EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62018CC0311

Concluziile avocatului general H. Saugmandsgaard Øe prezentate la 19 decembrie 2019.
Data Protection Commissioner împotriva Facebook Ireland Limited și Maximillian Schrems.
Cerere de decizie preliminară formulată de High Court (Irlanda).
Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Carta drepturilor fundamentale a Uniunii Europene – Articolele 7, 8 și 47 – Regulamentul (UE) 2016/679 – Articolul 2 alineatul (2) – Domeniu de aplicare – Transferuri de date cu caracter personal în scopuri comerciale către țări terțe – Articolul 45 – Decizie privind caracterul adecvat al nivelului de protecție a Comisiei – Articolul 46 – Transferuri în baza unor garanții adecvate – Articolul 58 – Competențe ale autorităților de supraveghere – Prelucrare a datelor transferate de autoritățile publice ale unei țări terțe în scopuri de securitate națională – Aprecierea caracterului adecvat al nivelului de protecție asigurat în țara terță – Decizia 2010/87/UE – Clauze standard de protecție pentru transferul de date cu caracter personal către țări terțe – Garanții adecvate oferite de operator – Validitate – Decizia de punere în aplicare (UE) 2016/1250 – Caracterul adecvat al protecției oferite de Scutul de confidențialitate Uniunea Europeană‑Statele Unite – Validitate – Plângere formulată de o persoană fizică ale cărei date au fost transferate din Uniunea Europeană către Statele Unite.
Cauza C-311/18.

ECLI identifier: ECLI:EU:C:2019:1145

 CONCLUZIILE AVOCATULUI GENERAL

DOMNUL HENRIK SAUGMANDSGAARD ØE

prezentate la 19 decembrie 2019 ( 1 )

Cauza C‑311/18

Data Protection Commissioner

împotriva

Facebook Ireland Limited,

Maximillian Schrems,

cu participarea

The United States of America,

Electronic Privacy Information Centre,

BSA Business Software Alliance, Inc.,

Digitaleurope

[cerere de decizie preliminară formulată de High Court (Înalta Curte, Irlanda)]

„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 2 alineatul (2) – Domeniu de aplicare – Transfer de date cu caracter personal în scopuri comerciale către Statele Unite ale Americii – Prelucrare de către autoritățile publice din Statele Unite ale Americii, în scopuri de securitate națională, a datelor transferate – Articolul 45 – Aprecierea caracterului adecvat al nivelului de protecție asigurat într‑o țară terță – Articolul 46 – Garanții adecvate oferite de operator – Clauze standard de protecție – Articolul 58 alineatul (2) – Competențe ale autorităților de supraveghere – Decizia 2010/87/UE – Validitate – Decizia de punere în aplicare (UE) 2016/1250 – «Scutul de confidențialitate UE‑SUA» – Validitate – Articolele 7, 8 și 47 din Carta drepturilor fundamentale a Uniunii Europene”

Cuprins

 

I. Introducere

 

II. Cadrul juridic

 

A. Directiva 95/46/CE

 

B. RGPD

 

C. Decizia 2010/87

 

D. Decizia privind Scutul de confidențialitate

 

III. Litigiul principal, întrebările preliminare și procedura în fața Curții

 

IV. Analiză

 

A. Considerații introductive

 

B. Cu privire la admisibilitatea trimiterii preliminare

 

1. Cu privire la aplicabilitatea ratione temporis a Directivei 95/46

 

2. Cu privire la caracterul provizoriu al îndoielilor exprimate de DPC

 

3. Cu privire la incertitudinile legate de definirea situației de fapt

 

C. Cu privire la aplicabilitatea dreptului Uniunii în cazul transferurilor în scopuri comerciale de date cu caracter personal către un stat terț susceptibil să le prelucreze în scopuri de securitate națională (prima întrebare)

 

D. Cu privire la nivelul de protecție impus în cadrul unui transfer întemeiat pe clauze contractuale standard (prima parte a celei de a șasea întrebări)

 

E. Cu privire la validitatea Deciziei 2010/87 în raport cu articolele 7, 8 și 47 din cartă (a șaptea, a opta și a unsprezecea întrebare)

 

1. Cu privire la obligațiile care revin operatorilor

 

2. Cu privire la obligațiile care revin autorităților de supraveghere

 

F. Cu privire la lipsa necesității de a răspunde la celelalte întrebări preliminare și de a examina validitatea Deciziei privind Scutul de confidențialitate

 

1. Cu privire la lipsa necesității răspunsurilor Curții în raport cu obiectul litigiului principal

 

2. Cu privire la motivele care pledează în defavoarea unei examinări de către Curte în raport cu obiectul procedurii pendinte în fața DPC

 

G. Observații subsidiare referitoare la efectele și la validitatea Deciziei privind Scutul de confidențialitate

 

1. Cu privire la incidența Deciziei privind Scutul de confidențialitate în cadrul examinării de către o autoritate de supraveghere a unei plângeri referitoare la legalitatea unui transfer întemeiat pe garanții contractuale

 

2. Cu privire la validitatea Deciziei privind Scutul de confidențialitate

 

a) Precizări privind conținutul examinării validității unei decizii privind caracterul adecvat al nivelului de protecție

 

1) Cu privire la termenii comparației care permite evaluarea „echivalenței substanțiale” a nivelului de protecție

 

2) Cu privire la necesitatea de a asigura un nivel adecvat de protecție în cursul etapei de tranzit al datelor

 

3) Cu privire la luarea în considerare a constatărilor de fapt efectuate de Comisie și de instanța de trimitere în legătură cu dreptul Statelor Unite

 

4) Cu privire la domeniul de aplicare al standardului „echivalenței substanțiale”

 

b) Cu privire la validitatea Deciziei privind Scutul de confidențialitate în raport cu drepturile la respectarea vieții private și la protecția datelor cu caracter personal

 

1) Cu privire la existența unor ingerințe

 

2) Cu privire la caracterul „prevăzut de lege” al ingerințelor

 

3) Cu privire la lipsa unei atingeri aduse substanței drepturilor fundamentale

 

4) Cu privire la urmărirea unui obiectiv legitim

 

5) Cu privire la caracterul necesar și proporțional al ingerințelor

 

c) Cu privire la validitatea Deciziei privind Scutul de confidențialitate în raport cu dreptul la o cale de atac efectivă

 

1) Cu privire la efectivitatea acțiunilor în justiție prevăzute de dreptul american

 

2) Cu privire la incidența mecanismului de tip Ombudsman asupra nivelului de protecție a dreptului la o cale de atac efectivă

 

V. Concluzie

I. Introducere

1.

În lipsa unor garanții comune în domeniul protecției datelor cu caracter personal la nivel mondial, fluxurile transfrontaliere ale unor astfel de date sunt însoțite de un risc de întrerupere a continuității nivelului de protecție asigurat în cadrul Uniunii Europene. Preocupat să faciliteze aceste fluxuri, cu limitarea în același timp a riscului respectiv, legiuitorul Uniunii a instituit trei mecanisme în temeiul cărora datele cu caracter personal pot fi transferate din Uniune către un stat terț.

2.

În primul rând, un asemenea transfer poate fi efectuat în temeiul unei decizii prin care Comisia Europeană constată că statul terț în cauză asigură un „nivel de protecție adecvat” cu privire la datele care sunt transferate în acesta ( 2 ). În al doilea rând, în lipsa unei asemenea decizii, se permite transferul atunci când este însoțit de „garanții adecvate” ( 3 ). Aceste garanții pot lua forma unui contract încheiat între exportatorul și importatorul de date care include clauze de protecție standard adoptate de Comisie. RGPD prevede, în al treilea rând, anumite derogări, întemeiate în special pe acordul persoanei vizate, care permit transferul către o țară terță chiar și în lipsa unei decizii privind caracterul adecvat al nivelului de protecție sau a unor garanții adecvate ( 4 ).

3.

Cererea de decizie preliminară formulată de High Court (Înalta Curte, Irlanda) privește al doilea dintre aceste mecanisme. Mai precis, aceasta se referă la validitatea Deciziei 2010/87/UE ( 5 ), prin care Comisia a stabilit clauze contractuale standard pentru anumite categorii de transferuri, în raport cu articolele 7, 8 și 47 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”).

4.

Această cerere a fost formulată în cadrul unui litigiu între Data Protection Commissioner (Comisarul pentru protecția datelor, Irlanda, denumit în continuare „DPC”), pe de o parte, și Facebook Ireland Ltd și domnul Maximillian Schrems, pe de altă parte. Acesta din urmă a introdus la DPC o plângere referitoare la transferul de date cu caracter personal care îl privesc de Facebook Ireland către Facebook Inc., societatea‑mamă a acesteia stabilită în Statele Unite ale Americii (denumite în continuare „Statele Unite”). DPC consideră că examinarea acestei plângeri depinde de aspectul dacă Decizia 2010/87 este validă. În acest context, el a sesizat instanța de trimitere și i‑a cerut să solicite Curții să se pronunțe cu privire la acest subiect.

5.

Precizăm de la bun început că examinarea întrebărilor preliminare nu a evidențiat, în opinia noastră, niciun element de natură să afecteze validitatea Deciziei 2010/87.

6.

Pe de altă parte, instanța de trimitere a evidențiat anumite îndoieli privind, în esență, caracterul adecvat al nivelului de protecție asigurat de Statele Unite în raport cu ingerințele pe care activitățile autorităților de informații americane le generează în exercitarea drepturilor fundamentale ale persoanelor ale căror date sunt transferate către țara terță respectivă. Aceste îndoieli pun în discuție în mod indirect aprecierile efectuate de Comisie cu privire la subiectul în cauză în Decizia de punere în aplicare (UE) 2016/1250 ( 6 ). Deși soluționarea litigiului principal nu impune Curții să se pronunțe cu privire la această problemă și, deși îi propunem, așadar, să se abțină să o facă, vom prezenta cu titlu subsidiar motivele care ne determină să ridicăm problema validității acestei decizii.

7.

Ansamblul analizei noastre va fi orientat de căutarea unui echilibru între, pe de o parte, necesitatea de a face dovada unui „nivel de pragmatism rezonabil pentru a permite o interacțiune cu restul lumii” ( 7 ) și, pe de altă parte, necesitatea de a afirma valorile fundamentale recunoscute în ordinile juridice ale Uniunii și ale statelor sale membre, în special de cartă.

II. Cadrul juridic

A. Directiva 95/46/CE

8.

Articolul 3 alineatul (2) din Directiva 95/46/CE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date ( 8 ) prevedea:

„Prezenta directivă nu se aplică prelucrării datelor cu caracter personal:

puse în practică pentru exercitarea activităților din afara domeniului de aplicare a dreptului comunitar, cum ar fi cele prevăzute în titlurile V și VI din Tratatul privind Uniunea Europeană și, în orice caz, prelucrărilor care au ca obiect siguranța publică, apărarea, securitatea statului (inclusiv bunăstarea economică a statului atunci când aceste prelucrări sunt legate de probleme de securitate a statului) și activitățile statului în domeniul dreptului penal;

[…]”

9.

Articolul 13 alineatul (1) din această directivă avea următorul cuprins:

„Statele membre pot adopta măsuri legislative pentru a restrânge domeniul obligațiilor și drepturilor prevăzute la articolul 6 alineatul (1), articolul 10, articolul 11 alineatul (1), articolul 12 și articolul 21, dacă o astfel de restricție constituie o măsură necesară pentru a proteja:

(a)

securitatea statului;

(b)

apărarea;

(c)

siguranța publică;

(d)

prevenirea, investigarea, detectarea și punerea sub urmărire a infracțiunilor sau a încălcării eticii în cazul profesiunilor reglementate;

(e)

un interes economic sau financiar important al unui stat membru sau al [Uniunii], inclusiv în domeniile monetar, bugetar și fiscal;

(f)

o funcție de monitorizare, inspecție sau de reglementare legată, chiar și ocazional, de exercitarea autorității publice în cazurile menționate la literele (c), (d) și (e);

(g)

protecția persoanei vizate sau a drepturilor și libertăților altora.”

10.

Articolul 25 din directiva menționată prevedea:

„(1)   Statele membre prevăd că transferul către o țară terță a datelor cu caracter personal care fac obiectul prelucrării sau sunt destinate prelucrării după transfer nu poate avea loc decât dacă, sub rezerva respectării dispozițiilor de drept intern adoptate în temeiul celorlalte dispoziții ale prezentei directive, țara terță în cauză asigură un nivel de protecție adecvat.

(2)   Caracterul adecvat al nivelului de protecție oferit de o țară terță se evaluează având în vedere toate circumstanțele referitoare la un transfer sau la o categorie de transferuri de date; în special sunt luate în considerare natura datelor, scopul și durata prelucrării sau prelucrărilor propuse, țările de origine și țările de destinație, normele de drept atât generale, cât și sectoriale în vigoare în țara terță în cauză, precum și normele profesionale și măsurile de securitate respectate în țara respectivă.

[…]

(6)   Comisia poate constata, în conformitate cu procedura prevăzută în articolul 31 alineatul (2), că o țară terță asigură un nivel de protecție adecvat în sensul alineatului (2) din prezentul articol, în temeiul legislației interne sau al angajamentelor sale internaționale, luate în special la încheierea negocierilor menționate la alineatul (5), în vederea protejării vieții private și a libertăților și drepturilor fundamentale ale persoanelor.

Statele membre iau măsurile necesare pentru a se conforma deciziei Comisiei.”

11.

Articolul 26 alineatele (2) și (4) din aceeași directivă prevedea:

„(2)   Fără a aduce atingere alineatului (1), un stat membru poate autoriza un transfer sau o serie de transferuri de date cu caracter personal către o țară terță care nu asigură un nivel de protecție adecvat în sensul articolului 25 alineatul (2), atunci când operatorul oferă garanții suficiente privind atât protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor, cât și exercitarea drepturilor corespunzătoare; aceste garanții pot rezulta în special din clauze contractuale adecvate.

[…]

(4)   În cazul în care Comisia decide […] că anumite clauze contractuale standard oferă garanții suficiente în sensul alineatului (2), statele membre iau măsurile necesare pentru a se conforma deciziei Comisiei.”

12.

Articolul 28 alineatul (3) din Directiva 95/46 avea următorul conținut:

„Fiecare autoritate este, în special, investită cu:

[…]

competențe efective de intervenție, cum ar fi, de exemplu, competența de a emite avize înainte de începerea prelucrării, în conformitate cu articolul 20, și de a asigura publicarea adecvată a acestor avize sau de a ordona blocarea, ștergerea sau distrugerea datelor, de a impune interdicția temporară sau definitivă de prelucrare, de a avertiza sau de a admonesta operatorul sau de a sesiza parlamentele naționale sau alte instituții politice,

[…]”

B. RGPD

13.

În temeiul articolului 94 alineatul (1), RGPD a abrogat Directiva 95/46 cu efect de la 25 mai 2018, dată la care acest regulament a început să se aplice în conformitate cu articolul 99 alineatul (2).

14.

Articolul 2 alineatul (2) din regulamentul menționat prevede:

„Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:

(a)

în cadrul unei activități care nu intră sub incidența dreptului Uniunii;

(b)

de către statele membre atunci când desfășoară activități care intră sub incidența capitolului 2 al titlului V din Tratatul UE;

[…]

(d)

de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.”

15.

Articolul 4 punctul 2 din același regulament definește „prelucrare[a]” ca fiind „orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.

16.

Articolul 23 din RGPD prevede:

„(1)   Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr‑o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 12-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într‑o societate democratică, pentru a asigura:

(a)

securitatea națională;

(b)

apărarea;

(c)

securitatea publică;

(d)

prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, inclusiv protejarea împotriva amenințărilor la adresa securității publice și prevenirea acestora;

(e)

alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru […];

[…]

(2)   În special, orice măsură legislativă menționată la alineatul (1) conține dispoziții specifice cel puțin, dacă este cazul, în ceea ce privește:

(a)

scopurile prelucrării sau ale categoriilor de prelucrare;

(b)

categoriile de date cu caracter personal;

(c)

domeniul de aplicare al restricțiilor introduse;

(d)

garanțiile pentru a preveni abuzurile sau accesul sau transferul ilegal;

(e)

menționarea operatorului sau a categoriilor de operatori;

(f)

perioadele de stocare și garanțiile aplicabile având în vedere natura, domeniul de aplicare și scopurile prelucrării sau ale categoriilor de prelucrare;

(g)

riscurile pentru drepturile și libertățile persoanelor vizate; și

(h)

dreptul persoanelor vizate de a fi informate cu privire la restricție, cu excepția cazului în care acest lucru poate aduce atingere scopului restricției.”

17.

Articolul 44 din acest regulament, intitulat „Principiul general al transferurilor”, prevede:

„Orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într‑o țară terță sau către o organizație internațională pot fi transferate doar dacă, sub rezerva celorlalte dispoziții ale prezentului regulament, condițiile prevăzute în prezentul capitol sunt respectate de operator și de persoana împuternicită de operator, inclusiv în ceea ce privește transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională către o altă țară terță sau către o altă organizație internațională. Toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulament nu este subminat.”

18.

În conformitate cu articolul 45 din regulamentul menționat, intitulat „Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecție”:

„(1)   Transferul de date cu caracter personal către o țară terță sau o organizație internațională se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori unul sau mai multe sectoare specificate din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită autorizări speciale.

(2)   Atunci când evaluează caracterul adecvat al nivelului de protecție, Comisia ține seama, în special, de următoarele elemente:

(a)

statul de drept, respectarea drepturilor omului și a libertăților fundamentale, legislația relevantă, atât generală, cât și sectorială, inclusiv privind securitatea publică, apărarea, securitatea națională și dreptul penal, precum și accesul autorităților publice la datele cu caracter personal, precum și punerea în aplicare a acestei legislații, normele de protecție a datelor, normele profesionale și măsurile de securitate, inclusiv normele privind transferul ulterior de date cu caracter personal către o altă țară terță sau organizație internațională, care sunt respectate în țara terță respectivă sau în organizația internațională respectivă, jurisprudența, precum și existența unor drepturi efective și opozabile ale persoanelor vizate și a unor reparații efective pe cale administrativă și judiciară pentru persoanele vizate ale căror date cu caracter personal sunt transferate;

(b)

existența și funcționarea eficientă a uneia sau mai multor autorități de supraveghere independente în țara terță sau sub jurisdicția cărora intră o organizație internațională, cu responsabilitate pentru asigurarea și impunerea respectării normelor de protecție a datelor, incluzând competențe adecvate de asigurare a respectării aplicării, pentru acordarea de asistență și consiliere persoanelor vizate cu privire la exercitarea drepturilor acestora și pentru cooperarea cu autoritățile de supraveghere din statele membre;

(c)

angajamentele internaționale la care a aderat țara terță sau organizația internațională în cauză sau alte obligații care decurg din convenții sau instrumente obligatorii din punct de vedere juridic, precum și din participarea acesteia la sisteme multilaterale sau regionale, mai ales în domeniul protecției datelor cu caracter personal.

(3)   Comisia, după ce evaluează caracterul adecvat al nivelului de protecție, poate decide, printr‑un act de punere în aplicare, că o țară terță, un teritoriu sau unul sau mai multe sectoare specificate dintr‑o țară terță sau o organizație internațională asigură un nivel de protecție adecvat în sensul alineatului (2) din prezentul articol. Actul de punere în aplicare prevede un mecanism de revizuire periodică, cel puțin o dată la patru ani, care ia în considerare toate evoluțiile relevante din țara terță sau organizația internațională. […]

(4)   Comisia monitorizează continuu evoluțiile din țările terțe și de la nivelul organizațiilor internaționale care ar putea afecta funcționarea deciziilor adoptate în temeiul alineatului (3) din prezentul articol și a deciziilor adoptate în temeiul articolului 25 alineatul (6) din [Directiva 95/46].

(5)   În cazul în care informațiile disponibile dezvăluie, în special în urma revizuirii menționate la alineatul (3) din prezentul articol, că o țară terță, un teritoriu sau un sector specificat din acea țară terță sau o organizație internațională nu mai asigură un nivel de protecție adecvat în sensul alineatului (2) din prezentul articol, Comisia, dacă este necesar, abrogă, modifică sau suspendă, prin intermediul unui act de punere în aplicare, decizia menționată la alineatul (3) din prezentul articol fără efect retroactiv. […]

(6)   Comisia inițiază consultări cu țara terță sau organizația internațională în vederea remedierii situației care a stat la baza deciziei luate în conformitate cu alineatul (5).

[…]

(9)   Deciziile adoptate de Comisie în temeiul articolului 25 alineatul (6) din [Directiva 95/46] rămân în vigoare până când sunt modificate, înlocuite sau abrogate de o decizie a Comisiei adoptată în conformitate cu alineatul (3) sau (5) din prezentul articol.”

19.

Articolul 46 din același regulament, intitulat „Transferuri în baza unor garanții adecvate”, are următorul conținut:

„(1)   În absența unei decizii în temeiul articolului 45 alineatul (3), operatorul sau persoana împuternicită de operator poate transfera date cu caracter personal către o țară terță sau o organizație internațională numai dacă operatorul sau persoana împuternicită de operator a oferit garanții adecvate și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate.

(2)   Garanțiile adecvate menționate la alineatul 1 pot fi furnizate fără să fie nevoie de nicio autorizație specifică din partea unei autorități de supraveghere, prin:

[…]

(c)

clauze standard de protecție a datelor adoptate de Comisie în conformitate cu procedura de examinare menționată la articolul 93 alineatul (2);

[…]

(5)   Autorizațiile acordate de un stat membru sau de o autoritate de supraveghere în temeiul articolului 26 alineatul (2) din [Directiva 95/46] sunt valabile până la data la care sunt modificate, înlocuite sau abrogate, dacă este necesar, de respectiva autoritate de supraveghere. Deciziile adoptate de Comisie în temeiul articolului 26 alineatul (4) din [Directiva 95/46] rămân în vigoare până când sunt modificate, înlocuite sau abrogate, dacă este necesar, de o decizie a Comisiei adoptată în conformitate cu alineatul (2) din prezentul articol.”

20.

Potrivit articolului 58 alineatele (2), (4) și (5) din RGPD:

„(2)   Fiecare autoritate de supraveghere are toate următoarele competențe corective:

(a)

de a emite avertizări în atenția unui operator sau a unei persoane împuternicite de operator cu privire la posibilitatea ca operațiunile de prelucrare prevăzute să încalce dispozițiile prezentului regulament;

(b)

de a emite avertismente adresate unui operator sau unei persoane împuternicite de operator în cazul în care operațiunile de prelucrare au încălcat dispozițiile prezentului regulament;

(c)

de a da dispoziții operatorului sau persoanei împuternicite de operator să respecte cererile persoanei vizate de a‑și exercita drepturile în temeiul prezentului regulament;

(d)

de a da dispoziții operatorului sau persoanei împuternicite de operator să asigure conformitatea operațiunilor de prelucrare cu dispozițiile prezentului regulament, specificând, după caz, modalitatea și termenul‑limită pentru aceasta;

(e)

de a obliga operatorul să informeze persoana vizată cu privire la o încălcare a protecției datelor cu caracter personal;

(f)

de a impune o limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrării;

[…]

(i)

de a impune amenzi administrative în conformitate cu articolul 83, în completarea sau în locul măsurilor menționate la prezentul alineat, în funcție de circumstanțele fiecărui caz în parte;

(j)

de a dispune suspendarea fluxurilor de date către un destinatar dintr‑o țară terță sau către o organizație internațională.

[…]

(4)   Exercitarea competențelor conferite autorității de supraveghere în temeiul prezentului articol face obiectul unor garanții adecvate, inclusiv căi de atac judiciare eficiente și procese echitabile, prevăzute în dreptul Uniunii și în dreptul intern în conformitate cu carta.

(5)   Fiecare stat membru prevede, pe cale legislativă, faptul că autoritatea sa de supraveghere are competența de a aduce în fața autorităților judiciare cazurile de încălcare a prezentului regulament și, după caz, de a iniția sau de a se implica într‑un alt mod în proceduri judiciare, în scopul de a asigura aplicarea dispozițiilor prezentului regulament.”

C. Decizia 2010/87

21.

Articolul 26 alineatul (4) din Directiva 95/46 a condus la adoptarea de către Comisie a trei decizii prin care aceasta a constatat că clauzele contractuale tip prevăzute de articolul menționat oferă garanții suficiente în raport cu protecția vieții private și a libertăților și drepturilor fundamentale ale persoanelor, precum și cu exercitarea drepturilor corespunzătoare (denumite în continuare „Deciziile SCC”) ( 9 ).

22.

Printre acestea figurează Decizia 2010/87, al cărei articol 1 prevede că „[s]e consideră că clauzele contractuale tip prevăzute în anexă oferă garanții corespunzătoare în ceea ce privește protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor și cu privire la exercitarea drepturilor corespunzătoare în temeiul articolului 26 alineatul (2) din [Directiva 95/46]”.

23.

În temeiul articolului 3 din această decizie:

„În sensul prezentei decizii, se aplică următoarele definiții:

[…]

(c)

«exportator de date» înseamnă operatorul care transferă datele cu caracter personal;

(d)

«importator de date» înseamnă persoana împuternicită de către operator stabilită într‑o țară terță care este de acord să primească de la exportatorul de date datele cu caracter personal destinate prelucrării în numele exportatorului de date, în urma transferului, în conformitate cu instrucțiunile acestuia și cu condițiile prezentei decizii, și care nu este supusă unui sistem al unei țări terțe capabil să asigure o protecție adecvată, în sensul articolului 25 alineatul (1) din [Directiva 95/46];

[…]

(f)

«legea aplicabilă protecției datelor» înseamnă legislația care protejează drepturile și libertățile fundamentale ale particularilor și, în special, dreptul lor la viață privată cu privire la prelucrarea datelor cu caracter personal, aplicabilă operatorului de date din statul membru în care este stabilit exportatorul de date;

[…]”

24.

