE, n° C-311/18, Conclusions de l'avocat général de la Cour, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems, 19 décembre 2019