1) Le mécanisme du guichet unique prévu par l'article 56 du RGPD n'a pas vocation à s'appliquer à une société ne disposant pas d'établissement sur le territoire d'un État membre de l'Union européenne. Dès lors, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l’État membre dont elle relève conformément à l'article 55 du RGPD, pour les traitements visant des personnes résidant sur ce territoire.

2) La CNIL est ainsi compétente pour contrôler la conformité au RGPD des traitements mis en œuvre par tout responsable de traitement ou sous‑traitant ne disposant pas d'établissement dans l’UE dont les opérations de traitement visent des personnes résidant sur le territoire français.

1) L’article 5, paragraphe 3, de la directive 2002/58 doit être interprété en ce sens que les informations que le fournisseur de services doit donner à l’utilisateur d’un site internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès aux cookies.

2) L’article 10 de la directive 95/46, à laquelle fait référence l’article 5, paragraphe 3, de la directive 2002/58, ainsi que l’article 13 du RGPD énoncent les informations que le responsable du traitement doit fournir à la personne auprès de laquelle il collecte des données la concernant. Ces informations comprennent notamment, en vertu de l'article 10 de la directive, outre l’identité du responsable du traitement et les finalités du traitement auquel les données sont destinées, toute information supplémentaire telle que les destinataires ou les catégories de destinataires des données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données.

Si la durée du traitement des données ne figure pas parmi ces informations, il ressort toutefois de l’expression « au moins » figurant à l’article 10 de la directive 95/46 que celles‑ci ne sont pas énumérées de manière exhaustive. Or, la durée de fonctionnement des cookies doit être considérée comme répondant à l’exigence d’un traitement loyal des données prévue par ledit article, en ce que, dans une situation telle que celle en cause au principal, une durée longue, voire illimitée, implique la collecte de nombreuses informations sur les habitudes de navigation et la fréquence des visites éventuelles de l’utilisateur sur les sites des partenaires publicitaires de l’organisateur du jeu promotionnel.

Cette interprétation est corroborée par l’article 13, paragraphe 2, sous a), du règlement 2016/679, qui prévoit que le responsable du traitement doit fournir à la personne concernée, pour garantir un traitement équitable et transparent, une information portant notamment sur la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée.

Quant à la possibilité ou non pour des tiers d’avoir accès aux cookies, il s’agit d’une information comprise dans les informations mentionnées à l’article 10, sous c), de la directive 95/46, ainsi qu’à l’article 13, paragraphe 1, sous e), du règlement 2016/679, dès lors que ces dispositions mentionnent explicitement les destinataires ou les catégories de destinataires des données.

1) Le terme « adéquat » ne signifie pas que le pays tiers doit assurer un niveau de protection des libertés et droits fondamentaux « adéquat » à celui garanti dans l'ordre juridique de l'Union, mais à tout le moins substantiellement équivalent au sein de l'Union en vertu de la directive 95/46, lue à la lumière de la Charte.

La Commission est tenue de vérifier si les États‑Unis assurent effectivement, grâce à leur législation intérieure ou à leurs engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent au sein de l'Union en vertu de la directive lue à la lumière de la Charte.

Or, la Commission n'a pas opéré un tel constat, mais s'est bornée à examiner le régime de la « sphère de sécurité » (Safe Harbor). Sans qu'il y ait besoin de vérifier si ce régime assure un niveau de protection substantiellement équivalent, la Cour relève que ce régime est uniquement applicable aux entreprises américaines qui y souscrivent, sans que les autorités publiques des États‑Unis y soient elles‑mêmes soumises. Les exigences relatives à la sécurité nationale, à l'intérêt public et au respect des lois des États‑Unis l'emportent sur le régime de la « sphère de sécurité », si bien que les entreprises américaines sont tenues d'écarter, sans limitation, les règles de protection prévues par ce régime lorsqu'elles entrent en conflit avec de telles exigences.

Le régime américain de la « sphère de sécurité » rend ainsi possible des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes ; la décision de la Commission ne fait état ni de l'existence, aux États‑Unis, de règles destinées à limiter ces éventuelles ingérences ni d'une protection juridique efficace contre celles‑ci. La Cour considère que cette analyse du régime est corroborée par deux communications de la Commission, d'où il ressort notamment que les autorités des États‑Unis pouvaient accéder aux données à caractère personnel transférées depuis l'Union vers ce pays et traiter ces données d'une manière incompatible, notamment, avec les finalités de leur transfert et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale. De même, la Commission a constaté qu'il n'existait pas, pour les personnes concernées, de voies de droit administratives ou judiciaires permettant d'accéder aux données les concernant et, le cas échéant, d'obtenir leur rectification ou leur suppression.

2) S'agissant du niveau de protection substantiellement équivalent avec les libertés et droits fondamentaux garantis au sein de l'Union, la Cour constate que, en droit de l'Union, une réglementation n'est pas limitée au strict nécessaire, dès lors qu'elle autorise de manière généralisée la conservation de toutes les données à caractère personnel de toutes les personnes dont les données sont transférées depuis l'Union vers les États‑Unis sans aucune différenciation, limitation ou exception opérées en fonction de l'objectif poursuivi et sans que des critères objectifs ne soient prévus pour délimiter l'accès des autorités publiques aux données et leur utilisation ultérieure.

La Cour ajoute qu'une réglementation permettant aux autorités publiques d'accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée.

3) De même, la Cour relève qu'une réglementation ne prévoyant aucune possibilité pour le justiciable d'exercer des voies de droit afin d'avoir accès à des données à caractère personnel les concernant, ou d'obtenir leur rectification ou suppression, porte atteinte au contenu essentiel du droit fondamental à une protection juridictionnelle effective, une telle possibilité étant inhérente à l'existence d'un État de droit.

4) Enfin, la Cour constate que la décision de la Commission du 26 juillet 2000 prive les autorités nationales de contrôle de leurs pouvoirs, dans le cas où une personne remet en cause la compatibilité de la décision avec la protection de la vie privée et des libertés et droits fondamentaux des personnes. La Cour considère que la Commission n'avait pas la compétence de restreindre ainsi les pouvoirs des autorités nationales de contrôle.

Pour toutes ces raisons, la décision 2000/520 du 26 juillet 2000 est invalide.

1) L'article 15, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 s'oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l'ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique.

2) L'article 15, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 s'oppose à une réglementation nationale régissant la protection et la sécurité des données relatives au trafic et des données de localisation, en particulier l'accès des autorités nationales compétentes aux données conservées, sans limiter, dans le cadre de la lutte contre la criminalité, cet accès aux seules fins de lutte contre la criminalité grave, sans soumettre ledit accès à un contrôle préalable par une juridiction ou une autorité administrative indépendante, et sans exiger que les données en cause soient conservées sur le territoire de l'Union.

Doit être regardé comme ayant parmi ses objets celui de prévenir la continuation et la réitération d'infractions pénales, au sens des dispositions du 2° du I de l'article 26 de la loi du 6 janvier 1978 applicable au litige, le traitement destiné au recensement, à la gestion et au suivi des déclarations rectificatives faites spontanément par les contribuables en vue de la mise en conformité avec la législation fiscale de leurs avoirs détenus à l'étranger non déclarés à l'administration fiscale, qui contribue à éviter la continuation et la réitération de comportements susceptibles d'être constitutifs de fraude fiscale et pouvant, le cas échéant, faire l'objet de poursuites pénales. Par suite, la création subordonnée à la prise d'un arrêté du ministre compétent après avis de la CNIL ne peut résulter que d'un arrêté du ministre compétent, pris après avis motivé de la CNIL.