În versiunea sa inițială, articolul 4 din decizia menționată prevedea la alineatul (1):

„Fără a aduce atingere competențelor lor de a lua măsuri pentru a asigura respectarea dispozițiilor naționale adoptate în temeiul capitolelor II, III, V și VI din [Directiva 95/46], autoritățile competente ale statelor membre își pot exercita competențele existente de interzicere sau suspendare a fluxului de date către țările terțe pentru a proteja persoanele fizice în legătură cu prelucrarea datelor cu caracter personal ale acestora, în cazurile în care:

(a)

s‑a stabilit că legea căreia i se supune importatorul de date sau subcontractantul îl obligă pe acesta să deroge de la legea aplicabilă protecției datelor cu caracter personal, care depășește restricțiile necesare într‑o societate democratică, după cum prevede articolul 13 din [Directiva 95/46], atunci când obligațiile respective sunt susceptibile de a avea efecte negative importante asupra garanțiilor oferite de legea aplicabilă protecției datelor cu caracter personal și clauzele contractuale tip;

(b)

o autoritate competentă a stabilit că importatorul de date sau subcontractantul nu a respectat clauzele contractuale tip din anexă; sau

(c)

există o probabilitate mare de nerespectare în prezent sau în viitor a clauzelor contractuale tip din anexă și de creare a unui risc iminent de prejudiciere gravă a persoanelor vizate ca urmare a continuării transferului de date.”

25.

În versiunea actuală, astfel cum rezultă din modificarea Deciziei 2010/87 prin Decizia de punerea în aplicare (UE) 2016/2297 ( 10 ), articolul 4 din Decizia 2010/87 prevede că „[o]ri de câte ori autoritățile competente din statele membre își exercită competențele prevăzute la articolul 28 alineatul (3) din [Directiva 95/46], antrenând suspendarea sau interdicția definitivă a fluxurilor de date către țări terțe în vederea asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, statul membru în cauză informează fără întârziere Comisia, care va transmite mai departe informațiile respective celorlalte state membre”.

26.

Anexa la Decizia 2010/87 conține un ansamblu de clauze contractuale tip. În special, clauza 3 din această anexă, intitulată „Clauza terțului beneficiar”, prevede:

„(1) Persoana vizată poate invoca în fața exportatorului de date prezenta clauză, clauza 4 literele (b)-(i), clauza 5 literele (a)-(e) și (g)-(j), clauza 6 alineatele (1) și (2), clauza 7, clauza 8 alineatul (2), precum și clauzele 9-12 în calitate de terți beneficiari.

(2) Persoana vizată poate invoca în fața importatorului de date prezenta clauză, clauza 5 literele (a)-(e) și (g), clauza 6, clauza 7, clauza 8 alineatul (2) și clauzele 9-12, în situația în care exportatorul de date a dispărut în fapt sau și‑a încetat existența de drept, cu excepția cazului în care vreo entitate succesoare și‑a asumat toate obligațiile juridice ale exportatorului de date prin contract sau prin efectul legii și, ca rezultat, preia drepturile și obligațiile exportatorului de date, caz în care persoana vizată poate invoca clauzele menționate în fața acestei entități.

[…]”

27.

Clauza 4 enunțată în anexa respectivă, intitulată „Obligațiile exportatorului de date”, prevede:

„Exportatorul de date este de acord și garantează că:

(a)

prelucrarea, inclusiv transferul în sine, a datelor cu caracter personal a fost și va continua să fie efectuată în conformitate cu dispozițiile relevante ale legii aplicabile privind protecția datelor (și, atunci când a fost cazul, a fost notificată autorităților competente din statul membru în care este stabilit exportatorul de date) și nu încalcă dispozițiile relevante din statul respectiv;

(b)

a instruit și, pe toată durata serviciilor de prelucrare a datelor cu caracter personal, acesta va continua să îl instruiască pe importatorul de date să prelucreze datele cu caracter personal transferate numai în numele exportatorului de date și în conformitate cu legea aplicabilă privind protecția datelor și cu prezentele clauze;

(c)

importatorul de date prezintă suficiente garanții referitoare la măsurile tehnice și organizatorice de securitate menționate în apendicele 2 la acest contract;

(d)

după evaluarea cerințelor legii aplicabile privind protecția datelor, măsurile de securitate sunt adecvate pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, divulgării sau accesului neautorizat, în special atunci când prelucrarea presupune transmiterea datelor într‑o rețea, precum și împotriva oricăror alte forme ilegale de prelucrare, și că aceste măsuri asigură un nivel adecvat de securitate în ceea ce privește riscurile prezentate de prelucrarea sau natura datelor care trebuie protejate, ținând seama de cele mai recente tehnici din sector și de costurile punerii lor în aplicare;

(e)

va asigura respectarea măsurilor de securitate;

(f)

în cazul în care transferul implică categorii speciale de date, persoana vizată a fost informată sau va fi informată înainte de transferul datelor sale, sau cât de curând posibil în urma transferului, că datele sale ar putea fi transmise către o țară terță care nu oferă protecția adecvată în sensul [Directivei 95/46];

(g)

transmite orice notificare primită de la importatorul de date sau de la oricare dintre subcontractanți, în temeiul clauzei 5 litera (b) și al clauzei 8 alineatul (3), către autoritatea de supraveghere a protecției datelor, în cazul în care exportatorul de date decide să continue transferul sau să ridice suspendarea;

(h)

pune la dispoziția persoanelor vizate, la cerere, o copie a clauzelor, mai puțin apendicele 2, și o descriere pe scurt a măsurilor de securitate, precum și o copie a oricărui contract de subcontractare a serviciilor care trebuie încheiat în conformitate cu clauzele, cu excepția cazului în care clauzele sau contractul conțin informații comerciale, caz în care acesta le poate înlătura;

(i)

în cazul subcontractării serviciilor de prelucrare a datelor, activitatea de prelucrare este efectuată în conformitate cu clauza 11 de către un subcontractant care oferă cel puțin același nivel de protecție a datelor cu caracter personal și a drepturilor persoanei vizate ca și importatorul de date, în temeiul prezentelor clauze; precum și

(j)

va asigura respectarea clauzei 4 literele (a)-(i).”

28.

Clauza 5 enunțată în aceeași anexă, intitulată „Obligațiile importatorului de date (1)”, prevede:

„Importatorul de date este de acord și garantează că:

(a)

prelucrează datele cu caracter personal exclusiv în numele exportatorului de date și în conformitate cu instrucțiunile acestuia și cu clauzele; în cazul în care, din diverse motive, nu poate garanta conformitatea, acesta este de acord să informeze fără întârziere exportatorul de date cu privire la imposibilitatea sa de a asigura conformitatea, caz în care exportatorul de date are dreptul să suspende transferul de date și/sau să rezilieze contractul;

(b)

acesta nu are niciun motiv să creadă că legislația care i se aplică îl împiedică să îndeplinească instrucțiunile primite de la exportatorul de date și obligațiile ce îi revin în temeiul contractului și că, în cazul unei modificări în legislația respectivă, susceptibilă să aibă efecte negative asupra garanțiilor și obligațiilor prevăzute de clauze, va notifica fără întârziere modificarea exportatorului de date, de îndată ce are cunoștință de aceasta, caz în care exportatorul de date are dreptul să suspende transferul de date și/sau să rezilieze contractul;

(c)

a pus în aplicare măsurile tehnice și organizatorice de securitate menționate în apendicele 2 înainte de prelucrarea datelor cu caracter personal transferate;

(d)

acesta notifică fără întârziere exportatorului de date:

(i)

orice solicitare, obligatorie din punct de vedere juridic, de a divulga date cu caracter personal, prezentată de o autoritate de aplicare a legii, cu excepția cazului în care aceasta face obiectul altei interdicții, de exemplu interdicția, în cadrul dreptului penal, de a păstra confidențialitatea unei investigații urmărind aplicarea legii;

(ii)

orice acces accidental sau neautorizat; precum și

(iii)

orice solicitare primită direct de la persoanele vizate, fără a răspunde la aceasta, cu excepția cazului în care a fost autorizat să facă acest lucru;

(e)

tratează fără întârziere și în mod adecvat toate întrebările exportatorului de date privind prelucrarea datelor cu caracter personal care fac obiectul transferului și se conformează recomandării făcute de autoritatea de supraveghere în ceea ce privește prelucrarea datelor transferate;

(f)

la cererea exportatorului de date, își prezintă facilitățile privind prelucrarea datelor în scopul auditului privind activitățile de prelucrare acoperite de clauze, care va fi efectuat de exportatorul de date sau de un organism de inspecție alcătuit din membri independenți care dețin calificările profesionale și sunt supuși obligației de confidențialitate, selectați de exportatorul de date, după caz, în acord cu autoritatea de supraveghere;

[…]”

29.

Potrivit notei de subsol 1, la care se referă titlul clauzei 5 care figurează în anexa la Decizia 2010/87:

„Cerințele imperative ale legislației naționale aplicabile importatorului de date care nu depășesc ceea ce este necesar într‑o societate democratică pe baza unuia dintre interesele enumerate la articolul 13 alineatul (1) din Directiva [95/46], adică dacă reprezintă o măsură necesară salvgardării siguranței naționale, apărării, securității publice, prevenirii, cercetării, identificării și urmăririi în justiție a infracțiunilor sau a încălcării deontologiei în cazul profesiilor reglementate, unui interes economic sau financiar important al statului sau protecției persoanei vizate sau a drepturilor și libertăților celorlalți, nu sunt în contradicție cu clauzele contractuale tip. Câteva exemple de astfel de cerințe imperative care nu depășesc ceea ce este necesar într‑o societate democratică sunt, printre altele, sancțiunile recunoscute la nivel internațional, obligațiile de declarație fiscală sau obligațiile de declarație în cadrul luptei contra spălării banilor.”

30.

Clauza 6 din această anexă, intitulată „Răspundere”, are următorul cuprins:

„(1) Părțile convin că orice persoană vizată care a suferit un prejudiciu în urma încălcării obligațiilor prevăzute de clauza 3 sau clauza 11 de către oricare dintre părți sau de către subcontractant are dreptul de a primi despăgubiri din partea exportatorului de date pentru prejudiciul suferit.

(2) În cazul în care persoana vizată nu poate introduce împotriva exportatorului de date o acțiune în despăgubiri menționată la alineatul (1), în urma încălcării de către importatorul de date sau subcontractantul acestuia a oricăreia dintre obligațiile prevăzute de clauza 3 sau clauza 11 din motiv că exportatorul de date a dispărut în fapt, și‑a încetat existența de drept sau a devenit insolvabil, importatorul de date este de acord ca persoana vizată să poată formula o cerere de despăgubire împotriva importatorului de date, în locul exportatorului de date, cu excepția cazului în care vreo entitate succesoare și‑a asumat toate obligațiile juridice ale exportatorului de date prin contract sau prin efectul legii, caz în care persoana vizată își poate cere drepturile de la o astfel de entitate.

[…]”

31.

Clauza 7 enunțată în anexa respectivă, intitulată „Mediere și jurisdicție”, prevede:

„(1) Importatorul de date este de acord ca, în cazul în care persoana vizată invocă împotriva sa drepturile terțului beneficiar și/sau cere despăgubiri pentru prejudiciile suferite, în temeiul clauzelor, importatorul de date va accepta decizia persoanei vizate:

(a)

de a prezenta litigiul în vederea medierii, de către o persoană independentă sau, după caz, de către autoritatea de supraveghere;

(b)

de a prezenta litigiul instanțelor din statul membru în care este stabilit exportatorul de date.

(2) Părțile convin că opțiunea aleasă de persoana vizată nu va aduce atingere drepturilor materiale sau procedurale ale acestuia de a introduce acțiuni în conformitate cu alte dispoziții din legislația națională sau internațională.”

32.

Clauza 9 care figurează în aceeași anexă, intitulată „Legea aplicabilă”, prevede că clauzele contractuale standard sunt guvernate de legea statului membru în care este stabilit exportatorul de date.

D. Decizia privind Scutul de confidențialitate

33.

Articolul 25 alineatul (6) din Directiva 95/46 a constituit temeiul adoptării de către Comisie a două decizii succesive prin care aceasta a constatat că Statele Unite asigură un nivel de protecție adecvat al datelor cu caracter personal transferate către întreprinderi stabilite în Statele Unite, care au declarat că aderă, prin intermediul unei proceduri de autocertificare, la principiile formulate în aceste decizii.

34.

Într‑o primă etapă, Comisia a adoptat Decizia 2000/520/CE privind caracterul adecvat al protecției oferite de principiile „sferei de siguranță” privind protecția vieții private și întrebările de bază aferente, publicate de Departamentul Comerțului al [Statelor Unite] ( 11 ). În Hotărârea din 6 octombrie 2015, Schrems ( 12 ), Curtea a declarat această decizie nevalidă.

35.

Ca urmare a hotărârii menționate, Comisia a adoptat, într‑o a doua etapă, Decizia privind Scutul de confidențialitate.

36.

Articolul 1 din această decizie prevede:

„(1)   În sensul articolului 25 alineatul (2) din [Directiva 95/46], Statele Unite garantează un nivel adecvat de protecție a datelor cu caracter personal transferate din Uniune către organizații din Statele Unite în temeiul Scutului de confidențialitate UE‑SUA.

(2)   Scutul de confidențialitate UE‑SUA este constituit din principiile publicate de Departamentul Comerțului al SUA la 7 iulie 2016, prezentate în anexa II, precum și din declarațiile și angajamentele oficiale cuprinse în documentele enumerate în anexele I și III‑VII.

(3)   În sensul alineatului (1), datele cu caracter personal sunt transferate în temeiul Scutului de confidențialitate UE‑SUA în cazul în care acestea sunt transferate dinspre Uniune către organizații din Statele Unite ale Americii care fac parte din «lista Scutului de confidențialitate», menținută și pusă la dispoziția publicului de către Departamentul Comerțului al SUA, în conformitate cu secțiunile I și III din principiile prevăzute în anexa II.”

37.

Anexa III A la această decizie, intitulată „Un mecanism al Ombudsmanului pentru Scutul de confidențialitate UE‑SUA [privind colectarea de informații pe baza semnalelor electromagnetice]”, anexată la o scrisoare a domnului John Kerry, pe atunci Secretary of State (Secretar de Stat, Statele Unite), din data de 7 iulie 2016, conține un memorandum de înțelegere care descrie o nouă procedură de mediere la un „coordonator principal pentru diplomația internațională privind tehnologia informației” (denumit în continuare „Ombudsmanul”) desemnat de Secretarul de Stat.

38.

Potrivit acestui memorandum, procedura respectivă a fost instituită pentru a „facilit[a] tratarea cererilor legate de accesul în scopul securității naționale la informații trimise din [Uniune] către Statele Unite în temeiul Scutului de confidențialitate, al clauzelor contractuale standard (CCS), al regulilor corporatiste obligatorii (RCO), al «derogărilor» sau al «posibilelor derogări viitoare», prin căi consacrate în temeiul legilor și politicii Statelor Unite, precum și răspunsul la astfel de cereri”.

III. Litigiul principal, întrebările preliminare și procedura în fața Curții

39.

Domnul Schrems, resortisant austriac cu reședința în Austria, este un utilizator al rețelei sociale Facebook. Toți utilizatorii acestei rețele sociale care au reședința pe teritoriul Uniunii au obligația de a încheia, în momentul înscrierii lor, un contract cu Facebook Ireland, filială a Facebook Inc., ea însăși stabilită în Statele Unite. Datele cu caracter personal ale acestor utilizatori sunt, în tot sau în parte, transferate către servere care aparțin Facebook Inc., situate pe teritoriul Statelor Unite, unde fac obiectul unor prelucrări.

40.

La 25 iunie 2013, domnul Schrems a sesizat DPC cu o plângere prin care îi solicita, în esență, să interzică Facebook Ireland să transfere datele cu caracter personal care îl privesc către Statele Unite. În cadrul plângerii, acesta susținea că dreptul și practicile în vigoare în țara terță respectivă nu garantau o protecție suficientă a datelor cu caracter personal stocate pe teritoriul său împotriva intruziunilor care decurg din activitățile de supraveghere practicate de autoritățile publice. Domnul Schrems se referea în acest sens la dezvăluirile făcute de domnul Edward Snowden cu privire la activitățile serviciilor de informații din Statele Unite, în special cele ale National Security Agency (NSA) (Agenția de Securitate Națională, Statele Unite).

41.

Această plângere a fost respinsă în special pentru motivul că orice problemă referitoare la caracterul adecvat al protecției asigurate în Statele Unite trebuia soluționată în conformitate cu Decizia privind sfera de siguranță. În această decizie, Comisia constatase că țara terță respectivă oferea un nivel adecvat de protecție a datelor cu caracter personal transferate către întreprinderi situate pe teritoriul său care aderă la principiile enunțate în decizia menționată.

42.

Domnul Schrems a introdus o acțiune împotriva deciziei de respingere a plângerii sale la High Court (Înalta Curte). Această instanță a apreciat că, deși domnul Schrems nu a contestat în mod formal validitatea Deciziei privind sfera de siguranță, plângerea sa denunța în realitate legalitatea regimului instituit prin decizia menționată. În aceste condiții, instanța respectivă a adresat Curții întrebări privind, în esență, aspectul dacă autoritățile din statele membre responsabile cu protecția datelor (denumite în continuare „autoritățile de supraveghere”), atunci când sunt sesizate cu o plângere referitoare la protecția drepturilor și libertăților unei persoane în ceea ce privește prelucrarea datelor cu caracter personal care o privesc și care au fost transferate către un stat terț, sunt ținute de constatările referitoare la caracterul adecvat al nivelului de protecție oferit de acest stat terț, efectuate de Comisie în temeiul articolului 25 alineatul (6) din Directiva 95/46, chiar dacă reclamantul contestă aceste constatări.

43.

După ce a statuat, la punctele 51 și 52 din Hotărârea Schrems, că o decizie privind caracterul adecvat al nivelului de protecție este obligatorie pentru autoritățile de supraveghere atât timp cât nu a fost declarată nevalidă, Curtea a statuat, la punctele 63 și 65 din această hotărâre, următoarele:

„(63) […] [A]tunci când o persoană ale cărei date cu caracter personal au fost sau ar putea să fie transferate către o țară terță care a făcut obiectul unei decizii a Comisiei în temeiul articolului 25 alineatul (6) din Directiva 95/46 sesizează o autoritate națională de supraveghere cu o cerere de protecție a drepturilor și libertăților sale în ceea ce privește prelucrarea acestor date și contestă, cu ocazia acestei cereri, […] compatibilitatea acestei decizii cu protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor, revine acestei autorități sarcina de a examina cererea menționată cu toată diligența necesară.

[…]

(65) În ipoteza […], în care autoritatea menționată consideră întemeiate motivele invocate de [această persoană], aceeași autoritate trebuie, conform articolului 28 alineatul (3) primul paragraf a treia liniuță din Directiva 95/46 interpretat în lumina în special a articolului 8 alineatul (3) din cartă, să aibă competența de a acționa în justiție. În această privință, revine legiuitorului național sarcina de a prevedea căi de atac care să permită autorității naționale de supraveghere în cauză să invoce motivele pe care le consideră întemeiate în fața instanțelor naționale, astfel încât acestea din urmă să efectueze, dacă împărtășesc îndoielile acestei autorități în ceea ce privește validitatea deciziei Comisiei, o trimitere preliminară în vederea examinării validității acestei decizii.”

44.

Curtea a examinat de asemenea, în hotărârea menționată, validitatea Deciziei privind sfera de siguranță în raport cu cerințele care decurg din Directiva 95/46, coroborată cu carta. La finalul acestei examinări, ea a declarat decizia respectivă ca fiind nevalidă ( 13 ).

45.

În urma pronunțării Hotărârii Schrems, instanța de trimitere a anulat decizia prin care DPC a respins plângerea formulată de domnul Schrems și a trimis‑o DPC pentru examinare. Acesta din urmă a deschis o anchetă și l‑a invitat pe domnul Schrems să își reformuleze plângerea ținând seama de declararea nevalidității Deciziei privind sfera de siguranță.

46.

În acest scop, domnul Schrems a solicitat Facebook Ireland să identifice temeiurile juridice pe care se întemeiază transferurile de date cu caracter personal ale utilizatorilor rețelei sociale Facebook din Uniune către Statele Unite. Fără a identifica toate temeiurile juridice pe care aceasta se întemeiază, Facebook Ireland a făcut referire la un acord de transfer și de prelucrare a datelor (data transfer processing agreement) încheiat între ea și Facebook Inc., care se aplică începând cu 20 noiembrie 2015, și a invocat Decizia 2010/87.

47.

În plângerea reformulată, domnul Schrems arată, pe de o parte, că clauzele conținute în acest acord nu sunt conforme cu clauzele contractuale standard care figurează în anexa la Decizia 2010/87. Pe de altă parte, domnul Schrems susține că aceste clauze contractuale standard nu ar putea, în orice caz, constitui temeiul transferului de date cu caracter personal care îl privesc către Statele Unite. Aceasta ar fi situația întrucât legislația americană impune Facebook Inc. să pună datele cu caracter personal ale utilizatorilor la dispoziția autorităților americane, precum NSA și Federal Bureau of Investigation (FBI) (Biroul Federal de Investigații, Statele Unite), în cadrul programelor de supraveghere care ar împiedica exercitarea drepturilor garantate la articolele 7, 8 și 47 din cartă. Domnul Schrems afirmă că nicio cale de atac nu permite persoanelor vizate să își valorifice drepturile la respectarea vieții private și la protecția datelor cu caracter personal. În aceste condiții, domnul Schrems solicită DPC suspendarea transferului respectiv în temeiul articolului 4 din Decizia 2010/87.

48.

Facebook Ireland a recunoscut, în cadrul anchetei DPC, că ea continuă să transfere datele cu caracter personal ale utilizatorilor rețelei sociale Facebook care au reședința în Uniune către Statele Unite și se întemeiază, în acest scop, în mare parte pe clauzele contractuale standard care figurează în anexa la Decizia 2010/87.

49.

Ancheta efectuată de DPC urmărea să stabilească, pe de o parte, dacă Statele Unite asigură o protecție adecvată a datelor cu caracter personal ale cetățenilor Uniunii și, pe de altă parte, în cazul unui răspuns negativ, dacă Deciziile SCC prezintă garanții suficiente în ceea ce privește protecția libertăților și a drepturilor fundamentale ale acestora din urmă.

50.

În această privință, într‑un proiect de decizie (draft decision), DPC a considerat cu titlu provizoriu că dreptul american nu oferă căi de atac eficiente în sensul articolului 47 din cartă cetățenilor Uniunii ale căror date sunt transferate în Statele Unite, unde sunt susceptibile să fie prelucrate de agențiile americane în scopuri de securitate națională în mod incompatibil cu articolele 7 și 8 din cartă. Garanțiile prevăzute de clauzele care figurează în anexa la Deciziile SCC nu ar remedia această deficiență, din moment ce nu sunt obligatorii pentru autoritățile sau agențiile Statelor Unite și conferă persoanelor vizate doar drepturi contractuale împotriva exportatorului și/sau importatorului de date.

51.

În aceste condiții, DPC a apreciat că nu se putea pronunța cu privire la plângerea domnului Schrems, fără ca Curtea să examineze validitatea Deciziilor SCC. Conform celor prevăzute la punctul 65 din Hotărârea Schrems, DPC a inițiat, în consecință, o procedură în fața instanței de trimitere privind sesizarea Curții de către aceasta din urmă, în cazul în care împărtășește îndoielile DPC, cu o trimitere preliminară privind validitatea acestor decizii.

52.

Au fost admise cererile de intervenție formulate de guvernul Statelor Unite, Electronic Privacy Information Centre (EPIC), Business Software Alliance (BSA) și Digitaleurope în fața instanței de trimitere.

53.

Pentru a stabili dacă împărtășește îndoielile exprimate de DPC cu privire la validitatea Deciziilor SCC, High Court (Înalta Curte) a primit dovezile depuse de părțile în litigiu și a ascultat argumentele prezentate de acestea din urmă, precum și de interveniente. În special, dispozițiile dreptului Statelor Unite au făcut obiectul prezentării unor probe de către experți. În dreptul irlandez, se consideră că dreptul străin este un aspect de fapt care trebuie stabilit prin dovezi în același mod în care se stabilește orice alt fapt. Pe baza acestor probe, instanța de trimitere a apreciat dispozițiile dreptului Statelor Unite care autorizează supravegherea de către autoritățile și agențiile guvernamentale, funcționarea a două programe de supraveghere recunoscute public („PRISM” și „Upstream”), diferitele căi de atac oferite particularilor ale căror drepturi au fost încălcate prin măsuri de supraveghere, precum și garanțiile sistemice și mecanismele de control. Această instanță a consemnat rezultatele aprecierii respective într‑o hotărâre din 3 octombrie 2017, anexată la ordonanța sa de trimitere [denumită în continuare „hotărârea High Court (Înalta Curte) din 3 octombrie 2017”].

54.

