CJUE : une autorité nationale de contrôle peut suspendre les transferts de données Facebook …

8 octobre 2015

Une autorité nationale de contrôle peut suspendre le transfert de données de l’UE vers un pays tiers, si nécessaire, même en présence d’une décision de la Commission constatant que ce pays tiers offre un niveau de protection adéquat des données personnelles.

Les données fournies par les résidants de l’Union à Facebook sont transférées, en tout ou partie, à partir de la filiale irlandaise de Facebook sur des serveurs situés sur le territoire des Etats-Unis, où elles font l’objet d’un traitement.

Un citoyen autrichien, utilisant Facebook, a déposé une plainte auprès de l’autorité irlandaise de contrôle, considérant qu’au vu des révélations faites en 2013 au sujet des activités des services de renseignement des Etats-Unis, le droit et les pratiques des Etats-Unis n’offrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays, comme définie par la directive sur le traitement des données à caractère personnel.

L’autorité irlandaise a rejeté la plainte, au motif notamment que la Commission a considéré que les Etats-Unis assurent un niveau adéquat de protection aux données à caractère personnel transférées.
Saisie de l’affaire, la High Court of Ireland (Haute Cour de justice irlandaise) souhaite savoir sicette décision de la Commission a pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert de données contesté.

Dans un arrêt du 6 octobre 2015, la Cour de justice de l’Union européenne estime que la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées n’est pas valide.Elle précise que les autorités nationales de contrôle peuvent examiner si le transfert des données d’une personne vers ce pays respecte les exigences de la législation de l’Union relative à la protection de ces données, et ce même en présence d’une décision de la Commission constatant qu’un pays tiers offre un niveau de protection adéquat des données personnelles.En outre, elles peuvent saisir les juridictions nationales afin qu’elles procèdent à un renvoi préjudiciel aux fins de l’examen de la validité de cette décision.

– Communiqué de presse n° 117/15 de la CJUE du 6 octobre 2015 – “La Cour déclare invalide la décision de la Commission constatant que les États-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées” – http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf

– CJUE, grande chambre, 6 octobre 2015 (affaire C-362/14 – ECLI:EU:C:2015:650), Maximillian Schrems c/ Data Protection Commissioner – http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf

– Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données – http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf