L’Avocat général Yves Bot a présenté, le 23 septembre dernier, ses conclusions concernant les pouvoirs des autorités nationales de contrôle de la protection des données en cas de transfert de données vers un pays tiers pour lequel la Commission européenne a décidé qu’il assure un niveau de protection adéquat (Schrems, aff. C-362/14). Dans l’affaire au principal, un ressortissant autrichien, utilisateur du réseau social Facebook, a contesté, devant l’autorité irlandaise de protection des données, le fait que ses données soient transférées, par une filiale irlandaise de Facebook, vers des serveurs situés aux Etats-Unis. Sa plainte a été rejetée au motif que la Commission a, dans sa décision 2000/520/CE, estimé que les Etats-Unis assurent un niveau adéquat de protection aux données à caractère personnel transférées. Saisie dans ce contexte, la High Court of Ireland a interrogé la Cour sur le point de savoir si la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lue à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l’Union, doit être interprétée en ce sens que l’existence d’une décision adoptée par la Commission sur le fondement de cette directive a pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat aux données à caractère personnel transférées et, le cas échéant, de suspendre le transfert de ces données. L’Avocat général estime, tout d’abord, que l’existence d’une décision de la Commission ne saurait ni annihiler, ni même réduire les pouvoirs des autorités nationales de contrôle. En effet, ces dernières, au regard de leur rôle majeur dans la protection des données et de leur indépendance, ne peuvent être liées de manière absolue aux décisions de la Commission. Il considère que le fait que ces autorités soient juridiquement liées par ces décisions n’est pas de nature à imposer le rejet automatique des plaintes, d’autant plus que le constat du niveau de protection des données à caractère personnel adéquat est une compétence partagée entre les Etats membres et la Commission. L’Avocat général note, ensuite, qu’en cas de constat de défaillances systémiques dans le pays tiers vers lequel les données sont transférées, les Etats membres doivent pouvoir prendre des mesures nécessaires à la sauvegarde des droits fondamentaux garantis par la Charte. Ainsi, il conclut que l’existence d’une décision de la Commission n’a pas pour effet d’empêcher une autorité nationale d’enquêter sur une plainte alléguant qu’un pays tiers n’assure pas un niveau de protection adéquat aux données à caractère personnel transférées et, le cas échéant, de suspendre le transfert de ces données. Par ailleurs, il estime qu’il est nécessaire de vérifier la validité de la décision puisqu’il résulte de plusieurs constatations que le droit et la pratique des Etats-Unis permettent la collecte, à large échelle, des données à caractère personnel des citoyens de l’Union qui sont transférés, sans que ceux-ci ne bénéficient d’une protection juridictionnelle effective. L’Avocat général considère qu’il s’agit d’une ingérence dans les droits fondamentaux contraire au principe de proportionnalité, notamment au regard de la surveillance massive et non ciblée effectuée par les services de renseignements américains. A ce titre, il relève qu’aucune autorité indépendante n’est en mesure de contrôler, aux Etats-Unis, la violation des principes de protection des données à caractère personnel commises à l’égard des citoyens de l’Union. Partant, il invite la Cour à déclarer la décision de la Commission invalide. La Cour est libre de suivre ou de ne pas suivre la solution proposée par l’Avocat général. (MS)