În această hotărâre, instanța de trimitere a făcut referire, printre temeiurile juridice care permit interceptarea comunicațiilor străine de către serviciile de informații americane, la articolul 702 din Foreign Intelligence Surveillance Act (FISA) (Legea privind Supravegherea Activităților Străine de Spionaj) și la Executive Order 12333 (Decretul prezidențial nr. 12333, denumit în continuare „EO 12333”).

55.

Conform constatărilor efectuate în hotărârea respectivă, articolul 702 din FISA permite Attorney General (procurorul general, Statele Unite) și Director of National Intelligence (DNI) (directorul serviciilor naționale de informații, Statele Unite) să autorizeze de comun acord, pentru o perioadă de un an, pentru a dobândi informații operative străine, supravegherea persoanelor care nu sunt cetățeni americani și care nu au reședința permanentă în Statele Unite (așa numite „persoane care nu sunt cetățeni americani”) atunci când este rezonabil să se creadă că ele se află în afara teritoriului Statelor Unite ( 14 ). Potrivit FISA, noțiunea de „informații externe” desemnează informațiile referitoare la capacitatea guvernului de a se proteja împotriva atacurilor străine, la terorism, la proliferarea armelor de distrugere în masă, precum și la desfășurarea afacerilor externe ale Statelor Unite ( 15 ).

56.

Aceste autorizații anuale, precum și procedurile care guvernează monitorizarea persoanelor care urmează să fie supravegheate și prelucrarea („reducerea la minimum”) a informațiilor colectate ( 16 ), trebuie să fie aprobate de Foreign Intelligence Surveillance Court (FISC) (Curtea de Supraveghere a Activităților Străine de Spionaj, Statele Unite). În timp ce supravegherea „tradițională” efectuată în temeiul altor dispoziții ale FISA impune stabilirea unei „cauze probabile” care să permită să se suspecteze că persoanele supravegheate aparțin unei puteri străine sau sunt agenți ai acesteia, activitățile de supraveghere desfășurate în temeiul articolului 702 din FISA nu sunt subordonate nici stabilirii unei asemenea „cauze probabile”, nici aprobării de către FISC a monitorizării anumitor persoane. În plus, tot potrivit constatărilor instanței de trimitere, procedurile de reducere la minimum nu se aplică persoanelor care nu sunt cetățeni americani situate în afara Statelor Unite.

57.

În practică, odată cu acordarea autorizației de FISC, NSA trimite furnizorilor de servicii de comunicații electronice cu sediul în Statele Unite directive care conțin criteriile de căutare, denumite „selectoare”, asociate persoanelor vizate (cum ar fi numere de telefon sau adrese de e‑mail). Furnizorii respectivi sunt în acest caz obligați să transmită datele care corespund selectoarelor către NSA și trebuie să păstreze secretul cu privire la directivele care le sunt adresate. Aceștia pot introduce la FISC o cerere prin care să solicite modificarea sau înlăturarea unei directive a NSA. Decizia FISC poate face obiectul unui apel la Foreign Intelligence Surveillance Court of Review (FISCR) (Curtea de Supraveghere a Activităților Străine de Spionaj însărcinată cu reexaminarea deciziilor în materie, Statele Unite).

58.

High Court (Înalta Curte) a constatat că articolul 702 din FISA constituie temeiul juridic pentru programele PRISM și Upstream.

59.

În cadrul programului PRISM, furnizorii de servicii de comunicații electronice sunt obligați să prezinte NSA toate comunicațiile „de la” sau „către” selectorul comunicat de aceasta din urmă. O parte dintre comunicațiile respective ar fi transmise FBI și Central Intelligence Agency (CIA) (Agenția Centrală de Informații, Statele Unite). În anul 2015, 94386 de persoane ar fi fost supravegheate și, în anul 2011, guvernul Statelor Unite ar fi obținut peste 250 de milioane de comunicații în cadrul acestui program.

60.

Programul Upstream are la bază asistența obligatorie oferită întreprinderilor care exploatează „coloana vertebrală” – și anume rețeaua de cabluri, comutatoarele și ruterele – prin care tranzitează comunicațiile telefonice și comunicațiile Internet. Aceste întreprinderi sunt obligate să permită NSA să copieze și să filtreze fluxurile de trafic de internet pentru a dobândi comunicații „de la”, „către” sau „cu privire la” un selector menționat într‑o directivă a acestei agenții. Comunicațiile „cu privire la” un selector le desemnează pe cele care fac referire la selectorul respectiv, fără ca persoana care nu este cetățean american asociată respectivului selector să participe în mod necesar la acestea. Deși dintr‑un aviz al FISC din 26 aprilie 2017 rezultă că, de la această dată, guvernul american nu mai colectează și nu mai dobândește comunicații „cu privire la” un selector, acest aviz nu indică faptul că NSA ar fi încetat să mai copieze și să filtreze fluxurile de comunicații care tranzitează dispozitivul său de supraveghere. Programul Upstream ar implica astfel accesul NSA atât la metadate, cât și la conținutul comunicațiilor. Începând cu anul 2011, NSA ar fi colectat aproximativ 26,5 milioane de comunicații pe an în cadrul programului Upstream, ceea ce ar reprezenta însă doar o mică parte din comunicațiile supuse procesului de filtrare efectuat în temeiul acestui program.

61.

Pe de altă parte, potrivit constatărilor efectuate de High Court (Înalta Curte), EO 12333 permite supravegherea comunicațiilor electronice în afara teritoriului Statelor Unite, permițând accesul, în scopuri legate de informații externe, la date care fie „se află în tranzit” către acest teritoriu, fie „tranzitează” acest teritoriu fără a fi destinate să fie supuse unei prelucrări în statul respectiv, precum și colectarea și păstrarea acestor date. EO 12333 definește noțiunea de „informații externe” ca incluzând informațiile referitoare la capacitățile, intențiile sau activitățile guvernelor străine, ale organizațiilor străine sau ale persoanelor străine ( 17 ).

62.

EO 12333 ar abilita NSA să aibă acces la cablurile submarine situate pe fundul Oceanului Atlantic prin intermediul cărora datele sunt transferate din Uniune către Statele Unite, înainte ca aceste date să ajungă în Statele Unite și să fie astfel supuse dispozițiilor FISA. Nu există totuși nicio dovadă cu privire la un anumit program pus în aplicare în temeiul acestui decret prezidențial.

63.

Deși EO 12333 prevede limite privind colectarea, păstrarea și diseminarea de informații, aceste limite nu se aplică persoanelor care nu sunt cetățeni americani. Acestea din urmă beneficiază numai de garanțiile prevăzute de Presidential Policy Directiva 28 (Directiva strategică prezidențială nr. 28, denumită în continuare „PPD 28”), care se aplică tuturor activităților de colectare și de utilizare a informațiilor operative străine pe baza semnalelor electromagnetice. PPD 28 prevede că respectarea vieții private face parte integrantă din considerațiile care trebuie luate în considerare la planificarea acestor activități, colectarea trebuie să aibă ca scop unic dobândirea de informații operative străine, precum și de contrainformații, iar activitățile respective trebuie să fie „cât mai adaptate posibil”.

64.

Potrivit instanței de trimitere, activitățile NSA întemeiate pe EO 12333, care poate fi modificat sau revocat în orice moment de Președintele Statelor Unite, nu sunt reglementate de lege, nu fac obiectul unei supravegheri judiciare și nu sunt supuse căilor de atac jurisdicționale.

65.

Pe baza acestor constatări, instanța menționată consideră că Statele Unite efectuează prelucrări masive și nediscriminatorii ale datelor cu caracter personal care ar putea expune persoanele vizate unui risc de încălcare a drepturilor pe care le au în temeiul articolelor 7 și 8 din cartă.

66.

În plus, instanța respectivă precizează că cetățenii Uniunii nu au acces la aceleași căi de atac jurisdicționale împotriva prelucrărilor nelegale ale datelor lor cu caracter personal de către autoritățile americane ca și resortisanții americani. Al patrulea amendament al Constituției Statelor Unite, care ar constitui protecția cea mai importantă împotriva supravegherii ilegale, nu s‑ar aplica cetățenilor Uniunii care nu au o legătură voluntară semnificativă cu Statele Unite. În cazul în care aceștia din urmă ar dispune totuși de alte căi de atac, ei s‑ar confrunta cu obstacole importante.

67.

În special, articolul III din Constituția Statelor Unite condiționează orice acțiune introdusă la instanțele federale de dovedirea de către persoana în cauză a calității sale procesuale active (standing). Calitatea procesuală activă presupune, printre altele, ca această persoană să demonstreze că a suferit un prejudiciu real care să fie, pe de o parte, concret și specific, și, pe de altă parte, actual sau iminent. Referindu‑se, între altele, la Hotărârea Supreme Court of the United States (Curtea Supremă a Statelor Unite), Clapper v. Amnesty International US ( 18 ), instanța de trimitere consideră că această condiție este, în practică, excesiv de dificil de îndeplinit, având în vedere în special lipsa oricărei obligații de informare a persoanelor vizate cu privire la măsurile de supraveghere luate împotriva lor ( 19 ). O parte din căile de atac puse la dispoziția cetățenilor Uniunii ar fi, în plus, supusă respectării altor condiții restrictive, precum necesitatea de a dovedi un prejudiciu pecuniar. Imunitatea suverană recunoscută agențiilor de informații și clasificarea informațiilor în cauză ar împiedica de asemenea exercitarea anumitor căi de atac ( 20 ).

68.

În plus, High Court (Înalta Curte) menționează diverse mecanisme de control și de supraveghere a activităților agențiilor de informații.

69.

Printre acestea figurează, pe de o parte, mecanismul de certificare anuală de către FISC a programelor întemeiate pe articolul 702 din FISA, în cadrul căruia FISC nu aprobă totuși selectoarele individuale. Pe de altă parte, niciun control judiciar prealabil nu reglementează colectarea de informații operative străine în temeiul EO 12333.

70.

Pe de altă parte, instanța de trimitere se referă la mai multe mecanisme de supraveghere extrajudiciară a activităților de informare. Aceasta menționează în special rolul Inspectors General (inspectori generali, Statele Unite), care, în cadrul fiecărei agenții de informații, sunt însărcinați cu supervizarea activităților de supraveghere. În plus, Privacy and Civil Liberties Oversight Board (PCLOB) (Consiliul de supraveghere a vieții private și a libertăților civile, Statele Unite), o agenție independentă în cadrul puterii executive, primește rapoartele persoanelor desemnate în cadrul fiecărei agenții în calitate de agenți pentru libertățile civile sau pentru viața privată (civil liberties or privacy officers). PCLOB întocmește în mod regulat rapoarte pentru comisiile parlamentare și pentru Președinte. Agențiile respective trebuie să supună în special atenției DNI incidentele referitoare la nerespectarea normelor și a procedurilor privind colectarea de informații externe. De asemenea, aceste incidente sunt raportate FISC. Congresul Statelor Unite, prin intermediul comisiilor pentru informații ale Camerei și Senatului, este de asemenea învestit cu responsabilitatea controlării activităților privind informațiile externe.

71.

Cu toate acestea, High Court (Înalta Curte) subliniază diferența fundamentală dintre, pe de o parte, normele care urmăresc să asigure ca datele să fie obținute în mod legal și ca, după ce au fost obținute, să nu fie utilizate în mod abuziv și, pe de altă parte, căile de atac disponibile atunci când aceste norme sunt încălcate. Protecția drepturilor fundamentale ale persoanelor vizate ar fi asigurată numai în cazul în care căile de atac efective le permit să își valorifice drepturile în cazul nerespectării normelor respective.

72.

În aceste condiții, instanța de trimitere consideră fondate argumentele invocate de DPC, potrivit cărora limitările impuse de dreptul american dreptului la o cale de atac al persoanelor ale căror date sunt transferate din Uniune nu respectă substanța dreptului garantat la articolul 47 din cartă și, în orice caz, constituie ingerințe disproporționate în exercitarea acestui drept.

73.

Potrivit High Court (Înalta Curte), introducerea de către guvernul Statelor Unite a mecanismului de tip Ombudsman descris în Decizia privind Scutul de confidențialitate nu repune în discuție această apreciere. După ce a subliniat că mecanismul respectiv este accesibil cetățenilor Uniunii care consideră în mod rezonabil că datele lor au fost transferate în conformitate cu Deciziile SCC ( 21 ), această instanță a observat că Ombudsmanul nu constituie o instanță care îndeplinește cerințele articolului 47 din cartă și, în special, nu este independent față de puterea executivă ( 22 ). De asemenea, instanța respectivă are îndoieli că intervenția Ombudsmanului, ale cărui decizii nu pot face obiectul unui control jurisdicțional, reprezintă o cale de atac efectivă. Astfel, această intervenție nu permite persoanelor ale căror date personale au fost colectate, prelucrate sau partajate în mod nelegal să obțină o despăgubire sau un ordin de încetare a actelor ilegale, din moment ce Ombudsmanul nu confirmă și nici nu infirmă că un reclamant a făcut obiectul unei măsuri de supraveghere electronică.

74.

Expunându‑și astfel preocupările cu privire la echivalența substanțială dintre garanțiile prevăzute de dreptul american și cerințele care decurg din articolele 7, 8 și 47 din cartă, instanța de trimitere a adresat întrebări cu privire la aspectul dacă clauzele contractuale standard prevăzute în Deciziile SCC – care, prin natura lor, nu sunt obligatorii pentru autoritățile americane – sunt totuși susceptibile să asigure protecția drepturilor fundamentale ale persoanelor vizate. Instanța respectivă a concluzionat că împărtășește îndoielile DPC cu privire la validitatea deciziilor menționate.

75.

În acest sens, instanța de trimitere consideră în special că articolul 28 alineatul (3) din Directiva 95/46, la care face trimitere articolul 4 din Decizia 2010/87, întrucât recunoaște autorităților de supraveghere competența de a suspenda sau de a interzice transferurile pe baza clauzelor contractuale standard prevăzute de această decizie, nu este suficient pentru a înlătura aceste îndoieli. Pe lângă faptul că, în opinia sa, această competență nu are decât o natură discreționară, instanța de trimitere ridică, în lumina considerentului (11) al Deciziei 2010/87, problema posibilității de a o exercita atunci când deficiențele constatate nu privesc un caz particular și excepțional, ci au un caracter general și sistemic ( 23 ). De asemenea, aceasta apreciază că riscul pronunțării unor decizii divergente în diferite state membre s‑ar putea opune încredințării constatării unor asemenea deficiențe autorităților de supraveghere.

76.

În aceste condiții, High Court (Înalte Curte) a hotărât, prin decizia din 4 mai 2018 ( 24 ), primită de Curte la 9 mai 2018, să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1)

În cazul în care datele cu caracter personal sunt transferate de o societate privată dintr‑un stat membru al [Uniunii] către o societate privată dintr‑o țară terță în scop comercial, în conformitate cu [Decizia 2010/87], și pot fi prelucrate ulterior în țara terță de către autoritățile acesteia în scopuri de securitate națională, dar și în scopul aplicării legii și al desfășurării afacerilor externe ale țării terțe, dreptul Uniunii [inclusiv carta], se aplică în cazul transferului de date sub rezerva dispozițiilor articolului 4 alineatul (2) TUE privind securitatea națională și a dispozițiilor articolului 3 alineatul (2) prima liniuță din [Directiva 95/46] în ceea ce privește siguranța publică, apărarea și securitatea statului?

2)

a)

Pentru a se stabili dacă există o încălcare a drepturilor unei persoane fizice prin transferul de date din [Uniune] către o țară terță în temeiul Deciziei [2010/87], unde pot fi prelucrate ulterior în scopuri de securitate națională, elementul de comparație relevant în sensul [Directivei 95/46] este:

i)

carta, TUE, TFUE, [Directiva 95/46], [Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale, semnată la Roma la 4 noiembrie 1950 (denumită în continuare «CEDO»)] (sau orice alte prevederi ale dreptului [Uniunii]); sau

ii)

dreptul intern al unuia sau al mai multor state membre?

b)

Dacă elementul de comparație relevant este ii), printre elementele de comparație trebuie incluse și practicile din unul sau mai multe state membre în contextul securității naționale?

3)

Pentru a se aprecia dacă o țară terță asigură nivelul de protecție impus de dreptul Uniunii Europene pentru datele cu caracter personal transferate către respectiva țară în sensul articolului 26 din [Directiva 95/46], nivelul de protecție în țara terță trebuie să fie evaluat în raport cu:

a)

normele aplicabile în țara terță, rezultate din dreptul său intern sau din acordurile internaționale și practica menită să asigure conformitatea cu aceste norme, inclusiv normele profesionale și măsurile de securitate respectate în țara terță;

sau

b)

normele menționate la punctul (a), împreună cu practicile administrative, de reglementare și de conformitate și cu garanțiile, procedurile, protocoalele, mecanismele de supraveghere și căile de atac extrajudiciare așa cum sunt în vigoare în țara terță?

4)

Având în vedere faptele constatate de High Court în legătură cu dreptul Statelor Unite, se încalcă drepturile persoanelor fizice prevăzute la articolul 7 sau 8 din cartă în cazul în care se transferă date cu caracter personal din [Uniune] către Statele Unite în temeiul Deciziei [2010/87]?

5)

Având în vedere faptele constatate de High Court în legătură cu dreptul Statelor Unite, dacă datele cu caracter personal sunt transferate din [Uniune] către Statele Unite în temeiul Deciziei [2010/87]:

a)

nivelul de protecție acordat de Statele Unite respectă esența dreptului unei persoane fizice de a introduce o acțiune în justiție în cazul încălcării drepturilor sale în materie de confidențialitatea datelor garantat prin articolul 47 din cartă?

În cazul unui răspuns afirmativ la punctul (a),

b)

limitările impuse de dreptul Statelor Unite cu privire la dreptul unei persoane fizice de a introduce o acțiune în justiție în contextul securității naționale a Statelor Unite sunt proporționale în sensul articolului 52 din cartă și nu depășesc ceea ce este necesar într‑o societate democratică în scopuri de securitate națională?

6)

a)

Care este nivelul de protecție care se impune să fie acordat datelor cu caracter personal transferate către o țară terță în temeiul clauzelor contractuale standard adoptate în conformitate cu o decizie a Comisiei întemeiată pe articolul 26 alineatul (4)[din această directivă] în lumina prevederilor [Directivei 95/46] și, în special, în temeiul articolelor 25 și 26 [din aceasta] interpretate din perspectiva cartei?

b)

Care sunt aspectele care trebuie luate în considerare pentru a se aprecia dacă nivelul de protecție acordat datelor transferate către o țară terță în temeiul Deciziei [2010/87] satisface cerințele [Directivei 95/46] și ale cartei?

7)

Faptul că respectivele clauze contractuale standard se aplică între exportatorul de date și importatorul de date și nu obligă autoritățile naționale ale unei țări terțe care pot solicita importatorului de date să pună la dispoziția serviciilor sale de securitate, pentru prelucrare ulterioară, datele cu caracter personal transferate în temeiul clauzelor prevăzute de Decizia [2010/87] exclude ca aceste clauze să ofere garanții suficiente, astfel cum sunt prevăzute la articolul 26 alineatul (2) din [Directiva 95/46]?

8)

Dacă un importator de date dintr‑o țară terță face obiectul unor norme de supraveghere care, din punctul de vedere al [autorității de supraveghere] sunt contrare prevederilor [clauzelor contractuale standard] sau celor ale articolului 25 sau ale articolului 26 din [Directiva 95/46] și/sau cartei, [autoritatea de supraveghere] are obligația de a utiliza competențele sale executorii în temeiul articolului 28 alineatul (3) din [Directiva 95/46] pentru a suspenda transferul de date sau exercitarea unor astfel de competențe este limitată doar la cazuri excepționale, în lumina considerentului (11) al [Deciziei 2010/87], ori [autoritatea de supraveghere] poate face uz de marja sa de apreciere pentru a nu suspenda transferul de date?

9)

a)

În sensul articolului 25 alineatul (6) din [Directiva 95/46], Decizia [privind Scutul de confidențialitate] constituie o constatare de aplicare generală obligatorie pentru [autoritățile de supraveghere] și pentru instanțele statelor membre, având ca efect că Statele Unite asigură un nivel adecvat de protecție potrivit articolului 25 alineatul (2) din [Directiva 95/46] în temeiul dreptului lor intern sau al acordurilor internaționale din care fac parte?

b)

În cazul unui răspuns negativ, care este relevanța, dacă există una, Deciziei privind Scutul de confidențialitate pentru aprecierea efectuată cu privire la caracterul adecvat al garanțiilor furnizate pentru transferul de date către Statele Unite, transferate în temeiul Deciziei [2010/87]?

10)

Date fiind constatările High Court cu privire la dreptul Statelor Unite, existența Ombudsmanului pentru Scutul de confidențialitate în temeiul [Anexei III A] la Decizia privind Scutul de confidențialitate coroborată cu regimul existent în Statele Unite garantează că Statele Unite asigură o cale de atac persoanelor vizate ale căror date cu caracter personal sunt transferate către Statele Unite în temeiul Deciziei [2010/87], care este compatibilă cu articolul 47 din cartă?

11)

Decizia [2010/87] încalcă articolele 7, 8 și/sau 47 din cartă?”

77.

DPC, Facebook Ireland, domnul Schrems, guvernul Statelor Unite, EPIC, BSA, Digitaleurope, Irlanda, guvernele belgian, ceh, german, neerlandez, austriac, polonez, portughez și al Regatului Unit, Parlamentul European, precum și Comisia au depus observații scrise în fața Curții. DPC, Facebook Ireland, domnul Schrems, guvernul Statelor Unite, EPIC, BSA, Digitaleurope, Irlanda, guvernele german, francez, neerlandez, austriac și al Regatului Unit, Parlamentul, Comisia, precum și Comitetul european pentru protecția datelor (European Data Protection Board, EDPB) au fost reprezentate la ședința de audiere a pledoariilor din 9 iulie 2019.

IV. Analiză

A. Considerații introductive

78.

În urma declarării nevalidității Deciziei privind sfera de siguranță de către Curte în Hotărârea Schrems, transferurile de date cu caracter personal către Statele Unite au continuat pe baza altor temeiuri juridice. În special, societățile exportatoare de date au putut recurge la contracte cu importatorii de date care includ clauze standard elaborate de Comisie. Aceste clauze constituie de asemenea temeiul juridic pentru transferurile către mai multe alte țări terțe în legătură cu care Comisia nu a adoptat o decizie privind caracterul adecvat al nivelului de protecție ( 25 ). Decizia privind Scutul de confidențialitate permite în prezent întreprinderilor care și‑au autocertificat adeziunea la principiile enunțate în aceasta transferarea datelor cu caracter personal către Statele Unite, fără alte formalități.

79.

Astfel cum precizează în mod expres decizia de trimitere și după cum au subliniat BSA, Digitaleurope, Irlanda, guvernele austriac și francez, Parlamentul, precum și Comisia, litigiul principal, pendinte în fața High Court (Înalta Curte), are drept miză unică să stabilească dacă decizia prin care Comisia a instituit clauzele contractuale standard invocate în susținerea transferurilor vizate în plângerea domnului Schrems, și anume Decizia 2010/87 ( 26 ), este validă.

80.

Acest litigiu își are originea într‑o plângere prin care DPC a solicitat instanței de trimitere să adreseze Curții o întrebare preliminară referitoare la validitatea Deciziei 2010/87. Potrivit acestei instanțe, litigiul principal privește, astfel, exercitarea căii de atac a cărei instituire a fost impusă de Curte statelor membre la punctul 65 din Hotărârea Schrems.

81.

Amintim că, la punctul 63 din această hotărâre, Curtea a statuat că o autoritate de supraveghere este obligată să examineze cu toată diligența necesară o plângere în cadrul căreia o persoană ale cărei date cu caracter personal au fost sau ar putea să fie transferate către o țară terță care a făcut obiectul unei decizii privind caracterul adecvat al nivelului de protecție, contestă compatibilitatea acestei decizii cu drepturile fundamentale consacrate de cartă. Potrivit punctului 65 din hotărârea menționată, în ipoteza în care această autoritate consideră întemeiate motivele invocate în plângerea respectivă, ea trebuie, conform articolului 28 alineatul (3) primul paragraf a treia liniuță din Directiva 95/46 [căruia îi corespunde articolul 58 alineatul (5) din RGPD], interpretat în lumina articolului 8 alineatul (3) din cartă, să aibă competența de a acționa în justiție. În această privință, legiuitorul național trebuie să stabilească căi de atac care să îi permită să invoce aceste motive în fața instanțelor naționale, astfel încât acestea din urmă să efectueze, dacă împărtășesc îndoielile autorității menționate, o trimitere preliminară privind validitatea deciziei în cauză.

82.

Asemenea instanței de trimitere, apreciem că aceste concluzii se aplică prin analogie atunci când, cu ocazia examinării unei plângeri formulate în fața sa, o autoritate de supraveghere are îndoieli nu cu privire la validitatea unei decizii privind caracterul adecvat al nivelului de protecție, ci a unei decizii, precum Decizia 2010/87, care prevede clauze contractuale standard pentru transferul de date personale către țări terțe. Contrar celor susținute de guvernul german, nu este relevant că aceste îndoieli corespund motivelor supuse atenției sale de reclamant sau că această autoritate pune în discuție din proprie inițiativă validitatea deciziei în cauză. Astfel, cerințele care rezultă din articolul 58 alineatul (5) din RGPD și din articolul 8 alineatul (3) din cartă, pe care se întemeiază motivarea Curții, se aplică indiferent de temeiul juridic al transferului avut în vedere în plângerea depusă la autoritatea de supraveghere și de motivele care au determinat această autoritate să aibă îndoieli cu privire la validitatea deciziei în cauză în cadrul examinării plângerii respective.

