Tables CNIL

Cette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats

Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]

1 décision

restriction des pouvoirs de contrôle

Juridiction
Toutes les juridictions

CJUEDate non renseignéeCJUE, grande chambre, 6 octobre 2015, Schrems, C-362/14(source)

Accord de « Safe Harbor » Décision 2000/520 – 1) Définition d'un niveau de protection « adéquat » – Obligations pesant sur la Commission – 2) Réglementation limitée au strict nécessaire – Exclusion – Atteinte à u droit au respect de la vie privée – 3) Réglementation ne prévoyant pas de voies de droit pour accéder aux données, les rectifier ou les supprimer – Atteinte au droit à une protection juridictionnelle effective – 4) Restriction des pouvoirs de contrôle de s autorités nationales – Invalidité de la décision

1) Le terme « adéquat » ne signifie pas que le pays tiers doit assurer un niveau de protection des libertés et droits fondamentaux « adéquat » à celui garanti dans l'ordre juridique de l'Union, mais à tout le moins substantiellement équivalent au sein de l'Union en vertu de la directive 95/46, lue à la lumière de la Charte.

La Commission est tenue de vérifier si les États‑Unis assurent effectivement, grâce à leur législation intérieure ou à leurs engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent au sein de l'Union en vertu de la directive lue à la lumière de la Charte.

Or, la Commission n'a pas opéré un tel constat, mais s'est bornée à examiner le régime de la « sphère de sécurité » (Safe Harbor). Sans qu'il y ait besoin de vérifier si ce régime assure un niveau de protection substantiellement équivalent, la Cour relève que ce régime est uniquement applicable aux entreprises américaines qui y souscrivent, sans que les autorités publiques des États‑Unis y soient elles‑mêmes soumises. Les exigences relatives à la sécurité nationale, à l'intérêt public et au respect des lois des États‑Unis l'emportent sur le régime de la « sphère de sécurité », si bien que les entreprises américaines sont tenues d'écarter, sans limitation, les règles de protection prévues par ce régime lorsqu'elles entrent en conflit avec de telles exigences.

Le régime américain de la « sphère de sécurité » rend ainsi possible des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes ; la décision de la Commission ne fait état ni de l'existence, aux États‑Unis, de règles destinées à limiter ces éventuelles ingérences ni d'une protection juridique efficace contre celles‑ci. La Cour considère que cette analyse du régime est corroborée par deux communications de la Commission, d'où il ressort notamment que les autorités des États‑Unis pouvaient accéder aux données à caractère personnel transférées depuis l'Union vers ce pays et traiter ces données d'une manière incompatible, notamment, avec les finalités de leur transfert et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale. De même, la Commission a constaté qu'il n'existait pas, pour les personnes concernées, de voies de droit administratives ou judiciaires permettant d'accéder aux données les concernant et, le cas échéant, d'obtenir leur rectification ou leur suppression.

2) S'agissant du niveau de protection substantiellement équivalent avec les libertés et droits fondamentaux garantis au sein de l'Union, la Cour constate que, en droit de l'Union, une réglementation n'est pas limitée au strict nécessaire, dès lors qu'elle autorise de manière généralisée la conservation de toutes les données à caractère personnel de toutes les personnes dont les données sont transférées depuis l'Union vers les États‑Unis sans aucune différenciation, limitation ou exception opérées en fonction de l'objectif poursuivi et sans que des critères objectifs ne soient prévus pour délimiter l'accès des autorités publiques aux données et leur utilisation ultérieure.

La Cour ajoute qu'une réglementation permettant aux autorités publiques d'accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée.

3) De même, la Cour relève qu'une réglementation ne prévoyant aucune possibilité pour le justiciable d'exercer des voies de droit afin d'avoir accès à des données à caractère personnel les concernant, ou d'obtenir leur rectification ou suppression, porte atteinte au contenu essentiel du droit fondamental à une protection juridictionnelle effective, une telle possibilité étant inhérente à l'existence d'un État de droit.

4) Enfin, la Cour constate que la décision de la Commission du 26 juillet 2000 prive les autorités nationales de contrôle de leurs pouvoirs, dans le cas où une personne remet en cause la compatibilité de la décision avec la protection de la vie privée et des libertés et droits fondamentaux des personnes. La Cour considère que la Commission n'avait pas la compétence de restreindre ainsi les pouvoirs des autorités nationales de contrôle.

Pour toutes ces raisons, la décision 2000/520 du 26 juillet 2000 est invalide.