1) L'article 46, paragraphe 1, et l'article 46, paragraphe 2, sous c), du RGPD doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d'un niveau de protection substantiellement équivalent à celui garanti au sein de l'Union européenne par ce règlement, lu à la lumière de la Charte des droits fondamentaux de l'Union européenne.

À cet effet, l'évaluation du niveau de protection assuré dans le contexte d'un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous‑traitant établi dans l'Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui‑ci, notamment ceux énoncés à l'article 45, paragraphe 2, dudit règlement.

2) La décision d'exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE – États-Unis, est invalide. Sont en particulier méconnus le principe de proportionnalité et le droit à une protection juridictionnelle effective.

a) La décision 2016/1250 consacre, à l'instar de la décision 2000/520, la primauté des exigences relatives à la sécurité nationale, à l'intérêt public et au respect de la législation américaine, rendant ainsi possibles des ingérences dans les droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers. Les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États‑Unis portant sur l'accès et l'utilisation, par les autorités publiques américaines, de telles données transférées depuis l'Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées de manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l'Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire. En se fondant sur les constatations figurant dans cette décision, il est relevé que, pour certains programmes de surveillance, ladite réglementation ne fait ressortir d'aucune manière l'existence de limitations à l'habilitation qu'elle comporte pour la mise en œuvre de ces programmes, pas plus que l'existence de garanties pour des personnes non américaines potentiellement visées.

b) Par ailleurs, si la même réglementation prévoit des exigences que les autorités américaines doivent respecter lors de la mise en œuvre des programmes de surveillance concernés, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux. Quant à l'exigence de protection juridictionnelle, contrairement à ce que la Commission a considéré dans la décision 2016/1250, le mécanisme de médiation visé par cette décision ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l'Union, de nature à assurer tant l'indépendance du médiateur prévu par ce mécanisme que l'existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l'égard des services de renseignement américains.

1) Le terme « adéquat » ne signifie pas que le pays tiers doit assurer un niveau de protection des libertés et droits fondamentaux « adéquat » à celui garanti dans l'ordre juridique de l'Union, mais à tout le moins substantiellement équivalent au sein de l'Union en vertu de la directive 95/46, lue à la lumière de la Charte.

La Commission est tenue de vérifier si les États‑Unis assurent effectivement, grâce à leur législation intérieure ou à leurs engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent au sein de l'Union en vertu de la directive lue à la lumière de la Charte.

Or, la Commission n'a pas opéré un tel constat, mais s'est bornée à examiner le régime de la « sphère de sécurité » (Safe Harbor). Sans qu'il y ait besoin de vérifier si ce régime assure un niveau de protection substantiellement équivalent, la Cour relève que ce régime est uniquement applicable aux entreprises américaines qui y souscrivent, sans que les autorités publiques des États‑Unis y soient elles‑mêmes soumises. Les exigences relatives à la sécurité nationale, à l'intérêt public et au respect des lois des États‑Unis l'emportent sur le régime de la « sphère de sécurité », si bien que les entreprises américaines sont tenues d'écarter, sans limitation, les règles de protection prévues par ce régime lorsqu'elles entrent en conflit avec de telles exigences.

Le régime américain de la « sphère de sécurité » rend ainsi possible des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes ; la décision de la Commission ne fait état ni de l'existence, aux États‑Unis, de règles destinées à limiter ces éventuelles ingérences ni d'une protection juridique efficace contre celles‑ci. La Cour considère que cette analyse du régime est corroborée par deux communications de la Commission, d'où il ressort notamment que les autorités des États‑Unis pouvaient accéder aux données à caractère personnel transférées depuis l'Union vers ce pays et traiter ces données d'une manière incompatible, notamment, avec les finalités de leur transfert et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale. De même, la Commission a constaté qu'il n'existait pas, pour les personnes concernées, de voies de droit administratives ou judiciaires permettant d'accéder aux données les concernant et, le cas échéant, d'obtenir leur rectification ou leur suppression.

2) S'agissant du niveau de protection substantiellement équivalent avec les libertés et droits fondamentaux garantis au sein de l'Union, la Cour constate que, en droit de l'Union, une réglementation n'est pas limitée au strict nécessaire, dès lors qu'elle autorise de manière généralisée la conservation de toutes les données à caractère personnel de toutes les personnes dont les données sont transférées depuis l'Union vers les États‑Unis sans aucune différenciation, limitation ou exception opérées en fonction de l'objectif poursuivi et sans que des critères objectifs ne soient prévus pour délimiter l'accès des autorités publiques aux données et leur utilisation ultérieure.

La Cour ajoute qu'une réglementation permettant aux autorités publiques d'accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée.

3) De même, la Cour relève qu'une réglementation ne prévoyant aucune possibilité pour le justiciable d'exercer des voies de droit afin d'avoir accès à des données à caractère personnel les concernant, ou d'obtenir leur rectification ou suppression, porte atteinte au contenu essentiel du droit fondamental à une protection juridictionnelle effective, une telle possibilité étant inhérente à l'existence d'un État de droit.

4) Enfin, la Cour constate que la décision de la Commission du 26 juillet 2000 prive les autorités nationales de contrôle de leurs pouvoirs, dans le cas où une personne remet en cause la compatibilité de la décision avec la protection de la vie privée et des libertés et droits fondamentaux des personnes. La Cour considère que la Commission n'avait pas la compétence de restreindre ainsi les pouvoirs des autorités nationales de contrôle.

Pour toutes ces raisons, la décision 2000/520 du 26 juillet 2000 est invalide.