83.

În aceste condiții, dacă DPC a adresat instanței de trimitere rugămintea de a solicita Curții să se pronunțe cu privire la validitatea Deciziei 2010/87, aceasta se datorează faptului că o clarificare a Curții cu privire la acest subiect îi pare necesară pentru examinarea plângerii prin care domnul Schrems îi solicită să își exercite competența cu care era învestit în temeiul articolului 28 alineatul (3) a doua liniuță din Directiva 95/46 – conferită în prezent de articolul 58 alineatul (2) litera (f) din RGPD – de suspendare a transferului de date personale care îl privesc de Facebook Ireland către Facebook Inc..

84.

Astfel, în timp ce litigiul principal privește numai validitatea in abstracto a Deciziei 2010/87, procedura subiacentă în curs în fața DPC vizează exercitarea de către acesta din urmă a competenței sale de a adopta măsuri corective într‑un caz specific. Vom propune Curții să se limiteze la examinarea întrebărilor adresate în măsura necesară pentru a se pronunța cu privire la validitatea Deciziei 2010/87, din moment ce o asemenea examinare va fi suficientă pentru a permite instanței de trimitere să soluționeze litigiul aflat pe rolul său ( 27 ).

85.

Înainte de a aprecia validitatea acestei decizii, trebuie să se înlăture anumite obiecții ridicate împotriva admisibilității cererii de decizie preliminară.

B. Cu privire la admisibilitatea trimiterii preliminare

86.

Admisibilitatea cererii de decizie preliminară a fost contestată pentru diferite motive care privesc în esență inaplicabilitatea ratione temporis a Directivei 95/46, avută în vedere în întrebările preliminare (secțiunea 1), faptul că procedura în fața DPC nu ar fi atins un stadiu suficient de avansat pentru a justifica utilitatea acestei cereri (secțiunea 2) și existența unor incertitudini legate de situația de fapt descrisă de instanța de trimitere (secțiunea 3).

87.

Vom răspunde la aceste cauze de inadmisibilitate ținând seama de prezumția de pertinență de care beneficiază întrebările adresate Curții în temeiul articolului 267 TFUE. Potrivit unei jurisprudențe constante, Curtea poate refuza să se pronunțe asupra unei cereri de decizie preliminară numai dacă este evident că interpretarea solicitată a dreptului Uniunii nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când problema este de natură ipotetică sau atunci când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util la întrebările care i‑au fost adresate ( 28 ).

1.   Cu privire la aplicabilitatea ratione temporis a Directivei 95/46

88.

Facebook Ireland invocă inadmisibilitatea întrebărilor preliminare pentru motivul că ele fac trimitere la Directiva 95/46, deși această directivă a fost abrogată și înlocuită prin RGPD de la 25 mai 2018 ( 29 ).

89.

Împărtășim punctul de vedere potrivit căruia validitatea Deciziei 2010/87 trebuie examinată din perspectiva dispozițiilor din RGPD.

90.

În conformitate cu articolul 94 alineatul (2) din acest regulament, „[t]rimiterile la directiva abrogată se interpretează ca trimiteri la […] regulament[ul respectiv]”. Rezultă din aceasta, în opinia noastră, că Decizia 2010/87, întrucât menționează ca temei juridic articolul 26 alineatul (4) din Directiva 95/46, trebuie interpretată ca referindu‑se la articolul 46 alineatul (2) litera (c) din RGPD, care reia în esență conținutul acestuia ( 30 ). În consecință, deciziile de punere în aplicare adoptate de Comisie în temeiul articolului 26 alineatul (4) din Directiva 95/46, înainte de intrarea în vigoare a RGPD, trebuie interpretate în lumina acestui regulament. Tot din perspectiva regulamentului menționat, trebuie evaluată, dacă este cazul, și validitatea lor.

91.

Această concluzie nu este repusă în discuție de jurisprudența potrivit căreia legalitatea unui act al Uniunii trebuie apreciată în funcție de elementele de fapt și de drept existente la data adoptării actului respectiv. Astfel, această jurisprudență privește examinarea validității unui act al Uniunii din perspectiva împrejurărilor de fapt relevante în momentul adoptării sale ( 31 ) sau a normelor de procedură care guvernează adoptarea acestuia ( 32 ). În schimb, Curtea a examinat în mod repetat validitatea unor acte de drept derivat din perspectiva unor norme materiale de rang superior intrate în vigoare după adoptarea acestor acte ( 33 ).

92.

Totuși, desemnarea în textul întrebărilor preliminare a unui act care nu mai este aplicabil ratione temporis, chiar dacă justifică reformularea întrebărilor respective, nu poate conduce la inadmisibilitatea acestora ( 34 ). Astfel cum au arătat DPC și domnul Schrems, trimiterile la Directiva 95/46 din textul întrebărilor preliminare se pot explica, de altfel, din perspectiva calendarului procedural al prezentei cauze, aceste întrebări fiind adresate Curții înainte de intrarea în vigoare a RGPD.

93.

În orice caz, dispozițiile din RGPD care vor fi abordate în scopul examinării întrebărilor preliminare – și anume, în special, articolele 45, 46 și 58 din acesta – reiau în esență, dezvoltându‑l în același timp, cu anumite nuanțe, conținutul articolelor 25, 26 și 28 din Directiva 95/46. În ceea ce privește aspectele lor relevante în vederea pronunțării asupra validității Deciziei 2010/87, nu vedem niciun motiv să atribuim acestor dispoziții din RGPD un domeniu de aplicare distinct de cel al dispozițiilor corespunzătoare din Directiva 95/46 ( 35 ).

2.   Cu privire la caracterul provizoriu al îndoielilor exprimate de DPC

94.

Potrivit guvernului german, cererea de decizie preliminară este inadmisibilă pentru motivul că procedura căilor de atac, evocată la punctul 65 din Hotărârea Schrems, presupune ca autoritatea de supraveghere să își fi format o opinie definitivă în ceea ce privește temeinicia motivelor invocate de reclamant împotriva validității deciziei în cauză. Această situație nu s‑ar regăsi în speță în măsura în care DPC și‑a exprimat îndoielile cu privire la validitatea Deciziei 2010/87, pe care domnul Schrems nu o contestă de altfel, într‑un proiect de decizie adoptat cu titlu provizoriu fără a aduce atingere eventualei depuneri a unor observații suplimentare din partea Facebook Ireland și a domnului Schrems.

95.

În opinia noastră, caracterul provizoriu al îndoielilor exprimate de DPC nu are niciun impact asupra admisibilității trimiterii preliminare. Astfel, criteriile de admisibilitate a unei întrebări preliminare trebuie apreciate în raport cu obiectul litigiului, astfel cum a fost definit de instanța de trimitere ( 36 ). Or, este cert că acesta privește validitatea Deciziei 2010/87. Potrivit deciziei de trimitere și hotărârii anexate la aceasta, instanța respectivă a apreciat că îndoielile exprimate de DPC – fără să prezinte importanță dacă acestea au fost exprimate cu titlu provizoriu sau definitiv – sunt întemeiate și, în consecință, a solicitat Curții să se pronunțe cu privire la validitatea deciziei respective. În aceste condiții, clarificarea de către Curte a acestui aspect este, fără nicio îndoială, pertinentă pentru a‑i permite să soluționeze litigiul cu care este sesizată.

3.   Cu privire la incertitudinile legate de definirea situației de fapt

96.

Guvernul Regatului Unit susține că situația de fapt descrisă de instanța de trimitere prezintă mai multe lacune care compromit admisibilitatea întrebărilor preliminare. Această instanță nu ar fi clarificat dacă datele cu caracter personal care îl privesc pe domnul Schrems au fost transferate efectiv către Statele Unite, nici, în cazul unui răspuns afirmativ, dacă acestea au fost colectate de autoritățile americane. Nici temeiul juridic al acestor transferuri eventuale nu ar fi fost identificat cu certitudine, decizia de trimitere limitându‑se la a menționa că datele utilizatorilor europeni ai rețelei sociale Facebook sunt transferate „în mare parte” pe baza clauzelor contractuale standard prevăzute de Decizia 2010/87. În orice caz, nu s‑ar fi stabilit că contractul dintre Facebook Ireland și Facebook Inc., invocat în susținerea transferului în litigiu, include în mod fidel aceste clauze. Guvernul german contestă de asemenea admisibilitatea trimiterii preliminare pentru motivul că instanța de trimitere nu a examinat dacă domnul Schrems și‑a dat consimțământul ferm la transferurile în discuție, caz în care acestea ar fi fost în mod valabil întemeiate pe articolul 26 alineatul (1) din Directiva 95/46 [al cărui conținut este reluat în esență la articolul 49 alineatul (1) litera (a) din RGPD].

97.

Aceste argumente nu repun în niciun fel în discuție pertinența trimiterii preliminare în raport cu obiectul litigiului principal. Întrucât acest litigiu își are originea în exercitarea de către DPC a căii de atac prevăzute la punctul 65 din Hotărârea Schrems, însuși obiectul său constă în obținerea din partea instanței naționale a unei trimiteri preliminare privind validitatea Deciziei 2010/87. Guvernele german și al Regatului Unit contestă, în realitate, necesitatea întrebărilor preliminare nu pentru a stabili dacă această decizie este validă, ci mai degrabă pentru a oferi DPC posibilitatea de a se pronunța in concreto cu privire la plângerea formulată de domnul Schrems.

98.

În orice caz, chiar și din perspectiva acestei proceduri subiacente litigiului principal, întrebările preliminare privind validitatea Deciziei 2010/87 nu ne par lipsite de pertinență. Astfel, instanța de trimitere a stabilit că Facebook Ireland a continuat să transfere datele utilizatorilor săi în Statele Unite după declararea nevalidității Deciziei privind sfera de siguranță și că aceste transferuri sunt întemeiate, cel puțin în parte, pe Decizia 2010/87. În plus, deși poate fi avantajos ca ansamblul faptelor pertinente să fie stabilite înainte ca ea să își exercite competența în temeiul articolului 267 TFUE, numai instanța de trimitere are competența să aprecieze în ce stadiu al procedurii are nevoie de o decizie preliminară a Curții ( 37 ).

99.

Ținând seama de toate considerațiile care precedă, apreciem că cererea de decizie preliminară este admisibilă.

C. Cu privire la aplicabilitatea dreptului Uniunii în cazul transferurilor în scopuri comerciale de date cu caracter personal către un stat terț susceptibil să le prelucreze în scopuri de securitate națională (prima întrebare)

100.

Prin intermediul primei întrebări, instanța de trimitere urmărește să afle dacă dreptul Uniunii se aplică unui transfer de date cu caracter personal efectuat de o societate situată într‑un stat membru către o societate stabilită într‑o țară terță, pentru motive comerciale, atunci când, după inițierea transferului, datele sunt susceptibile să fie prelucrate de autoritățile publice din această țară terță în scopuri care includ protecția securității naționale.

101.

Implicațiile acestei întrebări pentru soluționarea litigiului principal constau în faptul că, în cazul în care un asemenea transfer ar fi în afara domeniului de aplicare al dreptului Uniunii, toate obiecțiile ridicate împotriva validității Deciziei 2010/87 în prezenta cauză ar fi lipsite de temei.

102.

Astfel cum a observat instanța de trimitere, prelucrările de date personale care au ca obiect securitatea națională erau excluse din domeniul de aplicare al Directivei 95/46 în temeiul articolului 3 alineatul (2) din această directivă. Articolul 2 alineatul (2) din RGPD precizează în prezent că regulamentul menționat nu se aplică, printre altele, prelucrării datelor în cadrul unei activități care nu intră sub incidența dreptului Uniunii sau de către autoritățile competente în scopul protecției securității publice. Aceste dispoziții reflectă rezerva de competență pe care articolul 4 alineatul (2) TUE o recunoaște statelor membre în domeniul protecției securității naționale.

103.

DPC, domnul Schrems, Irlanda, guvernele german, austriac, belgian, ceh, neerlandez, polonez și portughez, precum și Parlamentul și Comisia arată că transferuri precum cele vizate în plângerea domnului Schrems nu sunt acoperite de aceste dispoziții și, prin urmare, intră în domeniul de aplicare al dreptului Uniunii. Facebook Ireland susține teza contrară. Ne alăturăm punctului de vedere al celor dintâi.

104.

În această privință, trebuie subliniat că transferul de date cu caracter personal dintr‑un stat membru către o țară terță constituie, ca atare, o „prelucrare” în sensul articolului 4 punctul 2 din RGPD, efectuată pe teritoriul unui stat membru ( 38 ). Prima întrebare preliminară are ca obiect tocmai să stabilească dacă dreptul Uniunii se aplică prelucrării pe care o constituie transferul însuși. Această întrebare nu privește aplicabilitatea dreptului Uniunii în cazul eventualelor prelucrări ulterioare, de către autoritățile americane în scopuri de securitate națională, ale datelor transferate către Statele Unite, care nu intră în domeniul de aplicare teritorial al RGPD ( 39 ).

105.

Din această perspectivă, trebuie luată în considerare, pentru a se stabili dacă dreptul Uniunii se aplică transferului de date în cauză, numai activitatea în cadrul căreia se înscrie acest transfer, indiferent de obiectul eventualelor prelucrări ulterioare la care vor fi supuse datele transferate din partea autorităților publice din țara terță de destinație ( 40 ).

106.

Or, din decizia de trimitere reiese că transferul vizat în plângerea domnului Schrems face parte dintr‑o activitate comercială. De altfel, acest transfer nu are loc în scopul de a permite prelucrarea ulterioară a datelor în cauză de către autoritățile americane în scopuri de securitate națională.

107.

De altfel, abordarea propusă de Facebook Ireland ar lipsi de efect util dispozițiile din RGPD referitoare la transferurile către țări terțe, din moment ce nu se poate exclude niciodată că datele transferate în cadrul unei activități comerciale vor fi prelucrate în scopuri de securitate națională după transfer.

108.

Interpretarea pe care o preconizăm este confirmată de modul de redactare a articolului 45 alineatul (2) litera (a) din RGPD. Această dispoziție prevede că atunci când adoptă o decizie privind caracterul adecvat al nivelului de protecție, Comisia ține seama în special de legislația țării terțe vizate în materie de securitate națională. Se poate deduce de aici că posibilitatea ca datele să fie supuse, din partea autorităților din țara terță de destinație, unei prelucrări care are ca obiect protecția securității naționale nu determină inaplicabilitatea dreptului Uniunii în cazul prelucrării pe care o constituie transferul de date către această țară terță.

109.

Raționamentul și concluziile adoptate de Curte în Hotărârea Schrems se întemeiază de asemenea pe această premisă. În special, Curtea a examinat în această hotărâre validitatea Deciziei privind sfera de siguranță, în măsura în care privea transferurile de date cu caracter personal către Statele Unite unde puteau fi colectate și prelucrate în scopul protecției securității naționale, în raport cu articolul 25 alineatul (6) din Directiva 95/46, interpretat în lumina cartei ( 41 ).

110.

Având în vedere aceste considerații, apreciem că dreptul Uniunii se aplică în cazul unui transfer de date personale dintr‑un stat membru către o țară terță atunci când acest transfer se înscrie în cadrul unei activități comerciale, indiferent dacă datele transferate riscă să fie supuse unor prelucrări din partea autorităților publice din această țară terță prin care se urmărește protejarea securității naționale a acestei țări.

D. Cu privire la nivelul de protecție impus în cadrul unui transfer întemeiat pe clauze contractuale standard (prima parte a celei de a șasea întrebări)

111.

Potrivit primei părți a celei de a șasea întrebări, instanța de trimitere urmărește să afle care este nivelul de protecție a drepturilor fundamentale ale persoanelor vizate care trebuie asigurat pentru ca datele cu caracter personal să poată fi transferate către o țară terță în temeiul clauzelor contractuale standard prevăzute în Decizia 2010/87.

112.

Această instanță subliniază că, în Hotărârea Schrems, Curtea a interpretat articolul 25 alineatul (6) din Directiva 95/46 [al cărui conținut este reluat în esență la articolul 45 alineatul (3) din RGPD], în măsura în care prevedea că Comisia poate adopta o decizie privind nivelul adecvat de protecție numai după ce s‑a asigurat că țara terță în cauză garantează un nivel de protecție adecvat, ca presupunând ca aceasta să stabilească faptul că țara respectivă asigură un nivel de protecție a drepturilor și libertăților fundamentale în esență echivalent cu cel garantat în cadrul Uniunii în temeiul directivei menționate, interpretată în lumina cartei ( 42 ).

113.

În acest context, prima parte a celei de a șasea întrebări preliminare invită Curtea să stabilească dacă aplicarea „clauzelor contractuale standard” adoptate de Comisie în conformitate cu articolul 26 alineatul (4) din Directiva 95/46 – care corespund „clauze[lor] standard de protecție” menționate în prezent la articolul 46 alineatul (2) litera (c) din RGPD – trebuie să permită atingerea unui nivel de protecție care corespunde aceluiași standard de „echivalență substanțială”.

114.

În această privință, articolul 46 alineatul (1) din RGPD prevede că operatorul poate, în lipsa unei decizii privind caracterul adecvat al nivelului de protecție, transfera date cu caracter personal către o țară terță „numai dacă operatorul sau persoana împuternicită de operator a oferit garanții adecvate și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate” (sublinierea noastră) ( 43 ). Potrivit articolului 46 alineatul (2) litera (c) din RGPD, aceste garanții pot rezulta în special din clauzele standard de protecție elaborate de Comisie.

115.

Asemenea DPC, domnului Schrems și Irlandei, apreciem că „garanțiile adecvate” furnizate de operator la care se referă articolul 46 alineatul (1) din RGPD trebuie să asigure că drepturile persoanelor ale căror date sunt transferate beneficiază, la fel ca în cadrul unui transfer bazat pe o decizie privind caracterul adecvat al nivelului de protecție, de un nivel de protecție în esență echivalent cu cel care rezultă din RGPD, interpretat în lumina cartei.

116.

Această concluzie decurge din obiectivul dispoziției menționate și din instrumentul din care face parte.

117.

Articolele 45 și 46 din RGPD au drept scop să asigure continuitatea nivelului ridicat de protecție a datelor cu caracter personal asigurat de acest regulament atunci când sunt transferate în afara Uniunii. Astfel, articolul 44 din RGPD, intitulat „Principiul general al transferurilor”, deschide capitolul V referitor la transferurile către țări terțe, prevăzând că toate dispozițiile din acest capitol se aplică pentru a se asigura că nivelul de protecție garantat prin RGDP nu este subminat în cazul unui transfer către un stat terț ( 44 ). Această normă urmărește să evite ca standardele de protecție care rezultă din dreptul Uniunii să fie eludate prin transferuri de date cu caracter personal către o țară terță în scopul prelucrării lor în țara respectivă ( 45 ). Având în vedere acest obiectiv, este indiferent dacă transferul se întemeiază pe o decizie privind caracterul adecvat al nivelului de protecție sau pe garanțiile oferite de operator în special prin intermediul clauzelor contractuale. Cerințele de protecție a drepturilor fundamentale garantate de cartă nu sunt diferențiate în funcție de temeiul juridic pe care se întemeiază un anumit transfer ( 46 ).

118.

În schimb, modul în care se menține continuitatea nivelului ridicat de protecție diferă în funcție de temeiul juridic al transferului.

119.

Pe de o parte, o decizie privind caracterul adecvat al nivelului de protecție are ca obiect să constate că țara terță în cauză asigură ea însăși un nivel de protecție în esență echivalent cu cel care trebuie atins în cadrul Uniunii. Adoptarea unei decizii privind caracterul adecvat al nivelului de protecție presupune evaluarea în prealabil de către Comisie, pentru o anumită țară terță, a nivelului de protecție garantat de dreptul și de practicile acestei țări terțe în lumina factorilor prevăzuți la articolul 45 alineatul (3) din RGPD. În acest caz, datele personale pot fi transferate către țara terță respectivă fără ca operatorul să obțină o autorizație specifică.

120.

Pe de altă parte, astfel cum se arată mai în detaliu în secțiunea următoare, garanțiile adecvate oferite de operator urmăresc să asigure un nivel ridicat de protecție în ipoteza unor garanții insuficiente disponibile în țara terță de destinație. Astfel, deși articolul 46 alineatul (1) din RGPD permite ca datele cu caracter personal să fie transferate către țări terțe care nu asigură un nivel de protecție adecvat, această dispoziție permite asemenea transferuri numai atunci când sunt furnizate garanții adecvate prin alte mijloace. Clauzele contractuale standard adoptate de Comisie reprezintă, în această privință, un mecanism general aplicabil transferurilor indiferent de țara terță de destinație și de nivelul de protecție care este asigurat în aceasta.

E. Cu privire la validitatea Deciziei 2010/87 în raport cu articolele 7, 8 și 47 din cartă (a șaptea, a opta și a unsprezecea întrebare)

121.

Prin intermediul celei de a șaptea întrebări, instanța de trimitere solicită în esență să se stabilească dacă Decizia 2010/87 este nevalidă ca urmare a faptului că nu este obligatorie pentru autoritățile statelor terțe către care se transferă date în temeiul clauzelor contractuale standard prevăzute în anexa la această decizie și, în special, că nu le împiedică să impună importatorului să pună aceste date la dispoziția lor. Astfel, această întrebare pune în discuție însăși posibilitatea de a asigura un nivel adecvat de protecție a unor asemenea date prin intermediul unor mecanisme de natură exclusiv contractuală. A unsprezecea întrebare privește mai general validitatea Deciziei 2010/87 în raport cu articolele 7, 8 și 47 din cartă.

122.

Prin intermediul celei de a opta întrebări, Curții i se solicită să stabilească dacă o autoritate de supraveghere este obligată să utilizeze competențele pe care i le conferă articolul 58 alineatul (2) literele (f) și (j) din RGPD pentru a suspenda un transfer către o țară terță întemeiat pe clauzele contractuale standard prevăzute de Decizia 2010/87 atunci când aceasta apreciază că importatorul datelor este supus în această țară unor obligații care îl împiedică să onoreze aceste clauze și au ca efect faptul că nu se asigură o protecție adecvată a datelor transferate. În măsura în care răspunsul la această întrebare are, în opinia noastră, o incidență asupra validității Deciziei 2010/87 ( 47 ), o examinăm împreună cu a șaptea și cu a unsprezecea întrebare.

123.

Modul de redactare a articolului 46 alineatul (1) din RGPD, întrucât prevede că, „[î]n absența unei decizii în temeiul articolului 45 alineatul (3), operatorul sau persoana împuternicită de operator poate transfera date cu caracter personal către o țară terță […] numai dacă operatorul sau persoana împuternicită de operator a oferit garanții adecvate […]” (sublinierea noastră), evidențiază logica din care rezultă mecanismele contractuale precum cel prevăzut în Decizia 2010/87. Astfel cum subliniază considerentele (108) și (114) ale RGPD, aceste mecanisme au ca obiect să permită transferurile către țări terțe pentru care Comisia nu a adoptat o decizie privind caracterul adecvat al nivelului de protecție, o eventuală protecție insuficientă asigurată în ordinea juridică din această țară terță fiind, așadar, compensată de garanții pe care exportatorul și importatorul de date se angajează contractual să le respecte.

124.

Întrucât rațiunea de a fi a garanțiilor contractuale constă tocmai în atenuarea posibilelor lacune în protecția oferită de țările terțe de destinație, oricare ar fi acestea, validitatea unei decizii prin care Comisia constată că anumite clauze standard acoperă în mod adecvat aceste lacune nu poate depinde de nivelul de protecție asigurat în fiecare dintre țările terțe particulare către care ar putea fi transferate datele. Validitatea unei asemenea decizii este tributară solidității garanțiilor pe care le prevăd aceste clauze în vederea compensării eventualei insuficiențe a protecției în țara terță de destinație. Efectivitatea acestor garanții trebuie evaluată ținând seama și de barierele reprezentate de competențele autorităților de supraveghere în temeiul articolului 58 alineatul (2) din RGPD.

125.

În această privință, astfel cum au arătat, în esență, DPC, domnul Schrems, BSA, Irlanda, guvernele austriac, francez, polonez și portughez, precum și Comisia, garanțiile pe care le conțin clauzele contractuale standard pot fi reduse, chiar anulate, atunci când dreptul țării terțe de destinație impune importatorului obligații contrare celor impuse de aceste clauze. Astfel, contextul juridic existent în țara terță de destinație poate, în funcție de împrejurările concrete ale transferului ( 48 ), să facă imposibilă executarea obligațiilor prevăzute de clauzele respective.

126.

În aceste condiții, astfel cum au subliniat domnul Schrems și Comisia, mecanismul contractual prevăzut la articolul 46 alineatul (2) litera (c) din RGPD se întemeiază pe responsabilizarea exportatorului, precum și, cu titlu subsidiar, pe cea a autorităților de supraveghere. De la caz la caz, operatorul sau, în lipsa acestuia, autoritatea de supraveghere, va examina pentru fiecare transfer specific dacă dreptul țării terțe de destinație se opune executării clauzelor standard și, în consecință, unei protecții adecvate a datelor transferate, astfel încât transferurile trebuie să fie interzise sau suspendate.

127.

