Alors que seule la Cour de justice est compétente pour déclarer un acte de l’Union européenne invalide, lorsqu’une réclamation est déposée auprès des autorités nationales de surveillance, celles-ci peuvent, même si la Commission a adopté une décision concluant qu’un pays tiers offre un niveau de protection adéquat des données personnelles, examiner si le transfert des données d’une personne vers ce pays tiers est conforme aux exigences de la législation de l’Union européenne en matière de protection de ces données, et, de la même manière que la personne concernée, saisir les juridictions nationales afin que celles-ci demandent un avis préjudiciel sur la validité de cette décision.
La directive sur la protection des données dispose que le transfert de données personnelles vers un pays tiers ne peut, en principe, avoir lieu que si ce pays tiers assure un niveau de protection adéquat des données. La directive prévoit également que la Commission peut constater qu’un pays tiers assure un niveau de protection adéquat en raison de sa législation interne ou de ses engagements internationaux. Enfin, la directive prévoit que chaque État membre doit désigner une ou plusieurs autorités publiques chargées de surveiller l’application, sur son territoire, des dispositions nationales adoptées en vertu de la directive.
Maximillian Schrems, citoyen australien, est membre de Facebook depuis 2008. Comme c’est le cas pour d’autres abonnés résidant dans l’Union européenne, certaines ou toutes les données fournies par M. Schrems à Facebook sont transférées de la filiale irlandaise de Facebook vers des serveurs situés aux États-Unis, où elles sont traitées. M. Schrems a déposé une plainte auprès de l’autorité de surveillance irlandaise en soutenant que, compte tenu des révélations faites en 2013 par Edward Snowden concernant les activités des services de renseignement des États-Unis (en particulier la National Security Agency), la législation et la pratique des États-Unis ne garantissent pas une protection suffisante contre la surveillance exercée par les autorités publiques sur les données transférées vers ce pays. L’autorité irlandaise a rejeté la plainte, au motif notamment que, dans une décision du 26 juillet 2000, la Commission a considéré que, dans le cadre du régime du « Safe Harbor », les États-Unis garantissent un niveau de protection adéquat des données personnelles transférées.
La High Court of Ireland, devant laquelle l’affaire a été portée, souhaite savoir si cette décision de la Commission a pour effet d’empêcher une autorité de surveillance nationale d’examiner une plainte alléguant que le pays tiers ne garantit pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert contesté de données.
Les impératifs de sécurité nationale, d’intérêt public et d’application de la loi des États-Unis prévalent sur le régime du « Safe Harbor », de sorte que les entreprises américaines sont tenues de ne pas respecter, sans limitation, les règles de protection établies par ce régime lorsqu’elles entrent en conflit avec ces impératifs. Le régime du « Safe Harbor » permet ainsi aux autorités publiques américaines de porter atteinte aux droits fondamentaux des personnes, et la décision de la Commission ne fait référence ni à l’existence, aux États-Unis, de règles visant à limiter de telles ingérences, ni à l’existence d’une protection juridique effective contre ces ingérences.
Concernant un niveau de protection essentiellement équivalent aux droits et libertés fondamentaux garantis au sein de l’Union européenne, la Cour constate que, en vertu du droit de l’Union européenne, la législation ne se limite pas à ce qui est strictement nécessaire lorsque les autorités, de manière généralisée, procèdent au stockage de l’ensemble des données personnelles de toutes les personnes dont les données sont transférées de l’Union européenne vers les États-Unis, sans aucune différenciation, limitation ou exception en fonction de l’objectif poursuivi, et sans qu’un critère objectif soit établi pour déterminer les limites de l’accès des autorités publiques à ces données et de leur utilisation ultérieure. La Cour ajoute que la législation permettant aux autorités publiques d’accéder de manière généralisée au contenu des communications électroniques doit être considérée comme compromettant l’essence du droit fondamental au respect de la vie privée.
De même, la Cour observe que la législation ne prévoit aucune possibilité pour une personne d’exercer des recours juridiques afin d’accéder à des données personnelles la concernant, d’obtenir la rectification ou l’effacement de telles données, ce qui compromet l’essence du droit fondamental à une protection juridictionnelle effective, l’existence d’une telle possibilité étant inhérente à l’existence de l’État de droit.
Enfin, la Cour constate que la décision du « Safe Harbor » prive les autorités de surveillance nationales de leurs pouvoirs lorsque quelqu’un remet en question la compatibilité de la décision avec la protection de la vie privée et des droits et libertés fondamentaux des individus. La Cour considère que la Commission n’avait pas compétence pour restreindre de cette manière les pouvoirs de l’autorité de surveillance nationale.
Pour toutes ces raisons, la Cour déclare la décision du « Safe Harbor » invalide. Ce jugement a pour conséquence que l’autorité de surveillance irlandaise est tenue d’examiner la plainte de M. Schrems avec toute la diligence requise et, à l’issue de son enquête, de décider si, conformément à la directive, le transfert des données des abonnés européens de Facebook vers les États-Unis doit être suspendu au motif que le pays ne garantit pas un niveau de protection adéquat des données personnelles.