Având în vedere aceste observații, apreciem că, faptul că Decizia 2010/87 și clauzele contractuale standard pe care le prevede nu sunt obligatorii pentru autoritățile din țara terță de destinație nu determină, ca atare, nevaliditatea acestei decizii. Conformitatea Deciziei 2010/87 cu articolele 7, 8 și 47 din cartă depinde, în opinia noastră, de aspectul dacă există mecanisme suficient de solide care să permită să se asigure că transferurile care au la bază clauzele contractuale standard vor fi suspendate sau interzise în cazul încălcării acestor clauze sau al imposibilității de a le onora.

128.

În această privință, articolul 46 alineatul (1) din RGPD prevede că un transfer care are la bază garanții adecvate poate avea loc numai „cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate”. Va trebui să se verifice dacă garanțiile prevăzute de clauzele care figurează în anexa la Decizia 2010/87, completate de competențele autorităților de supraveghere, permit să se asigure respectarea condiției menționate. În opinia noastră, această situație se regăsește numai în măsura în care există o obligație – care revine operatorilor (secțiunea 1) și, în cazul inacțiunii acestora din urmă, autorităților de supraveghere (secțiunea 2) – de a suspenda sau de a interzice un transfer atunci când, dată fiind existența unui conflict între obligațiile care rezultă din clauzele standard și cele impuse de dreptul țării terțe de destinație, aceste clauze nu pot fi respectate.

1.   Cu privire la obligațiile care revin operatorilor

129.

În primul rând, clauzele contractuale standard care figurează în anexa la Decizia 2010/87 impun ca, în caz de conflict între obligațiile pe care le prevăd și cerințele care decurg din dreptul țării terțe de destinație, aceste clauze să nu fie invocate în susținerea unui transfer către această țară terță sau, în cazul în care transferul a fost deja inițiat pe baza clauzelor respective, exportatorul să fie informat cu privire la acest conflict și să poată suspenda respectivul transfer.

130.

Astfel, în temeiul clauzei 5 litera (a), importatorul se angajează să prelucreze datele cu caracter personal transferate exclusiv în numele exportatorului de date și în conformitate cu instrucțiunile acestuia și cu clauzele contractuale standard. În cazul în care nu poate garanta conformitatea cu aceste clauze, importatorul este de acord să informeze fără întârziere exportatorul, caz în care acesta are dreptul să suspende transferul și/sau să rezilieze contractul ( 49 ).

131.

Nota de subsol 5 aferentă clauzei 5 precizează că clauzele standard nu sunt încălcate atunci când importatorul respectă cerințele imperative ale legislației naționale aplicabile în țara terță, în măsura în care aceste cerințe nu depășesc ceea ce este necesar într‑o societate democratică pentru a proteja unul dintre interesele prevăzute la articolul 13 alineatul (1) din Directiva 95/46 [al cărui conținut este reluat în esență la articolul 23 alineatul (1) din RGPD], printre care figurează siguranța publică și securitatea statului. Invers, nerespectarea acestor clauze pentru a se conforma unei obligații contradictorii întemeiate pe dreptul țării terțe de destinație, care depășește ceea ce este proporțional cu apărarea unui interes legitim recunoscut de Uniune, este considerată o încălcare a clauzelor respective.

132.

În opinia noastră, astfel cum au arătat domnul Schrems și Comisia, clauza 5 litera (a) nu poate fi interpretată în sensul că implică faptul că suspendarea transferului sau rezilierea contractului este doar opțională atunci când importatorul nu este în măsură să respecte clauzele standard. Deși această clauză nu evocă decât un drept în acest sens în favoarea exportatorului, un astfel de text trebuie înțeles în raport cu cadrul contractual în care se înscrie. Faptul că exportatorul are dreptul, în relațiile sale bilaterale cu importatorul, să suspende transferul sau să rezilieze contractul atunci când acesta din urmă se află în incapacitatea de a onora clauzele standard nu aduce atingere obligației care revine exportatorului de a proceda astfel în raport cu cerințele de protecție a drepturilor persoanelor vizate care decurg din RGPD. Orice altă interpretare ar determina nevaliditatea Deciziei 2010/87 întrucât clauzele contractuale standard pe care aceasta le prevede nu ar permite ca transferul să fie însoțit de „garanții adecvate”, după cum impune articolul 46 alineatul (1) din RGPD, interpretat în lumina dispozițiilor cartei ( 50 ).

133.

În plus, potrivit clauzei 5 litera (b), importatorul certifică faptul că nu are niciun motiv să creadă că legislația care i se aplică îl împiedică să îndeplinească instrucțiunile primite de la exportator și obligațiile ce îi revin în temeiul contractului. În cazul unei modificări în legislația respectivă, susceptibilă să aibă efecte negative asupra garanțiilor și obligațiilor prevăzute de clauzele standard, va notifica fără întârziere modificarea exportatorului, caz în care exportatorul de date are dreptul să suspende transferul de date și/sau să rezilieze contractul. În conformitate cu clauza 4 litera (g), exportatorul trebuie să transmită orice notificare primită de la importator către autoritatea de supraveghere competentă, în cazul în care exportatorul decide să continue transferul.

134.

Considerăm necesar să facem aici câteva precizări referitoare la conținutul examinării pe care trebuie să o efectueze părțile la contract pentru a stabili, în raport cu nota de subsol aferentă clauzei 5, dacă obligațiile pe care dreptul statului terț le impune importatorului determină o încălcare a clauzelor standard și, în consecință, împiedică posibilitatea ca transferul să fie însoțit de garanții adecvate. Această problematică a fost ridicată în esență în cadrul celei de a doua părți a celei de a șasea întrebări preliminare.

135.

O asemenea examinare implică, în opinia noastră, luarea în considerare a tuturor împrejurărilor care caracterizează fiecare transfer, printre care se pot număra natura datelor și eventualul lor caracter sensibil, mecanismele puse în aplicare de exportator și/sau de importator pentru a asigura securitatea acestora ( 51 ), natura și finalitatea prelucrărilor de către autoritățile publice din țara terță la care vor fi supuse datele, modalitățile acestor prelucrări, precum și limitările și garanțiile asigurate de această țară terță. Elementele care caracterizează activitățile de prelucrare de către autoritățile publice și garanțiile aplicabile în ordinea juridică a țării terțe respective pot coincide, în opinia noastră, cu cele prevăzute la articolul 45 alineatul (2) din RGPD.

136.

În al doilea rând, clauzele contractuale standard prevăzute în anexa la Decizia 2010/87 instituie în favoarea persoanelor vizate drepturi opozabile, precum și căi de atac împotriva exportatorului și, în subsidiar, împotriva importatorului.

137.

Astfel, clauza 3, intitulată „Clauza terțului beneficiar”, prevede la alineatul (1) un drept la o cale de atac al persoanei vizate împotriva exportatorului, în special în cazul încălcării clauzei 5 litera (a) sau litera (b). În conformitate cu clauza 3 alineatul (2), atunci când exportatorul de date a dispărut în fapt sau și‑a încetat existența de drept, persoana vizată poate invoca această clauză contra importatorului.

138.

Clauza 6 alineatul (1) acordă oricărei persoane vizate care a suferit un prejudiciu în urma încălcării obligațiilor prevăzute de clauza 3 dreptul de a primi despăgubiri din partea exportatorului pentru prejudiciul suferit. În temeiul clauzei 7 alineatul (1), importatorul este de acord ca, în cazul în care persoana vizată invocă împotriva sa drepturile terțului beneficiar și/sau cere despăgubiri pentru prejudiciile suferite, importatorul va accepta decizia persoanei vizate fie de a prezenta litigiul în vederea medierii, de către o persoană independentă sau, după caz, de către autoritatea de supraveghere, fie de a sesiza instanțele din statul membru în care este stabilit exportatorul.

139.

Pe lângă căile de atac de care dispun în temeiul clauzelor contractuale standard prevăzute în anexa la Decizia 2010/87, persoanele vizate pot, atunci când apreciază că aceste clauze au fost încălcate, să solicite autorităților de supraveghere adoptarea unor măsuri corective în temeiul articolului 58 alineatul (2) din RGPD, la care face trimitere articolul 4 din Decizia 2010/87 ( 52 ).

2.   Cu privire la obligațiile care revin autorităților de supraveghere

140.

Următoarele motive ne determină să considerăm, asemenea domnului Schrems, Irlandei, guvernelor german, austriac, belgian, neerlandez și portughez, precum și EDPB, că articolul 58 alineatul (2) din RGPD obligă autoritățile de supraveghere, atunci când acestea apreciază, la finalul unei examinări diligente, că datele transferate către o țară terță nu beneficiază de o protecție adecvată ca urmare a nerespectării clauzelor contractuale convenite, să ia măsurile adecvate pentru a remedia această nelegalitate, dacă este necesar dispunând suspendarea transferului.

141.

În primul rând, observăm că, contrar celor susținute de DPC, nicio dispoziție din Decizia 2010/87 nu limitează la cazuri excepționale exercitarea competențelor „de a impune o limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrării” și „de a dispune suspendarea fluxurilor de date către un destinatar dintr‑o țară terță”, pe care autoritățile de supraveghere le au în temeiul articolului 58 alineatul (2) literele (f) și (j) din RGPD.

142.

Versiunea inițială a articolului 4 din Decizia 2010/87 delimita, desigur, la alineatul (1) exercitarea de către autoritățile de supraveghere a competențelor lor de suspendare sau de interzicere a fluxului transfrontalier de date la anumite ipoteze în care s‑a stabilit că transferul pe bază de contract era susceptibil să aibă efecte negative asupra garanțiilor destinate să protejeze persoana vizată. Totuși, articolul 4 din această decizie, astfel cum a fost modificată de Comisie în 2016 pentru a se conforma Hotărârii Schrems ( 53 ), se limitează în prezent la a face referire la aceste competențe, fără a le restrânge în niciun fel. În orice caz, o decizie de punere în aplicare a Comisiei, precum Decizia 2010/87, nu poate restrânge în mod valabil competențele conferite autorităților de supraveghere în temeiul RGPD însuși ( 54 ).

143.

Această concluzie nu este repusă în discuție de considerentul (11) al Deciziei 2010/87, care enunță că competențele de suspendare și de interzicere a transferurilor pot fi exercitate de autoritățile de supraveghere numai în „cazuri excepționale”. Acest considerent, prezent deja în versiunea inițială a deciziei menționate, se raporta la fostul articol 4 alineatul (1) din decizia respectivă, care limita competențele autorităților de supraveghere. Cu ocazia revizuirii Deciziei 2010/87 prin Decizia 2016/2297, Comisia a omis să retragă sau să modifice considerentul respectiv pentru a adapta conținutul acestuia la prevederile noului articol 4. Considerentul (5) al Deciziei 2016/2297 a reafirmat însă competența autorităților de supraveghere de a suspenda sau de a interzice orice transfer pe care îl consideră contrar dreptului Uniunii, în special ca urmare a nerespectării de către importator a clauzelor contractuale standard. Considerentul (11) al Deciziei 2010/87, în măsura în care contrazice în prezent atât modul de redactare, cât și obiectivul unei dispoziții obligatorii din punct de vedere juridic din aceasta, trebuie să fie calificat drept caduc ( 55 ).

144.

În al doilea rând, contrar celor susținute tot de DPC, exercitarea competențelor de suspendare și de interdicție prevăzute la articolul 58 alineatul (2) literele (f) și (j) din RGPD nu constituie nici o simplă posibilitate lăsată la aprecierea autorităților de supraveghere. Această concluzie decurge, în opinia noastră, dintr‑o interpretare a articolului 58 alineatul (2) din RGPD în lumina altor dispoziții ale acestui regulament și ale cartei, precum și din economia generală și din obiectivele Deciziei 2010/87.

145.

În special, articolul 58 alineatul (2) din RGPD trebuie interpretat în lumina articolului 8 alineatul (3) din cartă și a articolului 16 alineatul (2) TFUE. În conformitate cu aceste dispoziții, respectarea cerințelor pe care le implică dreptul fundamental la protecția datelor cu caracter personal este supusă controlului unor autorități independente. Această misiune de supraveghere a respectării cerințelor referitoare la protecția datelor cu caracter personal, menționată de asemenea la articolul 57 alineatul (1) litera (a) din RGPD, implică o obligație a autorităților de supraveghere de a acționa astfel încât să asigure aplicarea corectă a acestui regulament.

146.

Astfel, o autoritate de supraveghere trebuie să examineze cu toată diligența necesară plângerea introdusă de o persoană fizică ale cărei date se pretinde că sunt transferate către un stat terț cu încălcarea clauzelor contractuale standard aplicabile transferului ( 56 ). Articolul 58 alineatul (1) din RGPD atribuie în acest scop autorităților de supraveghere competențe de investigare importante ( 57 ).

147.

Autoritatea de supraveghere competentă este de asemenea obligată să reacționeze în mod adecvat la eventualele încălcări ale drepturilor persoanei vizate pe care le‑ar fi constatat ca urmare a investigației. În această privință, fiecare autoritate de supraveghere are la dispoziție, în temeiul articolului 58 alineatul (2) din RGPD, o gamă largă de mijloace – diferitele competențe corective enumerate în această dispoziție – pentru a‑și îndeplini sarcina care i‑a fost atribuită ( 58 ).

148.

Deși alegerea celui mai eficient mijloc ține de aprecierea autorității de supraveghere competente având în vedere toate împrejurările în care are loc transferul în cauză, aceasta este obligată să își îndeplinească pe deplin misiunea de supraveghere care i‑a fost încredințată. Dacă este cazul, această autoritate trebuie să suspende transferul în cazul în care concluzionează că acele clauze contractuale standard nu sunt respectate și că o protecție adecvată a datelor transferate nu poate fi asigurată prin alte mijloace, în cazul în care exportatorul nu a încetat el însuși transferul.

149.

Această interpretare este confirmată de articolul 58 alineatul (4) din RGPD, care prevede că exercitarea competențelor conferite autorității de supraveghere în temeiul acestui articol face obiectul unor garanții adecvate, inclusiv căi de atac judiciare eficiente în conformitate cu articolul 47 din cartă. Pe de altă parte, articolul 78 alineatele (1) și (2) din RGPD recunoaște dreptul oricărei persoane de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează sau atunci când această autoritate omite să trateze plângerea sa ( 59 ).

150.

Aceste dispoziții implică, astfel cum susțin în esență domnul Schrems, BSA, Irlanda, guvernele polonez și al Regatului Unit, precum și Comisia, că o decizie prin care o autoritate de supraveghere se abține să interzică sau să suspende un transfer către o țară terță, la cererea unei persoane care invocă un risc ca datele care o privesc să fie prelucrate cu încălcarea drepturilor sale fundamentale, poate face obiectul unei căi de atac jurisdicționale. Or, recunoașterea unui drept la o cale de atac jurisdicțională presupune existența unei competențe nediscreționare, iar nu pur discreționară, a autorităților de supraveghere. În plus, domnul Schrems și Comisia au subliniat în mod întemeiat că exercitarea unui control jurisdicțional efectiv presupune ca autoritatea emitentă a actului contestat să îl motiveze în mod corespunzător ( 60 ). Această obligație de motivare se extinde, în opinia noastră, la alegerea efectuată de autoritățile de supraveghere de a utiliza oricare dintre competențele conferite lor de articolul 58 alineatul (2) din RGPD.

151.

Totuși, este necesar și să se răspundă la argumentele prin care DPC susține că deși autoritățile de supraveghere ar fi obligate să suspende sau să interzică un transfer atunci când protecția drepturilor persoanei vizate impune acest lucru, validitatea Deciziei 2010/87 nu ar fi totuși asigurată.

152.

Primo, DPC consideră că o asemenea obligație nu ar remedia problemele sistemice referitoare la lipsa unor garanții adecvate într‑o țară terță cum ar fi Statele Unite. Astfel, competențele autorităților de supraveghere pot fi exercitate numai de la caz la caz, chiar dacă lacunele care caracterizează dreptul american ar avea o natură generală și structurală. Din aceasta ar rezulta un risc de adoptare de către diferite autorități de supraveghere a unor decizii divergente privind transferuri comparabile.

153.

Nu putem ignora, cu privire la acest subiect, dificultățile practice legate de alegerea legislativă de a atribui autorităților de supraveghere responsabilitatea de a asigura respectarea drepturilor fundamentale ale persoanelor vizate în cadrul unor transferuri specifice sau al unui flux către un anumit destinatar. Aceste dificultăți nu ne par totuși să determine nevaliditatea Deciziei 2010/87.

154.

Astfel, dreptul Uniunii nu impune, în opinia noastră, să se aplice o soluție generală și preventivă pentru toate transferurile către o anumită țară terță susceptibile să determine aceleași riscuri de încălcare a drepturilor fundamentale.

155.

În plus, riscul unei fragmentări a abordărilor urmate de diferitele autorități de supraveghere este inerent arhitecturii de supraveghere descentralizată urmărită de legiuitor ( 61 ). De altfel, astfel cum a subliniat guvernul german, capitolul VII din RGPD, intitulat „Cooperare și coerență”, instituie mecanisme pentru evitarea acestui risc. Articolul 60 din regulamentul menționat prevede, în cazul unei prelucrări transfrontaliere de date, o procedură de cooperare între autoritățile de supraveghere vizate și autoritatea de supraveghere de la sediul operatorului, denumită „autoritate de supraveghere principală” ( 62 ). În caz de opinii divergente, dezacordul trebuie să fie soluționat de EDPB ( 63 ). Acesta din urmă este de asemenea competent să emită, la solicitarea unei autorități de supraveghere, avize cu privire la orice aspect al cărui interes se extinde la mai multe state membre ( 64 ).

156.

Secundo, DPC invocă nevaliditatea Deciziei 2010/87 în raport cu articolul 47 din cartă pentru motivul că autoritățile de supraveghere pot proteja drepturile persoanelor vizate numai pentru viitor, fără a oferi o soluție celor ale căror date au fost deja transferate. În special, DPC subliniază că articolul 58 alineatul (2) din RGPD nu prevede un drept de acces, de rectificare și de ștergere a datelor colectate de autoritățile publice din țara terță și nici posibilitatea de despăgubire a persoanelor vizate pentru prejudiciile suferite.

157.

În ceea ce privește pretinsa lipsă a unui drept de acces, de rectificare și de ștergere a datelor colectate, trebuie să se constate că atunci când nu există nicio cale de atac eficientă în țara terță de destinație, căile de atac prevăzute în cadrul Uniunii împotriva operatorului nu permit să se obțină, din partea autorităților publice din această țară terță, accesul la datele respective sau rectificarea ori ștergerea lor.

158.

În opinia noastră, această obiecție nu justifică însă incompatibilitatea Deciziei 2010/87 cu articolul 47 din cartă. Astfel, validitatea acestei decizii nu depinde de nivelul de protecție existent în fiecare țară terță către care ar putea fi transferate datele în temeiul clauzelor contractuale standard pe care le enunță. În cazul în care dreptul statului terț de destinație îl împiedică pe importator să respecte aceste clauze, impunându‑i să acorde autorităților publice un acces la date care nu este însoțit de posibilitatea unor căi de atac adecvate, autorităților de supraveghere le revine, în cazul în care exportatorul nu a suspendat transferul în temeiul clauzei 5 litera (a) sau (b), care figurează în anexa la Decizia 2010/87, obligația de a adopta măsuri corective.

159.

Pe de altă parte, astfel cum a subliniat domnul Schrems, persoanele ale căror drepturi au fost încălcate beneficiază în prezent, în temeiul articolului 82 din RGPD, de dreptul de a obține repararea prejudiciului material sau moral suferit ca urmare a unei încălcări a acestui regulament de la operator sau de la persoana împuternicită de operator ( 65 ).

160.

Astfel cum reiese din toate aceste considerații, analiza noastră nu a evidențiat niciun element de natură să afecteze validitatea Deciziei 2010/87 în raport cu articolele 7, 8 și 47 din cartă.

F. Cu privire la lipsa necesității de a răspunde la celelalte întrebări preliminare și de a examina validitatea Deciziei privind Scutul de confidențialitate

161.

În prezenta secțiune, expunem motivele care privesc în principal limitarea obiectului litigiului principal la validitatea Deciziei 2010/87, pentru care apreciem că nu este necesar să se răspundă la a doua‑a cincea, precum și la a noua și la a zecea întrebare preliminară și nici ca instanța să se pronunțe cu privire la validitatea Deciziei privind Scutul de confidențialitate.

162.

A doua întrebare preliminară se referă la identificarea standardelor de protecție pe care trebuie să le respecte o țară terță pentru ca datele să poată fi transferate în mod legal în țara respectivă în temeiul clauzelor contractuale standard atunci când aceste date, după transfer, pot fi prelucrate în scopuri de securitate națională de către autoritățile țării terțe respective. A treia întrebare adresată Curții privește determinarea elementelor care caracterizează regimul de protecție aplicabil în statul terț de destinație care trebuie luate în considerare pentru a se verifica dacă îndeplinește aceste standarde.

163.

Prin intermediul celei de a patra, celei de a cincea și celei de a zecea întrebări, instanța de trimitere urmărește să afle în esență dacă, având în vedere faptele pe care le‑a stabilit cu privire la dreptul Statelor Unite, în această țară sunt prevăzute garanții adecvate împotriva ingerințelor din partea autorităților de informații americane în exercitarea drepturilor fundamentale la respectarea vieții private, la protecția datelor cu caracter personal și la protecția jurisdicțională efectivă.

164.

Cea de a noua întrebare preliminară privește efectele pe care le produce, în cadrul examinării prin care o autoritate de supraveghere verifică dacă un transfer către Statele Unite întemeiat pe clauzele contractuale standard prevăzute în Decizia 2010/87 este însoțit de garanții adecvate, împrejurarea potrivit căreia, în Decizia privind Scutul de confidențialitate, Comisia a constatat că Statele Unite oferă un nivel de protecție adecvat drepturilor fundamentale ale persoanelor vizate împotriva unor asemenea ingerințe.

165.

În ceea ce privește problema validității Deciziei privind Scutul de confidențialitate, aceasta nu a fost formulată în mod explicit de instanța de trimitere – deși, astfel cum s‑a explicat mai jos ( 66 ), a patra, a cincea și a zecea întrebare preliminară pun în mod indirect la îndoială temeinicia constatării privind caracterul adecvat al nivelului de protecție pe care a făcut‑o Comisia în această decizie.

166.

În opinia noastră, având în vedere elementele care reies din analiza care precedă, clarificările Curții cu privire la aceste întrebări nu ar putea afecta concluzia sa referitoare la validitatea in abstracto a Deciziei 2010/87 și, așadar, nu ar putea influența nici soluționarea litigiului principal (secțiunea 1). Pe de altă parte, deși răspunsurile Curții la întrebările menționate s‑ar putea dovedi utile pentru DPC într‑o etapă ulterioară în scopul de a stabili, în cadrul procedurii subiacente acestui litigiu, dacă transferurile în cauză trebuie, in concreto, să fie suspendate ca urmare a pretinsei lipse a unor garanții adecvate, ar fi, în opinia noastră, prematur să le soluționăm în cadrul prezentei cauze (secțiunea 2).

1.   Cu privire la lipsa necesității răspunsurilor Curții în raport cu obiectul litigiului principal

167.

Amintim că litigiul principal rezultă din exercitarea de către DPC a căii de atac descrise la punctul 65 din Hotărârea Schrems, potrivit căruia fiecare stat membru trebuie să permită unei autorități de supraveghere, atunci când apreciază ca fiind necesar în vederea examinării unei plângeri cu care este sesizată, să solicite unei instanțe naționale să adreseze Curții o întrebare preliminară referitoare la validitatea unei decizii privind caracterul adecvat al nivelului de protecție – sau, prin analogie, a unei decizii de instituire a unor clauze contractuale standard.

168.

În această privință, High Court (Înalta Curte) a subliniat că dispunea, după ce a fost sesizată de DPC, doar de opțiunile de a introduce trimiterea preliminară privind validitatea Deciziei 2010/87, solicitată de DPC în ipoteza în care ar fi împărtășit îndoielile sale referitoare la validitatea acestei decizii, sau de a refuza accesul la cererea respectivă în ipoteza contrară. Această instanță consideră că, în cazul în care ar fi utilizat această a doua cale, ea ar fi trebuit să respingă acțiunea din moment ce plângerea formulată de DPC nu avea un alt obiect ( 67 ).

169.

Pe aceeași linie, Supreme Court (Curtea Supremă), sesizată cu un apel declarat de Facebook Ireland împotriva deciziei de trimitere, a descris litigiul principal ca fiind o procedură declaratorie prin care DPC a solicitat instanței de trimitere să adreseze Curții o întrebare preliminară privind validitatea Deciziei 2010/87. Potrivit instanței supreme irlandeze, singura problemă substanțială ridicată în fața instanței de trimitere și în fața Curții privește, prin urmare, validitatea acestei decizii ( 68 ).

170.

Având în vedere obiectul litigiului principal astfel delimitat, instanța de trimitere a adresat Curții primele sale zece întrebări în măsura în care considera că examinarea lor ar contribui la aprecierea de ansamblu necesară Curții pentru a se pronunța, în răspunsul la a unsprezecea întrebare, cu privire la validitatea Deciziei 2010/87 în raport cu articolele 7, 8 și 47 din cartă. Această întrebare reprezintă, potrivit deciziei de trimitere, consecința logică a întrebărilor care o precedă.

171.

Din această perspectivă, a doua‑a cincea, precum și a noua și a zecea întrebare sunt, în opinia noastră, susținute de premisa potrivit căreia validitatea Deciziei 2010/87 ar depinde de nivelul de protecție a drepturilor fundamentale prevăzut în fiecare dintre statele terțe în care pot fi transferate datele în temeiul clauzelor contractuale standard pe care aceasta le prevede. Or, astfel cum reiese din analiza noastră cu privire la cea de a șaptea întrebare ( 69 ), premisa amintită este, în opinia noastră, eronată. Examinarea dreptului țării terțe de destinație este relevantă numai atunci când Comisia adoptă o decizie privind caracterul adecvat al nivelului de protecție sau atunci când operatorul – sau, în lipsa acestuia, autoritatea de supraveghere competentă – verifică dacă, în cadrul unui transfer care are la bază garanții adecvate în sensul articolului 46 alineatul (1) din RGPD, obligațiile pe care dreptul acestei țări terțe le impune importatorului nu compromit efectivitatea protecției asigurate prin aceste garanții.

172.

În consecință, răspunsurile Curții la întrebările sus‑menționate nu sunt susceptibile să influențeze concluzia sa privind cea de a unsprezecea întrebare ( 70 ). Astfel, nu este necesar să se răspundă la aceasta din punctul de vedere al obiectului litigiului principal.

173.

Propunem Curții să se limiteze la examinarea prezentei cauze din perspectiva obiectului acestui litigiu. În opinia noastră, Curtea nu ar trebui să depășească ceea ce este necesar pentru soluționarea litigiului respectiv prin examinarea întrebărilor preliminare din punctul de vedere al procedurii subiacente în curs în fața DPC. Astfel cum vom arăta în continuare, această invitație la reținere rezultă, pe de o parte, dintr‑o preocupare de a nu scurtcircuita desfășurarea normală a procedurii care va trebui să continue în fața DPC după ce Curtea se va fi pronunțat cu privire la validitatea Deciziei 2010/87. Pe de altă parte, având în vedere faptele speței, ne‑ar părea oarecum precipitat, chiar din punctul de vedere al implicațiilor acestei proceduri, ca problemele ridicate de a doua‑a cincea, precum și de a noua și de a zecea întrebare să fie examinate de către Curte.

2.   Cu privire la motivele care pledează în defavoarea unei examinări de către Curte în raport cu obiectul procedurii pendinte în fața DPC

174.

În plângerea sa adresată DPC, domnul Schrems solicită acestei autorități de supraveghere să își exercite competențele pe care le are în temeiul articolului 58 alineatul (2) litera (f) din RGPD, dispunând ca Facebook Ireland să suspende transferul către Statele Unite, efectuat în temeiul unor clauze contractuale standard, de date personale care îl privesc. În susținerea cererii respective, domnul Schrems invocă în esență caracterul neadecvat al acestor garanții contractuale în raport cu ingerințele în exercitarea drepturilor sale fundamentale care decurg din activitățile serviciilor de informații americane.

175.

Argumentația domnului Schrems pune în discuție constatarea, efectuată de Comisie în Decizia privind Scutul de confidențialitate, potrivit căreia Statele Unite asigură un nivel de protecție adecvat al datelor transferate în temeiul acestei decizii în raport cu restricțiile aduse accesului la datele respective și utilizării lor de către autoritățile de informații americane, precum și cu protecția juridică oferită persoanelor vizate ( 71 ). Preocupările exprimate de DPC cu titlu provizoriu ( 72 ), precum și de instanța de trimitere în cadrul celei de a patra, celei de a cincea și celei de a zecea întrebări, ridică de asemenea, în mod indirect, îndoieli cu privire la temeinicia acestei constatări.

176.

Cu siguranță, Decizia privind Scutul de confidențialitate se limitează să constate caracterul adecvat al nivelului de protecție a datelor personale transferate, în conformitate cu principiile pe care le enunță, către o întreprindere stabilită în Statele Unite care și‑a autocertificat adeziunea la aceste principii ( 73 ). Totuși, considerațiile care figurează în decizia menționată depășesc contextul transferurilor acoperite de această decizie în măsura în care ele privesc dreptul și practicile în vigoare în țara terță respectivă în legătură cu prelucrarea, în scopuri de protecție a securității naționale, a datelor transferate. Astfel cum au observat în esență Facebook Ireland, domnul Schrems, guvernul Statelor Unite și Comisia, supravegherea exercitată de autoritățile de informații americane, precum și garanțiile împotriva riscurilor de abuz pe care le presupune și mecanismele prin care se urmărește controlarea respectării acestora se aplică indiferent care este, din punctul de vedere al dreptului Uniunii, temeiul juridic invocat în susținerea transferului.

177.

Din această perspectivă, problema dacă constatările efectuate cu privire la acest subiect în Decizia privind Scutul de confidențialitate sunt obligatorii pentru autoritățile de supraveghere atunci când examinează legalitatea unui transfer realizat în temeiul unor clauze contractuale standard s‑ar putea dovedi pertinentă în scopul examinării plângerii formulate de domnul Schrems de către DPC. În cazul unui răspuns afirmativ la această întrebare, s‑ar ridica problema dacă decizia menționată este într‑adevăr validă.

178.

Totuși, nu recomandăm Curții să se pronunțe cu privire la aceste întrebări doar în scopul ajutării DPC să examineze plângerea respectivă, în condițiile în care nici nu este necesar să se răspundă la ele pentru a permite instanței de trimitere să soluționeze litigiul principal. Întrucât procedura prevăzută la articolul 267 TFUE instituie un dialog între instanțe, Curtea nu este chemată să aducă o clarificare exclusiv în scopul unic de a asista o autoritate administrativă în cadrul unei proceduri subiacente acestui litigiu.

179.

Rezerva se impune, în opinia noastră, cu atât mai mult cu cât problema validității Deciziei privind Scutul de confidențialitate nu i‑a fost înaintată în mod expres – având în vedere că, pe de altă parte, această decizie face deja obiectul unei acțiuni în anulare la Tribunalul Uniunii Europene ( 74 ).

180.

În plus, pronunțându‑se asupra problematicilor descrise mai sus, Curtea ar perturba, în opinia noastră, cursul normal al procedurii care trebuie să se deruleze după ce va fi pronunțat hotărârea în prezenta cauză. În cadrul acestei proceduri, va reveni DPC obligația de a examina plângerea domnului Schrems, ținând seama de răspunsul pe care Curtea îl va da la a unsprezecea întrebare preliminară. În cazul în care Curtea ar considera, astfel cum propunem și contrar celor susținute de DPC în fața sa, că Decizia 2010/87 nu este nevalidă în raport cu articolele 7, 8 și 47 din cartă, DPC ar trebui, în opinia noastră, să aibă posibilitatea de a reexamina dosarul procedurii în curs în fața sa. În ipoteza în care DPC ar aprecia că nu este în măsură să se pronunțe cu privire la plângerea formulată de domnul Schrems, fără ca Curtea să stabilească în prealabil dacă Decizia privind Scutul de confidențialitate se opune exercitării competențelor sale de suspendare a transferului în cauză și ar confirma că are îndoieli cu privire la validitatea deciziei menționate, ar fi posibil ca acesta să sesizeze din nou instanțele naționale pentru ca acestea să solicite Curții să se pronunțe în această privință ( 75 ).

181.

În acest caz ar fi inițiată o procedură care să permită oricărei părți și oricărei persoane interesate menționate la articolul 23 al doilea paragraf din Statutul Curții să prezinte Curții observații în special cu privire la validitatea Deciziei privind Scutul de protecție, indicând, după caz, aprecierile specifice pe care le contestă, precum și motivele pentru care apreciază că Comisia și‑a depășit marja de apreciere redusă de care dispunea ( 76 ). În cadrul unei asemenea proceduri, Comisia ar avea oportunitatea de a răspunde cu precizie și în mod detaliat la fiecare dintre criticile eventuale îndreptate împotriva deciziei menționate. Cu toate că prezenta cauză a oferit părților și persoanelor interesate care au prezentat observații în fața Curții ocazia de a dezbate anumite aspecte relevante în vederea evaluării conformității Deciziei privind Scutul de confidențialitate cu articolele 7, 8 și 47 din cartă, această problemă necesită, având în vedere implicațiile sale, să i se consacre un schimb exhaustiv și aprofundat.

182.

În opinia noastră, prudența ne impune să așteptăm ca aceste etape procedurale să fie parcurse înainte ca Curtea să examineze impactul pe care Decizia privind Scutul de confidențialitate îl exercită asupra prelucrării de către o autoritate de supraveghere a unei cereri de suspendare a unui transfer efectuat către Statele Unite în temeiul articolului 46 alineatul (1) din RGPD și să se pronunțe asupra validității acestei decizii.

183.

Acest lucru este valabil cu atât mai mult în măsura în care dosarul prezentat Curții nu permite să se concluzioneze că examinarea de către DPC a plângerii domnului Schrems va depinde în mod necesar de aspectul dacă Decizia privind scutul de confidențialitate se opune exercitării de către autoritățile de supraveghere a competenței lor de a suspenda un transfer întemeiat pe clauze contractuale standard.

184.

În această privință, în primul rând, nu este exclus ca DPC să fie determinat să suspende transferul în cauză pentru alte motive decât cele referitoare la pretinsul caracter neadecvat al nivelului de protecție asigurat în Statele Unite împotriva atingerilor aduse drepturilor fundamentale ale persoanelor vizate care decurg din activitățile serviciilor de informații americane. În special, instanța de trimitere a precizat că domnul Schrems susține, în plângerea sa adresată DPC, că acele clauze contractuale invocate de Facebook Ireland în sprijinul acestui transfer nu le reflectă în mod fidel pe cele prevăzute în anexa la Decizia 2010/87. În plus, domnul Schrems susține că transferul respectiv intră nu în domeniul de aplicare al acestei decizii, ci în cel al celorlalte decizii SCC ( 77 ).

185.

În al doilea rând, DPC și instanța de trimitere au subliniat că Facebook Ireland nu a invocat, în sprijinul transferului avut în vedere în plângerea domnului Schrems, Decizia privind Scutul de confidențialitate ( 78 ), ceea ce această societate a confirmat în ședință. Deși Facebook Inc. și‑a autocertificat adeziunea la principiile Scutului de confidențialitate de la 30 septembrie 2016 ( 79 ), Facebook Ireland afirmă că această adeziune privește doar transferul anumitor categorii de date, și anume cele referitoare la partenerii comerciali ai Facebook Inc. Ni s‑ar părea neoportun ca Curtea să anticipeze întrebările care ar putea apărea cu privire la acest subiect examinând dacă, presupunând că Facebook Ireland nu ar putea invoca Decizia 2010/87 în susținerea transferului în cauză, acest transfer ar fi totuși acoperit de Decizia privind Scutul de confidențialitate, chiar dacă aceasta din urmă nu a invocat argumentul respectiv nici în fața instanței de trimitere, nici în fața DPC.

186.

Concluzionăm de aici că nu este necesar să se răspundă la a doua‑a cincea, precum și la a noua și la a zece întrebare preliminară, nici să se examineze validitatea Deciziei privind Scutul de confidențialitate.

G. Observații subsidiare referitoare la efectele și la validitatea Deciziei privind Scutul de confidențialitate

187.

Deși analiza care precedă ne determină să propunem Curții, cu titlu principal, să se abțină de la a se pronunța cu privire la incidența Deciziei privind Scutul de confidențialitate asupra examinării unei plângeri precum cea formulată de domnul Schrems în fața DPC și asupra validității acestei decizii, este util, în opinia noastră, să dezvoltăm, cu titlu subsidiar și cu rezerve, câteva observații neexhaustive cu privire la acest subiect.

1.   Cu privire la incidența Deciziei privind Scutul de confidențialitate în cadrul examinării de către o autoritate de supraveghere a unei plângeri referitoare la legalitatea unui transfer întemeiat pe garanții contractuale

188.

A noua întrebare preliminară ridică problema dacă constatarea efectuată în Decizia privind Scutul de confidențialitate referitoare la caracterul adecvat, având în vedere limitările aduse accesului la datele transferate și utilizării lor de către autoritățile americane în scopuri de securitate națională, precum și protecția juridică a persoanelor vizate, al nivelului de protecție asigurat în Statele Unite se opune ca o autoritate de supraveghere să suspende un transfer către această țară terță executat în temeiul unor clauze contractuale standard.

189.

În opinia noastră, această problematică trebuie să fie abordată în raport cu punctele 51 și 52 din Hotărârea Schrems, din cuprinsul cărora reiese că o decizie privind caracterul adecvat al nivelului de protecție este obligatorie pentru autoritățile de supraveghere atât timp cât aceasta nu a fost declarată nevalidă. Prin urmare, o autoritate de supraveghere sesizată cu plângerea unei persoane ale cărei date sunt transferate către țara terță vizată de o decizie privind caracterul adecvat al nivelului de protecție nu poate suspenda transferul pentru motivul că nivelul de protecție din această țară este neadecvat, fără ca Curtea să fie declarat în prealabil această decizie nevalidă ( 80 ).

190.

Instanța de trimite urmărește în esență să se stabilească dacă, în ceea ce privește o decizie referitoare la caracterul adecvat al nivelului de protecție – cum ar fi Decizia privind Scutul de protecție sau, anterior acesteia, Decizia privind sfera de siguranță – care se întemeiază pe adeziunea voluntară a întreprinderilor la principiile pe care le prevede, această concluzie este valabilă numai în măsura în care transferul către țara terță în cauză este guvernat de această decizie, sau și în cazul în care se întemeiază pe un temei juridic distinct.

191.

Potrivit domnului Schrems, guvernelor german, neerlandez, polonez și portughez, precum și Comisiei, constatarea caracterului adecvat efectuată în Decizia privind Scutul de confidențialitate nu privează autoritățile de supraveghere de competența lor de a suspenda sau de a interzice un transfer către Statele Unite executat în temeiul unor clauze contractuale standard. Atunci când transferul către Statele Unite nu se întemeiază pe Decizia privind Scutul de confidențialitate, această decizie nu ar fi în mod formal obligatorie pentru autoritățile de supraveghere în cadrul exercitării competențelor pe care li le conferă articolul 58 alineatul (2) din RGPD. Cu alte cuvinte, aceste autorități ar putea să se distanțeze de constatările efectuate de Comisie cu privire la caracterul adecvat al nivelului de protecție împotriva ingerințelor autorităților publice americane în exercitarea drepturilor fundamentale ale persoanelor vizate. Guvernul neerlandez și Comisia precizează că autoritățile de supraveghere trebuie să țină totuși seama de ele atunci când exercită competențele respective. În opinia guvernului german, aceste autorități ar putea efectua aprecieri contrare numai la finalul unei examinări pe fond, care implică investigații relevante, a constatărilor efectuate de Comisie.

192.

În schimb, Facebook Ireland și guvernul Statelor Unite arată în esență că efectul obligatoriu al unei decizii privind caracterul adecvat al nivelului de protecție implică, în lumina cerințelor securității juridice și aplicării uniforme a dreptului Uniunii, că autoritățile de supraveghere nu sunt abilitate să repună în discuție, nici chiar în cadrul examinării unei plângeri care are ca obiect suspendarea transferurilor efectuate către țara terță în cauză pe un alt temei decât această decizie, constatările care figurează în decizia menționată.

193.

Subscriem la prima dintre aceste două abordări. Întrucât domeniul de aplicare al Deciziei privind Scutul de confidențialitate se limitează la transferurile efectuate către o întreprindere autocertificată în temeiul acestei decizii, decizia menționată nu poate obliga în mod formal autoritățile de supraveghere în legătură cu transferurile care nu intră în acest domeniu de aplicare. În mod corelativ, Decizia privind Scutul de confidențialitate urmărește să asigure securitatea juridică exclusiv în beneficiul exportatorilor care transferă date în cadrul pe care îl instituie. În opinia noastră, independența pe care articolul 52 din RGPD o recunoaște autorităților de supraveghere pare să se opună de asemenea ca acestea să fie ținute de constatările efectuate de Comisie într‑o decizie privind caracterul adecvat al nivelului de protecție dincolo de domeniul de aplicare al acesteia.

194.

În mod evident, constatările care figurează în Decizia privind Scutul de confidențialitate referitoare la caracterul adecvat al nivelului de protecție asigurat în Statele Unite împotriva ingerințelor legate de activitățile serviciilor lor de informații constituie punctul de plecare al analizei prin care o autoritate de supraveghere evaluează, de la caz la caz, dacă un transfer întemeiat pe clauze contractuale standard trebuie suspendat din cauza unor asemenea ingerințe. Totuși, în cazul în care aceasta apreciază, la finalul unei investigații detaliate, că nu poate fi de acord cu constatările respective în ceea ce privește transferul adus în atenția sa, autoritatea de supraveghere competentă își păstrează, în opinia noastră, posibilitatea de a exercita competențele pe care i le conferă articolul 58 alineatul (2) literele (f) și (j) din RGPD.

195.

În aceste condiții, în ipoteza în care Curtea ar rezerva problemei aici examinate un răspuns contrar celui pe care îl susținem, ar fi necesar să se examineze dacă aceste competențe nu ar trebui să fie totuși restabilite ca urmare a nevalidității Deciziei privind Scutul de confidențialitate.

2.   Cu privire la validitatea Deciziei privind Scutul de confidențialitate

196.

Observațiile care urmează vor ridica anumite întrebări cu privire la temeinicia aprecierilor care figurează în Decizia privind Scutul de confidențialitate în ceea ce privește caracterul adecvat, în sensul articolului 45 alineatul (1) din RGPD, al nivelului de protecție asigurat de Statele Unite în raport cu activitățile de supraveghere a comunicațiilor electronice desfășurate de autoritățile de informații americane. Aceste observații nu au vocația de a expune o poziție definitivă sau exhaustivă cu privire la validitatea deciziei menționate. Ele se vor limita să furnizeze anumite reflecții care s‑ar putea dovedi utile pentru Curte în ipoteza în care aceasta ar dori, contrar celor preconizate, să se pronunțe cu privire la acest aspect.

197.

În această privință, din considerentul (64) și din cuprinsul punctului I.5 din anexa II la Decizia privind Scutul de confidențialitate reiese că adeziunea întreprinderilor la principiile enunțate în această decizie poate fi limitată, printre altele, de cerințele referitoare la securitatea națională, la interesul public și la respectarea legislației sau de obligații contradictorii care decurg din dreptul american.

198.

Prin urmare, Comisia a evaluat garanțiile prevăzute în dreptul Statelor Unite în ceea ce privește accesul la datele transferate și utilizarea lor de autoritățile publice americane în special în scopuri de securitate națională ( 81 ). Aceasta a obținut din partea guvernului american anumite angajamente cu privire, pe de o parte, la limitările privind accesul și utilizarea de către autoritățile americane a datelor transferate, precum și, pe de altă parte, la protecția juridică oferită persoanelor vizate ( 82 ).

199.

În fața Curții, domnul Schrems invocă nevaliditatea Deciziei privind Scutul de confidențialitate pentru motivul că garanțiile astfel descrise nu sunt suficiente pentru a asigura un nivel adecvat de protecție a drepturilor fundamentale ale persoanelor ale căror date sunt transferate în Statele Unite. DPC, EPIC, precum și guvernele austriac, polonez și portughez, fără a pune în discuție în mod direct validitatea acestei decizii, contestă aprecierile efectuate de Comisie cu privire la caracterul adecvat al nivelului de protecție împotriva ingerințelor care decurg din activitățile serviciilor de informații americane. Aceste îndoieli perpetuează preocupările exprimate de Parlament ( 83 ), de EDPB ( 84 ) și de AEPD ( 85 ).

200.

Înainte de a examina temeinicia constatării caracterului adecvat efectuate în Decizia privind Scutul de confidențialitate, este necesar să se precizeze metodologia care trebuie să orienteze această examinare.

a)   Precizări privind conținutul examinării validității unei decizii privind caracterul adecvat al nivelului de protecție

1) Cu privire la termenii comparației care permite evaluarea „echivalenței substanțiale” a nivelului de protecție

201.

În conformitate cu articolul 45 alineatul (3) din RGPD și cu jurisprudența Curții ( 86 ), Comisia poate constata că o țară terță asigură un nivel de protecție adecvat numai în măsura în care a concluzionat, motivând corespunzător, că nivelul de protecție al drepturilor fundamentale ale persoanelor vizate este „în esență echivalent” cu cel impus în cadrul Uniunii în temeiul acestui regulament interpretat în lumina cartei.

202.

Astfel, verificarea caracterului adecvat al nivelului de protecție asigurat într‑o țară terță implică în mod necesar o comparație între normele și practicile existente în această țară terță, pe de o parte, și standardele de protecție în vigoare în Uniune, pe de altă parte. Prin intermediul celei de a doua întrebări, instanța de trimitere solicită Curții să precizeze termenii acestei comparații ( 87 ).

203.

Mai concret, această instanță urmărește să afle dacă rezerva de competență pe care articolul 4 alineatul (2) TUE și articolul 2 alineatul (2) din RGPD o recunosc statelor membre în domeniul protecției securității naționale presupune că ordinea juridică a Uniunii nu cuprinde standarde de protecție cu care ar trebui comparate, în vederea evaluării caracterului lor adecvat, garanțiile care însoțesc într‑o țară terță prelucrarea de către autoritățile publice a datelor care sunt transferate în țara terță respectivă, în scopul protecției securității naționale. În cazul unui răspuns afirmativ, instanța respectivă dorește să afle modul în care trebuie să fie determinat cadrul de referință relevant.

204.

În această privință, trebuie să se aibă în vedere faptul că rațiunea de a fi a restricțiilor pe care dreptul Uniunii le prevede pentru transferurile internaționale de date cu caracter personal, impunând asigurarea continuității nivelului de protecție a drepturilor persoanelor vizate, urmărește evitarea riscului de eludare a standardelor aplicabile în cadrul Uniunii ( 88 ). Astfel cum a arătat în esență Facebook Ireland, nu ar fi nicidecum justificat, din perspectiva acestui obiectiv, să se aștepte din partea unei țări terțe respectarea unor cerințe care nu corespund unor obligații care revin statelor membre.

205.

Or, conform articolului 51 alineatul (1), carta se aplică statelor membre numai în cazul în care acestea pun în aplicare dreptul Uniunii. În consecință, validitatea unei decizii privind caracterul adecvat al nivelului de protecție în raport cu restricțiile privind exercitarea drepturilor fundamentale ale persoanelor vizate care decurg din reglementarea țării terțe de destinație depinde de o comparație între aceste restricții și cele pe care le‑ar autoriza din partea statelor membre dispozițiile cartei numai în măsura în care o reglementare similară a unui stat membru ar intra în domeniul de aplicare al dreptului Uniunii.

206.

Cu toate acestea, caracterul adecvat al nivelului de protecție asigurat în statul terț de destinație nu poate fi apreciat cu ignorarea eventualelor ingerințe în exercitarea drepturilor fundamentale ale persoanelor vizate care ar rezulta din măsuri de stat, în special în domeniul securității naționale, care, în cazul în care ar fi adoptate de un stat membru, ar fi în afara domeniului de aplicare al dreptului Uniunii. În vederea acestei aprecieri, articolul 45 alineatul (2) litera (a) din RGPD impune luarea în considerare, fără nicio restricție, a reglementărilor în materie de securitate națională în vigoare în acest stat terț.

207.

Evaluarea caracterului adecvat al nivelului de protecție în privința unor asemenea măsuri de stat implică, în opinia noastră, compararea garanțiilor de care sunt însoțite cu nivelul de protecție impus în cadrul Uniunii în temeiul dreptului statelor membre, inclusiv al angajamentelor lor în temeiul CEDO. Întrucât aderarea statelor membre la CEDO le obligă să asigure conformitatea ordinilor lor juridice interne cu dispozițiile acestei convenții și constituie astfel, după cum au subliniat în esență Facebook Ireland, guvernele german și ceh, precum și Comisia, un numitor comun pentru statele membre, vom considera aceste dispoziții ca fiind elementul de comparație pertinent în scopul efectuării evaluării respective.

208.

În speță, astfel cum am evocat mai sus ( 89 ), cerințele referitoare la securitatea națională a Statelor Unite prevalează în raport cu obligațiile întreprinderilor autocertificate în temeiul Deciziei privind Scutul de confidențialitate. Astfel, validitatea acestei decizii depinde de aspectul dacă cerințele respective sunt însoțite de garanții care oferă un nivel de protecție în esență echivalent cu cel care trebuie asigurat în Uniune.

209.

Răspunsul la această întrebare necesită, în prealabil, identificarea standardelor – și anume a celor întemeiate pe cartă sau chiar pe CEDO – cărora ar trebui să le corespundă, în cadrul Uniunii, reglementările în materie de supraveghere a comunicațiilor electronice similare celor pe care Comisia le‑a examinat în Decizia privind Scutul de confidențialitate. Stabilirea standardelor aplicabile depinde de aspectul dacă reglementări precum articolul 702 din FISA și EO 12333 ar intra sau nu, în cazul în care ar proveni de la un stat membru, sub incidența limitării aduse domeniului de aplicare al RGPD în temeiul articolului 2 alineatul (2) din acest regulament, interpretat în lumina articolului 4 alineatul (2) TUE.

210.

În această privință, din modul de redactare a articolului 4 alineatul (2) TUE și din jurisprudența constantă reiese că dreptul Uniunii și, în special, instrumentele de drept derivat privind protecția datelor cu caracter personal nu se aplică activităților în materie de protecție a securității naționale în măsura în care acestea constituie activități proprii statelor sau autorităților statale, străine de domeniile de activitate ale particularilor ( 90 ).

211.

Acest principiu implică, pe de o parte, că o reglementare din domeniul protecției securității naționale nu intră în domeniul de aplicare al dreptului Uniunii atunci când aceasta reglementează numai activități statale, fără a se aplica niciunei activități exercitate de particulari. În consecință, dreptul respectiv nu se aplică, în opinia noastră, unor măsuri naționale privind colectarea și utilizarea de date personale puse în aplicare în mod direct de stat în scopul protecției securității naționale, fără a impune obligații specifice operatorilor privați. În special, astfel cum a arătat Comisia în ședință, o măsură adoptată de un stat membru care, asemenea EO 12333, ar permite accesul direct al serviciilor sale de securitate la datele în tranzit, ar fi exclusă din domeniul de aplicare al dreptului Uniunii ( 91 ).

212.

Mult mai complex este aspectul dacă, pe de o parte, dispoziții naționale care, în același mod ca articolul 702 din FISA, obligă furnizorii de servicii de comunicații electronice să își ofere sprijinul autorităților competente în materie de securitate națională pentru a le permite accesul la anumite date cu caracter personal ar fi de asemenea în afara domeniului de aplicare al dreptului Uniunii.

213.

În timp ce Hotărârea PNR pledează în favoarea unui răspuns afirmativ la această întrebare, raționamentul adoptat în Hotărârile Tele2 Sverige și Ministerio Fiscal ar putea justifica un răspuns negativ la întrebarea respectivă.

214.

În Hotărârea PNR, Curtea a anulat decizia în care Comisia constatase caracterul adecvat al nivelului de protecție a datelor cu caracter personal conținute în dosarele pasagerilor aerieni (Passenger Name Records, PNR) transferate autorității americane competente în domeniul vamal și al protecției frontierelor ( 92 ). Curtea a statuat că prelucrarea la care se referea această decizie – și anume transferul de date PNR de către companiile aeriene către autoritatea în cauză – intra, având în vedere obiectul său, sub incidența excluderii din domeniul de aplicare al Directivei 95/46 prevăzute la articolul 3 alineatul (2). Potrivit Curții, această prelucrare era necesară nu pentru realizarea unei prestări de servicii, ci chiar pentru apărarea securității publice și în scopuri de aplicare a legii. Întrucât transferul în cauză se înscria într‑un cadru instituit de autoritățile publice și care privea securitatea publică, acesta era exclus din domeniul de aplicare al directivei menționate în pofida faptului că datele PNR erau colectate inițial de operatori privați în cadrul unei activități comerciale care intră în acest domeniu de aplicare și că transferul respectiv era organizat de aceștia din urmă ( 93 ).

215.

În Hotărârea subsecventă Tele2 Sverige ( 94 ), Curtea a statuat că dispozițiile naționale, întemeiate pe articolul 15 alineatul (1) din Directiva 2002/58/CE ( 95 ), care reglementează atât păstrarea, de către furnizorii de servicii de telecomunicații, a datelor de trafic și de localizare, cât și accesul autorităților publice la datele păstrate în scopurile menționate de această dispoziție – care includ sancționarea penală și protecția securității naționale – intră în domeniul de aplicare al acestei directive și, în consecință, al cartei. Potrivit Curții, nici dispozițiile referitoare la păstrarea datelor, nici cele privind accesul la datele păstrate nu sunt acoperite de excluderea din domeniul de aplicare al acestei directive, prevăzută la articolul 1 alineatul (3) din aceasta, care face referire, printre altele, la activitățile statului în materie de sancționare și de protecție a securității naționale ( 96 ). Curtea a confirmat această jurisprudență în Hotărârea Ministerio Fiscal ( 97 ).

216.

Articolul 702 din FISA diferă însă de o asemenea reglementare în sensul că această dispoziție nu impune furnizorilor de servicii de comunicații electronice nicio obligație de păstrare a datelor, nici de efectuare a unei alte prelucrări în lipsa unei cereri de acces la date din partea autorităților de informații.

217.

Prin urmare, se ridică problema dacă intră în domeniul de aplicare al RGPD și, în consecință, al cartei, măsuri naționale care impun acestor furnizori o obligație de a pune datele la dispoziția unor autorități publice în scopuri de securitate națională, independent de orice obligație de păstrare ( 98 ).

218.

O primă abordare ar putea consta în concilierea, în măsura în care este posibil, a celor două linii jurisprudențiale sus‑menționate prin interpretarea concluziei deduse de Curte în Hotărârile Tele2 Sverige și Ministerio Fiscal, referitoare la aplicabilitatea dreptului Uniunii în cazul măsurilor care reglementează accesul la date al autorităților naționale în special în scopul protecției securității naționale ( 99 ), ca fiind limitată la situațiile în care datele au fost păstrate în temeiul unei obligații legale instituite în temeiul articolului 15 alineatul (1) din Directiva 2002/58. În schimb, această concluzie nu s‑ar aplica situației de fapt diferite din Hotărârea PNR, care privea transferul către o autoritate americană competentă în materie de securitate internă al datelor păstrate de companiile aeriene, în scop comercial, din proprie inițiativă.

219.

Potrivit unei a doua abordări, pe care Comisia o preconizează și pe care o considerăm mai convingătoare, raționamentul adoptat în Hotărârile Tele2 Sverige și Ministerio Fiscal ar justifica aplicabilitatea dreptului Uniunii în cazul unor norme naționale care impun furnizorilor de servicii de comunicații electronice să le acorde asistență autorităților responsabile cu securitatea națională pentru ca acestea să poată avea acces la anumite date, indiferent dacă aceste norme însoțesc sau nu o obligație prealabilă de păstrare a datelor.

220.

Esența acestui raționament se întemeiază, astfel, nu pe obiectul dispozițiilor în cauză ca în Hotărârea PNR, ci pe faptul că dispozițiile respective reglementau activitățile furnizorilor, impunându‑le să efectueze o prelucrare a datelor. Aceste activități nu constituiau activități ale statului în domeniile menționate la articolul 1 alineatul (3) din Directiva 2002/58 și la articolul 3 alineatul (2) din Directiva 95/46, al cărui conținut este reluat în esență la articolul 2 alineatul (2) din RGDP.

221.

Astfel, în Hotărârea Tele2 Sverige, Curtea a observat că „accesul la datele păstrate de […] furnizori privește prelucrări ale unor date cu caracter personal de către aceștia din urmă, prelucrări care intră în domeniul de aplicare al directivei menționate” ( 100 ). În același mod, aceasta a statuat în Hotărârea Ministerio Fiscal că măsurile legislative care impun furnizorilor să acorde autorităților competente accesul la datele păstrate „implică în mod necesar o prelucrare, de către acești furnizori, a [acestor] date[…]” ( 101 ).

222.

Or, punerea la dispoziție a unor date de către operator în favoarea unei autorități publice corespunde definiției „prelucrării” prevăzute la articolul 4 punctul 2 din RGPD ( 102 ). Aceasta este și situația filtrării prealabile a datelor prin intermediul unor criterii de căutare în vederea izolării celor la care autoritățile publice au solicitat accesul ( 103 ).

223.

Concluzionăm de aici că, urmând raționamentul adoptat de Curte în Hotărârile Tele2 Sverige și Ministerio Fiscal, RGPD și, în consecință, carta se aplică unei reglementări naționale care obligă un furnizor de servicii de comunicații electronice să ofere asistență autorităților responsabile cu securitatea națională punând la dispoziția lor date, eventual după filtrare, chiar independent de orice obligație legală de păstrare a datelor respective.

224.

În plus, această interpretare pare să rezulte, cel puțin implicit, din Hotărârea Schrems. Astfel cum au subliniat DPC, guvernele austriac și polonez, precum și Comisia, în cadrul examinării validității Deciziei privind sfera de siguranță, Curtea a statuat în această hotărâre că dreptul țării terțe vizate de o decizie privind caracterul adecvat al nivelului de protecție trebuie să prevadă, împotriva ingerințelor autorităților sale publice în drepturile fundamentale ale persoanelor vizate în scopuri de securitate națională, garanții în esență echivalente cu cele care decurg în special din articolele 7, 8 și 47 din cartă ( 104 ).

225.

Rezultă, în mod mai specific, că o măsură națională care impune furnizorilor de servicii de comunicații electronice să răspundă la o cerere de acces, care provine de la autoritățile competente în materie de securitate națională, la anumite date păstrate de acești furnizori în cadrul activităților lor comerciale independent de orice obligație legală, identificând în prealabil datele solicitate prin aplicarea unor selectoare (ca în cadrul programului PRISM), nu ar intra sub incidența articolului 2 alineatul (2) din RGPD. Această situație s‑ar regăsi și în cazul unei măsuri naționale care impune întreprinderilor care exploatează „coloana vertebrală” a telecomunicațiilor să acorde acces autorităților responsabile cu securitatea națională la date care tranzitează infrastructuri pe care ele le exploatează (ca în cadrul programului Upstream).

226.

În schimb, odată cu primirea datelor în cauză de către autoritățile statului, păstrarea și utilizarea lor ulterioară de către aceste autorități în scopuri de securitate națională sunt, în opinia noastră, pentru aceleași motive cu cele menționate la punctul 211 din prezentele concluzii, acoperite de derogarea prevăzută la articolul 2 alineatul (2) din RGPD, astfel că nu intră în domeniul de aplicare al acestui regulament și, în consecință, nici în cel al cartei.

227.

Având în vedere toate considerațiile care precedă, apreciem că controlul validității Deciziei privind Scutul de confidențialitate în raport cu limitările principiilor enunțate în aceasta, care sunt susceptibile să decurgă din activitățile autorităților de informații americane, implică o dublă verificare.

228.

Va trebui, în primul rând, să se examineze dacă Statele Unite asigură un nivel de protecție în esență echivalent cu cel care decurge din dispozițiile RGPD și ale cartei împotriva limitărilor care rezultă din aplicarea articolului 702 din FISA, întrucât această dispoziție permite NSA să impună furnizorilor să pună date personale la dispoziția sa.

229.

În al doilea rând, dispozițiile CEDO vor constitui cadrul de referință relevant pentru a se evalua dacă limitările pe care le‑ar putea determina punerea în aplicare a EO 12333, în măsura în care permite autorităților de informații să colecteze ele însele, fără contribuția unor operatori privați, date cu caracter personal, pun în discuție caracterul adecvat al nivelului de protecție asigurat în Statele Unite. Dispozițiile menționate vor furniza de asemenea standardele de comparație care permit să se aprecieze caracterul adecvat al acestui nivel de protecție în ceea ce privește păstrarea și utilizarea datelor obținute de autoritățile respective în scopuri de securitate națională.

230.

Cu toate acestea, trebuie să se stabilească și dacă o constatare a caracterului adecvat presupune ca colectarea de date în temeiul EO 12333 să fie însoțită de un nivel de protecție în esență echivalent cu cel care trebuie asigurat în cadrul Uniunii, chiar și în măsura în care această colectare ar avea loc în afara teritoriului Statelor Unite, în cursul etapei de tranzit al datelor din Uniune către această țară terță.

2) Cu privire la necesitatea de a asigura un nivel adecvat de protecție în cursul etapei de tranzit al datelor

231.

În fața Curții au fost susținute trei poziții distincte în ceea ce privește necesitatea sau nu pentru Comisie de a ține seama, în vederea evaluării caracterului adecvat al nivelului de protecție asigurat într‑o țară terță, de măsurile naționale referitoare la accesul la date al autorităților acestei țări terțe, în afara teritoriului său, în cursul etapei de tranzit al datelor din Uniune către acest teritoriu.

232.

În primul rând, Facebook Ireland, precum și guvernele Statelor Unite și al Regatului Unit susțin în esență că existența unor asemenea măsuri este irelevantă în cadrul unei constatări a caracterului adecvat. Acestea din urmă se prevalează, în susținerea abordării amintite, de imposibilitatea unui stat terț de a controla toate căile de comunicații situate în afara teritoriului său prin care tranzitează datele provenite din Uniune, astfel că prin ipoteză nu s‑ar putea garanta niciodată că un alt stat terț nu colectează date în secret în timpul tranzitului lor.

233.

În al doilea rând, DPC, domnul Schrems, EPIC, guvernele austriac și neerlandez, Parlamentul și EDPB susțin că cerința continuității nivelului de protecție, prevăzută la articolul 44 din RGPD, presupune că acest nivel trebuie să fie adecvat pe tot parcursul transferului, inclusiv atunci când datele tranzitează prin cabluri submarine înainte de a ajunge pe teritoriul țării terțe de destinație.

234.

Recunoscând totodată acest principiu, Comisia susține, în al treilea rând, că obiectul unei constatări privind caracterul adecvat este limitat la protecția asigurată de țara terță vizată în interiorul frontierelor sale, astfel încât împrejurarea potrivit căreia un nivel adecvat de protecție nu este garantat în timpul tranzitului către această țară terță nu repune în discuție validitatea unei decizii privind caracterul adecvat al nivelului de protecție. În conformitate cu articolul 32 din RGPD, operatorului i‑ar reveni totuși sarcina de a asigura securitatea transferului prin protejarea, pe cât posibil, a datelor cu caracter personal în cursul etapei de tranzit către țara terță respectivă.

235.

În această privință, observăm că articolul 44 din RGPD subordonează un transfer către o țară terță respectării condițiilor prevăzute de dispozițiile capitolului V din acest regulament, în măsura în care datele sunt susceptibile să facă obiectul unei prelucrări „după ce sunt transferate”. Acești termeni ar putea fi interpretați în sensul că fie, astfel cum a susținut guvernul Statelor Unite în răspunsul său scris la întrebările Curții, aceste condiții trebuie să fie respectate odată ce datele au ajuns la destinație, fie se impun după ce transferul a fost inițiat (inclusiv în cursul etapei de tranzit).

236.

Întrucât modul de redactare a articolului 44 din RGPD nu este concludent, o interpretare teleologică ne determină să ne însușim cea de a doua dintre aceste interpretări și, prin urmare, să ne alăturăm celei de a doua dintre abordările sus‑menționate. Astfel, în cazul în care s‑ar considera că cerința continuității nivelului de protecție prevăzută de această dispoziție acoperă doar măsurile de supraveghere puse în aplicare în interiorul teritoriului țării terțe de destinație, aceasta ar putea fi eludată atunci când țara terță respectivă aplică asemenea măsuri în afara teritoriului său în cursul etapei de tranzit al datelor. Pentru a evita acest risc, evaluarea caracterului adecvat al nivelului de protecție asigurat de o țară terță trebuie să privească toate dispozițiile, în special în materie de securitate națională, ale ordinii juridice a acestei țări terțe ( 105 ), printre care figurează atât cele referitoare la supravegherea pusă în aplicare pe teritoriul său, cât și cele care permit supravegherea datelor aflate în tranzit către teritoriul respectiv ( 106 ).

237.

În aceste condiții, nimeni nu contestă că, astfel cum a subliniat EDPB, evaluarea caracterului adecvat al nivelului de protecție privește, astfel cum reiese din articolul 45 alineatul (1) din RGPD, numai dispozițiile din ordinea juridică a țării terțe de destinație a datelor. Imposibilitatea invocată de Facebook Ireland, precum și de guvernele Statelor Unite și Regatului Unit, de a garanta ca un alt stat terț să nu colecteze în secret aceste date în cursul tranzitului lor nu afectează evaluarea respectivă. De altfel, un asemenea risc nu poate fi exclus chiar după ce datele au ajuns pe teritoriul statului terț de destinație.

238.

Pe de altă parte, este de asemenea adevărat că, atunci când apreciază caracterul adecvat al nivelului de protecție garantat de o țară terță, Comisia s‑ar putea confrunta eventual cu omisiunea țării terțe respective de a dezvălui acesteia din urmă existența anumitor programe de supraveghere secrete. Totuși, nu rezultă de aici că, atunci când astfel de programe sunt aduse la cunoștința sa, Comisia se poate abține de la a ține seama de ele în cadrul examinării caracterului adecvat al nivelului de protecție asigurat de această țară terță. De asemenea, în cazul în care, după adoptarea unei decizii privind caracterul adecvat al nivelului de protecție, i s‑a dezvăluit existența anumitor programe de supraveghere secrete, puse în aplicare de țara terță respectivă pe teritoriul său sau în cursul tranzitului către acesta, Comisia este obligată să reexamineze constatarea sa referitoare la caracterul adecvat al nivelului de protecție asigurat de această țară terță în cazul în care o asemenea dezvăluire dă naștere unei îndoieli cu privire la acest subiect ( 107 ).

3) Cu privire la luarea în considerare a constatărilor de fapt efectuate de Comisie și de instanța de trimitere în legătură cu dreptul Statelor Unite

239.

Deși este cert că Curtea nu este competentă să efectueze o interpretare a dreptului unei țări terțe care s‑ar impune în ordinea juridică a acesteia, validitatea Deciziei privind Scutul de confidențialitate depinde de temeinicia aprecierilor efectuate de Comisie cu privire la nivelul de protecție, asigurat de dreptul și de practicile Statelor Unite, al drepturilor fundamentale ale persoanelor ale căror date sunt transferate către această țară terță. Astfel, Comisia era obligată să își motiveze constatarea caracterului adecvat în raport cu elementele, care privesc în special conținutul dreptului țării terțe respective, menționate la articolul 45 alineatul (2) din RGPD ( 108 ).

240.

High Court (Înalta Curte) a prezentat, în hotărârea din 3 octombrie 2017, constatări detaliate prin care descrie aspectele pertinente ale dreptului american în urma evaluării probelor prezentate de părțile din litigiu ( 109 ). Această prezentare coincide în mare măsură cu constatările efectuate de Comisie în Decizia privind Scutul de confidențialitate, referitoare la conținutul normelor care însoțesc colectarea și accesul autorităților de informații americane la datele transferate, precum și la căile de atac și la mecanismele de supraveghere aferente acestor activități.

241.

Instanța de trimitere, precum și mai multe părți și persoane interesate care au prezentat observații în fața Curții, pun în discuție mai mult consecințele juridice pe care Comisia le‑a desprins din aceste constatări – și anume concluzia potrivit căreia Statele Unite asigură un nivel adecvat de protecție a drepturilor fundamentale ale persoanelor ale căror date sunt transferate în temeiul acestei decizii – decât descrierea pe care ea a prezentat‑o cu privire la conținutul dreptului american.

242.

În aceste condiții, vom evalua în esență validitatea Deciziei privind Scutul de confidențialitate în lumina constatărilor efectuate de Comisie însăși cu privire la conținutul dreptului american, examinând dacă acestea justificau adoptarea deciziei privind caracterul adecvat al nivelului de protecție.

243.

În această privință, nu suntem de acord cu punctul de vedere, susținut de DPC și de domnul Schrems, potrivit căruia constatările efectuate de High Court (Înalta Curte) cu privire la dreptul Statelor Unite ar fi obligatorii pentru Curte în cadrul examinării validității Deciziei privind Scutul de confidențialitate. Acestea din urmă arată că, întrucât dreptul străin reprezintă o chestiune de fapt în temeiul dreptului procedural irlandez, instanța de trimitere este singura competentă să stabilească conținutul acestuia.

244.

Jurisprudența constantă recunoaște, desigur, instanței naționale competența exclusivă pentru a stabili elementele de fapt relevante, precum și pentru a interpreta și aplica dreptul unui stat membru în litigiul cu care este sesizată ( 110 ). Această jurisprudență reflectă repartizarea funcțiilor între Curte și instanța de trimitere în cadrul procedurii instituite la articolul 267 TFUE. Deși Curtea este singura competentă să interpreteze dreptul Uniunii și să se pronunțe cu privire la validitatea dreptului derivat, este de competența instanței naționale, chemată să soluționeze un litigiu concret pendinte în fața sa, să stabilească contextul factual și normativ al acestuia, astfel încât Curtea să îi poată furniza un răspuns util.

245.

Rațiunea de a fi a acestei competențe exclusive a instanței de trimitere nu ne pare a putea fi transpusă în cazul stabilirii dreptului unei țări terțe ca element de natură să influențeze concluzia Curții privind validitatea unui act de drept derivat ( 111 ). Întrucât o declarație de nevaliditate a unui asemenea act se impune erga omnes în ordinea juridică a Uniunii ( 112 ), concluzia Curții nu poate depinde de originea trimiterii preliminare. Or, astfel cum au subliniat Facebook Ireland și guvernul Statelor Unite, aceasta ar depinde de originea trimiterii preliminare în cazul în care Curtea ar fi ținută de constatările efectuate de instanța de trimitere referitoare la dreptul unui stat terț, acestea fiind susceptibile să varieze în funcție de instanța națională care le efectuează.

246.

Având în vedere aceste considerații, apreciem că atunci când răspunsul la o întrebare preliminară privind validitatea unui act al Uniunii presupune evaluarea conținutului dreptului unui stat terț, Curtea, deși poate ține seama de aceasta, nu este ținută de constatările efectuate de instanța de trimitere referitoare la dreptul acestui stat terț. După caz, Curtea se poate îndepărta de ele sau le poate completa luând în considerare, cu respectarea principiului contradictorialității, alte surse pentru a stabili elementele necesare pentru evaluarea validității actului în cauză ( 113 ).

4) Cu privire la domeniul de aplicare al standardului „echivalenței substanțiale”

247.

Amintim că validitatea Deciziei privind Scutul de confidențialitate depinde de aspectul dacă ordinea juridică a Statelor Unite asigură, în beneficiul persoanelor ale căror date sunt transferate din Uniune către această țară terță, un nivel de protecție care să fie „în esență echivalent” cu cel garantat în cadrul statelor membre în temeiul RGDP și al cartei, precum și, în domeniile excluse din domeniul de aplicare al dreptului Uniunii, al angajamentelor lor potrivit CEDO.

248.

Astfel cum a subliniat Curtea în Hotărârea Schrems ( 114 ), acest standard nu înseamnă că nivelul de protecție trebuie să fie „identic” cu cel impus în Uniune. Deși mijloacele la care o țară terță a recurs pentru a proteja drepturile persoanelor vizate pot fi diferite de cele prevăzute de RGPD, interpretat în lumina cartei, „aceste mijloace trebuie […] să se dovedească în practică efective în scopul de a asigura o protecție în esență echivalentă cu cea garantată în cadrul Uniunii”.

249.

Rezultă de asemenea, în opinia noastră, că dreptul statului terț de destinație poate reflecta propria scară de valori în funcție de care ponderea respectivă a diverselor interese existente poate fi diferită de cea care le este atribuită în ordinea juridică a Uniunii. De altfel, protecția datelor personale care prevalează în cadrul Uniunii răspunde unui standard deosebit de ridicat în comparație cu nivelul de protecție în vigoare în restul lumii. Prin urmare, criteriul „echivalenței substanțiale” ar trebui, în opinia noastră, să fie aplicat astfel încât să se mențină o anumită flexibilitate pentru a ține seama de diversele tradiții juridice și culturale. Totuși, acest criteriu implică, cu excepția cazului în care este golit de substanță, ca anumite garanții minime și cerințe generale de protecție a drepturilor fundamentale care decurg din cartă și din CEDO să își găsească echivalentul în ordinea juridică a țării terțe de destinație ( 115 ).

250.

În această privință, în conformitate cu articolul 52 alineatul (1) din cartă, orice restrângere a exercițiului drepturilor și libertăților consacrate de aceasta trebuie să fie prevăzută de lege, să respecte substanța lor și, prin respectarea principiului proporționalității, să fie necesară și să răspundă efectiv unui obiectiv de interes general recunoscut de Uniune sau necesității protejării drepturilor și libertăților celorlalți. Aceste cerințe corespund, în esență, celor prevăzute la articolul 8 paragraful 2 din CEDO ( 116 ).

251.

În conformitate cu articolul 52 alineatul (3) din cartă, în măsura în care drepturile garantate la articolele 7, 8 și 47 din aceasta corespund celor consacrate la articolele 8 și 13 din CEDO, înțelesul și întinderea lor sunt aceleași, subînțelegându‑se că dreptul Uniunii le poate totuși conferi o protecție mai largă. Din această perspectivă, după cum va rezulta din expunerea noastră, standardele care rezultă din articolele 7, 8 și 47 din cartă, astfel cum au fost interpretate de Curtea noastră, sunt în anumite privințe mai stricte decât cele care decurg din articolul 8 din CEDO, potrivit interpretării date de Curtea Europeană a Drepturilor Omului (denumită în continuare „Curtea Europeană a Drepturilor Omului”).

252.

Observăm de asemenea că cauzele pendinte în fața fiecăreia dintre instanțele respective le invită pe acestea să reconsidere anumite aspecte ale jurisprudențelor respective. Astfel, pe de o parte, două hotărâri recente ale Curții Europene a Drepturilor Omului în materie de supraveghere a comunicațiilor electronice – și anume Hotărârile Centrüm för Rättvisa împotriva Suediei ( 117 ) și Big Brother Watch împotriva Regatului Unit ( 118 ) – au făcut obiectul unei trimiteri pentru reexaminare în Marea Cameră. Pe de altă parte, trei instanțe naționale au sesizat Curtea noastră cu trimiteri preliminare care deschid dezbaterea privind necesitatea sau nu a unei modificări a orientării jurisprudenței sale rezultate din Hotărârea Tele2 Sverige ( 119 ).

253.

Aceste precizări fiind aduse, examinăm în prezent validitatea Deciziei privind Scutul de confidențialitate în raport cu articolul 45 alineatul (1) din RGPD, interpretat în lumina cartei și a CEDO, în măsura în care garantează drepturile, pe de o parte, la respectarea vieții private, precum și la protecția datelor cu caracter personal [secțiunea (b)], și, pe de altă parte, la o protecție jurisdicțională efectivă [secțiunea (c)].

b)   Cu privire la validitatea Deciziei privind Scutul de confidențialitate în raport cu drepturile la respectarea vieții private și la protecția datelor cu caracter personal

254.

În cadrul celei de a patra întrebări, instanța de trimitere pune în esență în discuție echivalența substanțială dintre nivelul de protecție asigurat de Statele Unite și cel pe care persoanele în cauză îl obțin în cadrul Uniunii cu privire la drepturile lor fundamentale la respectarea vieții private și protecția datelor cu caracter personal.

1) Cu privire la existența unor ingerințe

255.

În considerentele (67)-(124) ale Deciziei privind Scutul de confidențialitate, Comisia menționează posibilitatea ca autoritățile publice americane să aibă acces la datele transferate din Uniune și să le utilizeze în scopuri de securitate națională în cadrul unor programe întemeiate în special pe articolul 702 din FISA sau pe EO 12333.

256.

Punerea în aplicare a acestor programe conduce la intruziuni din partea serviciilor de informații americane care, în cazul în care ar proveni de la autoritățile unui stat membru, ar fi considerate ingerințe în exercitarea dreptului la respectarea vieții private garantat la articolul 7 din cartă și la articolul 8 din CEDO. De asemenea, expune persoanele în cauză unui risc ca datele lor cu caracter personal să fie supuse unor tratamente care nu îndeplinesc cerințele prevăzute la articolul 8 din cartă ( 120 ).

257.

Precizăm de la bun început că drepturile la respectarea vieții private și la protecția datelor cu caracter personal includ nu numai protecția conținutului comunicațiilor, ci și datele de trafic ( 121 ) și de localizare (desemnate, împreună, prin termenul „metadate”). Atât Curtea noastră, cât și Curtea Europeană a Drepturilor Omului au recunoscut astfel că metadatele, la fel ca datele referitoare la conținut, sunt susceptibile să dezvăluie informații foarte precise cu privire la viața privată a unui individ ( 122 ).

258.

Potrivit jurisprudenței Curții, pentru a stabili existența unei ingerințe în exercitarea dreptului garantat la articolul 7 din cartă, nu este relevant dacă datele vizate prezintă sau nu un caracter sensibil sau dacă persoanele interesate au suferit sau nu eventuale dezavantaje ca urmare a măsurii de supraveghere în cauză ( 123 ).

259.

Acestea fiind amintite, programele de supraveghere întemeiate pe articolul 702 din FISA determină, în primul rând, ingerințe în exercitarea drepturilor fundamentale ale persoanelor ale căror comunicații respectă selectoarele alese de NSA și sunt, în consecință, transmise acesteia din urmă de furnizorii de servicii de comunicații electronice ( 124 ). Mai precis, obligația care revine furnizorilor de a pune datele la dispoziția NSA, în măsura în care aceasta derogă de la principiul confidențialității comunicațiilor ( 125 ), implică în sine o ingerință chiar dacă aceste date nu ar fi ulterior consultate și utilizate de autoritățile de informații ( 126 ). Conservarea și accesul efectiv al acestor autorități la metadate și la conținutul comunicațiilor puse la dispoziția lor, precum și la utilizarea acestor date, constituie tot atâtea ingerințe suplimentare ( 127 ).

260.

În plus, potrivit constatărilor instanței de trimitere ( 128 ) și ale altor surse precum raportul PCLOB privind programele puse în aplicare în temeiul articolului 702 din FISA adus în atenția Curții de către guvernul american ( 129 ), NSA ar avea, în cadrul programului Upstream, deja acces în vederea filtrării lor la conținuturi vaste („pachete”) de date care contribuie la fluxurile de comunicații care traversează „coloana vertebrală” a telecomunicațiilor și care includ comunicații care nu conțin selectoarele identificate de NSA. NSA ar putea examina aceste pachete de date numai pentru a stabili rapid, în mod automat, dacă ele conțin selectoarele respective. Numai comunicațiile filtrate astfel ar fi salvate în acest caz în bazele de date ale NSA. Acest acces la date în vederea filtrării lor ar constitui de asemenea, în opinia noastră, o ingerință în exercitarea dreptului la respectarea vieții private a persoanelor în cauză, indiferent de utilizarea ulterioară a datelor reținute ( 130 ).

261.

Pe de altă parte, punerea la dispoziție și filtrarea datelor în cauză ( 131 ), accesul autorităților de informații la aceste date, precum și păstrarea, analiza și utilizarea eventuale ale datelor respective intră în domeniul de aplicare al noțiunii de „prelucrare” în sensul articolului 4 punctul 2 din RGPD și al articolului 8 alineatul (2) din cartă. În consecință, prelucrările respective trebuie să îndeplinească cerințele prevăzute de această din urmă dispoziție ( 132 ).

262.

În ceea ce privește supravegherea în temeiul EO 12333, aceasta ar putea să implice accesul direct al autorităților de informații la datele în tranzit care implică o ingerință în exercitarea dreptului garantat la articolul 8 din CEDO. Acestei ingerințe i s‑ar adăuga cea care constă în utilizarea ulterioară eventuală a acelor date.

2) Cu privire la caracterul „prevăzut de lege” al ingerințelor

263.

În temeiul jurisprudenței Curții noastre ( 133 ) și a Curții Europene a Drepturilor Omului ( 134 ), cerința potrivit căreia orice ingerință în exercitarea drepturilor fundamentale trebuie să fie „prevăzută de lege”, în sensul articolului 52 alineatul (1) din cartă și al articolului 8 paragraful 2 din CEDO presupune nu numai că măsura care prevede ingerința trebuie să aibă un temei juridic în dreptul intern, ci și că acest temei juridic trebuie să aibă anumite calități de accesibilitate și de previzibilitate astfel încât să evite riscul de arbitrariu.

264.

În această privință, părțile și persoanele interesate care au prezentat observații Curții au în esență opinii diferite cu privire la aspectul dacă articolul 702 din FISA și EO 12333 îndeplinesc condiția referitoare la previzibilitatea legii.

265.

Această condiție, astfel cum a fost interpretată de Curte ( 135 ) și de Curtea Europeană a Drepturilor Omului ( 136 ), impune ca o reglementare care implică o ingerință în exercitarea dreptului la respectarea vieții private să instituie norme clare și precise care să reglementeze conținutul și aplicarea măsurii în cauză și care să impună o serie de cerințe minime, astfel încât să furnizeze persoanelor în cauză garanții suficiente care să permită protejarea datelor lor împotriva riscurilor de abuz, precum și împotriva oricărei accesări și a oricărei utilizări ilicite a acestor date. În special, asemenea norme trebuie să indice împrejurările și condițiile în care autoritățile publice pot să păstreze datele personale, să le acceseze și să le utilizeze ( 137 ). Pe de altă parte, temeiul juridic care permite ingerința trebuie să definească el însuși întinderea restrângerii exercitării dreptului la respectarea vieții private ( 138 ).

266.

Avem îndoieli, la fel ca domnul Schrems și EPIC, că EO 12333, precum și PPD 28 care prevede garanții care însoțesc ansamblul activităților de colectare de informații privind transmisiunile prin semnale electromagnetice ( 139 ), sunt suficient de previzibile pentru a avea „calitatea de lege”.

267.

Aceste instrumente menționează în mod expres că nu conferă drepturi executorii din punct de vedere juridic persoanelor vizate ( 140 ). Prin urmare, acestea nu pot invoca garanții prevăzute de PPD 28 în fața instanțelor ( 141 ). Comisia a considerat de altfel, în Decizia privind Scutul de confidențialitate că garanțiile prevăzute de această directivă prezidențială, deși sunt obligatorii pentru serviciile de informații ( 142 ), „nu sunt formulate în termeni juridici” ( 143 ). EO 12333 și PPD 28 se aseamănă mai mult cu instrucțiuni administrative interne care pot fi revocate sau modificate de Președintele Statelor Unite. Or, Curtea Europeană a Drepturilor Omului a statuat deja că directivele administrative interne nu au calitatea de „lege” ( 144 ).

268.

În ceea ce privește articolul 702 din FISA, caracterul previzibil al acestei dispoziții este pus în discuție de domnul Schrems pentru motivul că nu ar delimita alegerea criteriilor de selecție utilizate pentru filtrarea datelor prin garanții suficiente împotriva riscurilor de abuz. În măsura în care această problematică are de asemenea legătură cu caracterul strict necesar al ingerințelor prevăzute la articolul 702 din FISA, o vom examina în continuare în prezentarea noastră ( 145 ).

269.

A treia întrebare preliminară se suprapune cu tematica respectării condiției privind „calitatea legii”. Prin intermediul acestei întrebări, instanța de trimitere urmărește să afle în esență dacă caracterul adecvat al nivelului de protecție asigurat într‑o țară terță trebuie să fie examinat exclusiv în raport cu normele obligatorii din punct de vedere juridic, în vigoare în respectiva țară terță, și cu practicile care urmăresc să asigure respectarea acestora, sau de asemenea cu diverse instrumente neobligatorii și mecanisme de control extrajudiciare care le sunt aplicate.

270.

Cu privire la acest subiect, articolul 45 alineatul (2) litera (a) din RGPD prevede o listă neexhaustivă de împrejurări de care Comisia trebuie să țină seama pentru a evalua caracterul adecvat al nivelului de protecție oferit de o țară terță. Printre aceste împrejurări se numără legislația aplicabilă, precum și modul în care este pusă în aplicare. Dispoziția respectivă menționează de asemenea incidența altor tipuri de norme, cum ar fi normele profesionale și măsurile de securitate. Aceasta impune în plus luarea în considerare a „unor drepturi efective și opozabile” și „a unor reparații efective pe cale administrativă și judiciară pentru persoanele vizate ale căror date cu caracter personal sunt transferate” ( 146 ).

271.

Interpretată global și în raport cu caracterul nelimitativ al listei pe care o conține, dispoziția menționată implică în opinia noastră că practicile sau instrumentele nefondate pe un temei juridic accesibil și previzibil pot fi luate în considerare în cadrul evaluării de ansamblu a nivelului de protecție asigurat de țara terță în cauză, astfel încât să confirme garanții care au ele însele un temei juridic ce prezintă aceste caracteristici. În schimb, astfel cum au susținut în esență DPC, domnul Schrems, guvernul austriac și EDPB, asemenea instrumente și practici nu se pot substitui unor asemenea garanții, nici, în consecință, nu pot asigura, prin ele însele, nivelul de protecție impus.

3) Cu privire la lipsa unei atingeri aduse substanței drepturilor fundamentale

272.

Cerința, prevăzută la articolul 52 alineatul (1) din cartă, potrivit căreia orice restrângere a drepturilor sau a libertăților garantate de cartă trebuie să respecte substanța acestora implică faptul că, atunci când o ingerință aduce atingere drepturilor omului și libertăților fundamentale, niciun obiectiv legitim nu o poate justifica. Ingerința este, așadar, considerată contrară cartei, fără să se examineze dacă aceasta este aptă și necesară pentru realizarea obiectivului urmărit.

273.

În această privință, Curtea a statuat că o reglementare națională care permite autorităților publice un acces generalizat la conținutul comunicărilor electronice aduce atingere substanței înseși a dreptului la respectarea vieții private, garantat la articolul 7 din cartă ( 147 ). În schimb, subliniind totodată riscurile asociate accesului și analizei datelor de transfer și de localizare ( 148 ), Curtea a considerat că substanța acestui drept nu este afectată atunci când o reglementare națională permite un acces generalizat al autorităților statale la aceste date ( 149 ).

274.

În opinia noastră, nu se poate considera că articolul 702 din FISA permite autorităților de informații americane să acceadă în mod generalizat la conținutul comunicațiilor electronice.

275.

Astfel, pe de o parte, accesul la date al autorităților de informații, în temeiul articolului 702 din FISA, în scopul analizei și utilizării lor eventuale, este limitat la datele care îndeplinesc criteriile de selecție asociate unor ținte individuale.

276.

Pe de o parte, programul Upstream ar putea, desigur, implica un acces generalizat la conținutul comunicațiilor electronice în vederea filtrării lor automatizate în ipoteza în care ar fi aplicate selectoare nu numai rubricilor „de la” și „către”, ci și întregului conținut al fluxului de comunicații (căutare „privind” selectorul) ( 150 ). Cu toate acestea, astfel cum susțin Comisia și contrar celor arătate de domnul Schrems și de EPIC, accesul temporar al autorităților de informații la întreg conținutul comunicațiilor electronice exclusiv în scopul filtrării lor prin aplicarea unor criterii de selecție nu poate fi asimilat unui acces generalizat la acest conținut ( 151 ). În opinia noastră, gravitatea ingerinței care decurge din acest acces limitat în timp în scopuri de filtrare automatizată nu atinge gravitatea ingerinței care rezultă dintr‑un acces generalizat al autorităților publice la conținutul respectiv în vederea analizării și eventualei sale utilizări ( 152 ). Accesul temporar în vederea filtrării nu permite acestor autorități să păstreze metadatele sau conținutul comunicațiilor care nu îndeplinesc criteriile de selecție și nici, în special, astfel cum a observat guvernul american, să stabilească profiluri cu privire la persoane care nu sunt vizate prin criteriile respective.

277.

În aceste condiții, problema dacă direcționarea prin intermediul selectoarelor în cadrul programelor întemeiate pe articolul 702 din FISA limitează în mod efectiv puterile autorităților de informații depinde de cadrul alegerii selectoarelor ( 153 ). Cu privire la acest subiect, Domnul Schrems susține că în lipsa unui control suficient în acest scop dreptul american nu prevede o garanție împotriva unui acces generalizat la conținutul comunicațiilor încă din stadiul filtrării, astfel încât aduce atingere esenței înseși a dreptului la respectarea vieții private a persoanelor vizate.

278.

Astfel cum vom arăta într‑un mod mai detaliat în continuare ( 154 ), tindem să împărtășim aceste îndoieli în ceea ce privește caracterul suficient al cadrului alegerii selectoarelor pentru a răspunde criteriilor previzibilității și proporționalității ingerințelor. Totuși, existența acestui cadru, chiar imperfect, se opune concluziei potrivit căreia articolul 702 din FISA permite un acces generalizat al autorităților publice la conținutul comunicațiilor electronice și, în consecință, echivalează cu o atingere adusă înseși esenței dreptului consacrat la articolul 7 din cartă.

279.

Subliniem de asemenea că, în Avizul 1/15, Curtea a considerat că substanța dreptului la protecția datelor cu caracter personal, garantat la articolul 8 din cartă, este protejată atunci când finalitățile prelucrării sunt stabilite concret, iar prelucrarea este însoțită de norme destinate să asigure, printre altele, securitatea, confidențialitatea și integritatea datelor, precum și să le protejeze împotriva accesului și a prelucrărilor nelegale ( 155 ).

280.

În Decizia privind Scutul de confidențialitate, Comisia a constatat că atât articolul 702 din FISA, cât și PPD 28 delimitează finalitățile pentru care datele pot fi colectate în cadrul programelor puse în aplicare în temeiul articolului 702 din FISA ( 156 ). Comisia a arătat de asemenea că PPD 28 prevede norme care delimitează accesul la date, precum și stocarea și difuzarea lor pentru a asigura securitatea acestora și a le proteja împotriva accesului neautorizat ( 157 ). Astfel cum vom arăta în continuarea expunerii noastre ( 158 ), avem îndoieli în special cu privire la aspectul dacă finalitățile prelucrărilor în cauză sunt definite cu destulă claritate și precizie încât să asigure un nivel de protecție în esență echivalent cu cel care prevalează în ordinea juridică a Uniunii. Totuși, eventualele deficiențe nu ar fi suficiente, în opinia noastră, pentru a permite constatarea potrivit căreia astfel de programe ar încălca, în cazul în care ar fi realizate în cadrul Uniunii, substanța dreptului la protecția datelor cu caracter personal.

281.

Pe de altă parte, caracterul adecvat al nivelului de protecție asigurat în cadrul activităților de supraveghere în temeiul EO 12333 trebuie evaluat, reamintim, în raport cu dispozițiile CEDO. În această privință, din Decizia privind Scutul de confidențialitate reiese că doar restricțiile privind punerea în aplicare a măsurilor întemeiate pe EO 12333 pentru colectarea datelor care privesc persoane care nu sunt cetățeni americani sunt cele prevăzute de PPD 28 ( 159 ). Directiva prezidențială respectivă prevede că utilizarea informațiilor externe trebuie să fie „cât mai adaptată posibil”. Aceasta menționează totuși, în mod expres, posibilitatea de a colecta date „în masă”, în afara teritoriului american, în vederea urmăririi anumitor obiective de securitate națională specifice ( 160 ). În opinia domnului Schrems, dispozițiile PPD 28, care nu creează de altfel drepturi pentru particulari, nu protejează persoanele vizate împotriva riscului unui acces generalizat la conținutul comunicațiilor electronice ale acestora.

282.

Ne vom limita să observăm cu privire la acest subiect că, în jurisprudența referitoare la articolul 8 din CEDO, Curtea Europeană a Drepturilor Omului nu a recurs la conceptul de atingere adusă substanței sau chiar esenței dreptului la respectarea vieții private ( 161 ). Aceasta din urmă nu a considerat până în prezent că sistemele care permit interceptarea comunicațiilor electronice, chiar și masivă, depășeau ca atare marja de apreciere a statelor membre. Curtea Europeană a Drepturilor Omului consideră că asemenea sisteme sunt compatibile cu articolul 8 paragraful 2 din CEDO, în măsura în care sunt însoțite de o serie de garanții minime ( 162 ). În aceste condiții, nu ne pare adecvat să concluzionăm că un sistem de supraveghere precum cel prevăzut de EO 12333 ar depăși marja de apreciere a statelor membre fără a efectua nicio examinare a eventualelor garanții care îl însoțesc.

4) Cu privire la urmărirea unui obiectiv legitim

283.

Potrivit articolului 52 alineatul (1) din cartă, orice restrângere a exercițiului drepturilor pe care le consacră trebuie să răspundă efectiv unui obiectiv de interes general recunoscut de Uniune. Articolul 8 alineatul (2) din cartă prevede de asemenea că orice prelucrare de date cu caracter personal care nu are la bază consimțământul persoanei interesate trebuie să se întemeieze pe un „motiv legitim prevăzut de lege”. În ceea ce privește articolul 8 paragraful 2 din CEDO, acesta enumeră scopurile de natură să justifice amestecul în exercitarea dreptului la respectarea vieții private.

284.

În temeiul Deciziei privind Scutul de confidențialitate, adeziunea la principiile pe care le enunță poate fi limitată pentru îndeplinirea obligațiilor referitoare la securitatea națională, la interesul public și la respectarea legislației ( 163 ). Considerentele (67)-(124) ale acestei decizii examinează mai precis limitările care decurg din accesul la date și din utilizarea lor de către autoritățile publice americane în scopuri de securitate națională.

285.

Este cert că protecția securității naționale constituie un obiectiv legitim susceptibil să justifice derogări de la cerințele întemeiate pe RGPD ( 164 ), de la drepturile fundamentale consacrate la articolele 7 și 8 din cartă ( 165 ), precum și de la articolul 8 paragraful 2 din CEDO. Cu toate acestea, domnul Schrems, guvernul austriac și EPIC au observat că obiectivele urmărite în cadrul programelor de supraveghere întemeiate pe articolul 702 din FISA și pe EO 12333 depășesc doar securitatea națională. Astfel, aceste instrumente au ca obiect obținerea de „informații operative străine”, noțiunea respectivă acoperind diverse tipuri de informații care le includ pe cele referitoare la securitatea națională, fără a fi limitate neapărat la aceasta ( 166 ). Intră astfel în domeniul de aplicare al noțiunii de „informații externe”, în sensul articolului 702 din FISA, datele privind desfășurarea afacerilor externe ( 167 ). În ceea ce privește EO 12333, acesta definește noțiunea respectivă ca incluzând informațiile referitoare la capacitățile, intențiile sau activitățile guvernelor străine, ale organizațiilor străine sau ale persoanelor străine ( 168 ). Domnul Schrems pune în discuție caracterul legitim al obiectivului urmărit astfel întrucât ar depăși securitatea națională.

286.

În opinia noastră, perimetrul securității naționale poate include, într‑o anumită măsură, protecția unor interese referitoare la desfășurarea afacerilor externe ( 169 ). Pe de altă parte, se poate preconiza că unele dintre finalități, altele decât protecția securității naționale acoperite de noțiunea „informații externe”, astfel cum a fost definită la articolul 702 din FISA și de EO 12333, corespund unor obiective importante de interes general care pot justifica o ingerință în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal. Aceste obiective ar avea, în orice caz, o pondere mai mică decât protecția securității naționale în cadrul unei puneri în balanță între drepturile fundamentale ale persoanelor vizate și scopul urmărit prin ingerință ( 170 ).

287.

Cu toate acestea, în conformitate cu articolul 52 alineatul (1) din cartă, este necesar și ca securitatea națională sau un alt obiectiv legitim să fie efectiv urmărit de măsurile care prevăd ingerințele în cauză ( 171 ). În plus, finalitățile ingerințelor trebuie să fie definite astfel încât să îndeplinească cerințele de claritate și de precizie ( 172 ).

288.

Or, potrivit domnului Schrems, finalitatea măsurilor de supraveghere prevăzute la articolul 702 din FISA și de EO 12333 nu este enunțată cu o precizie suficientă pentru a respecta garanțiile de previzibilitate și de proporționalitate. Aceasta ar fi situația în special în măsura în care instrumentele respective definesc noțiunea de „informații externe” într‑un mod deosebit de larg. În plus, Comisia a constatat în considerentul (109) al Deciziei privind Scutul de confidențialitate că articolul 702 din FISA impune ca colectarea de informații operative străine să constituie „un scop important” al colectării, dat fiind că această formulare nu exclude, la prima vedere și astfel cum a arătat EPIC, urmărirea altor obiective nedeterminate.

289.

Pentru aceste motive, fără a fi exclus ca măsurile de supraveghere în temeiul articolului 702 din FISA sau al EO 12333 să răspundă unor obiective legitime, este permis să se ridice problema dacă acestea sunt definite într‑un mod suficient de clar și de precis pentru a preveni riscurile de abuz și pentru a permite un control al proporționalității ingerințelor care decurg de aici ( 173 ).

5) Cu privire la caracterul necesar și proporțional al ingerințelor

290.

Curtea a subliniat în mod repetat că drepturile consacrate la articolele 7 și 8 din cartă nu constituie prerogative absolute, ci trebuie luate în considerare în raport cu funcția pe care o îndeplinesc în societate și trebuie echilibrate cu alte drepturi fundamentale, în conformitate cu principiul proporționalității ( 174 ). Astfel cum a subliniat Facebook Ireland, printre aceste alte drepturi figurează dreptul la siguranță garantat la articolul 6 din cartă.

291.

În această privință, tot potrivit unei jurisprudențe constante, orice ingerință în exercitarea drepturilor garantate la articolele 7 și 8 din cartă trebuie să facă obiectul unui control strict de proporționalitate ( 175 ).

292.

În special, din Hotărârea Schrems reiese că „nu este limitată la strictul necesar o reglementare care autorizează în mod generalizat stocarea integralității datelor […], fără a se face vreo diferențiere, limitare sau excepție în funcție de obiectivul urmărit și fără a se prevedea un criteriu obiectiv care să permită delimitarea accesului autorităților publice la date și utilizarea lor ulterioară în scopuri precise, strict restrânse și susceptibile să justifice ingerința pe care o implică atât accesarea, cât și utilizarea acestor date” ( 176 ).

293.

Curtea a statuat de asemenea că, cu excepția unor situații de urgență justificate corespunzător, accesul trebuie să fie condiționat de un control prealabil efectuat fie de o instanță, fie de o entitate administrativă independentă a cărei decizie urmărește să limiteze accesul la date și utilizarea acestora la ceea ce este strict necesar pentru realizarea obiectivului urmărit ( 177 ).

294.

Articolul 23 alineatul (2) din RGPD stabilește în prezent o serie de garanții pe care un stat membru trebuie să le prevadă atunci când derogă de la dispozițiile acestui regulament. Reglementarea care permite o asemenea derogare trebuie să cuprindă dispoziții referitoare, printre altele, la scopul prelucrării, la întinderea derogării, la garanțiile destinate prevenirii abuzurilor, la duratele de păstrare, precum și la dreptul persoanelor vizate de a fi informate cu privire la derogare, cu excepția cazului în care riscă să afecteze finalitatea derogării respective.

295.

În speță, domnul Schrems susține că articolul 702 din FISA nu este însoțit de garanții suficiente împotriva riscurilor de abuz și de acces ilicit la date. În special, alegerea criteriilor de selecție nu ar fi suficient de limitată, astfel că această dispoziție nu ar oferi asigurări împotriva unui acces generalizat la conținutul comunicărilor.

296.

Guvernul Statelor Unite și Comisia arată, dimpotrivă, că articolul 702 din FISA limitează prin criterii obiective alegerea selectoarelor întrucât această dispoziție permite numai colectarea datelor cu privire la comunicațiile electronice ale unor persoane care nu au cetățenie americană situate în afara Statelor Unite, în vederea obținerii de informații operative străine.

297.

În opinia noastră, este permis să avem îndoieli cu privire la caracterul suficient de clar și de precis al acestor criterii, precum și cu privire la existența unor garanții suficiente pentru a preveni riscurile de abuz.

298.

Mai întâi, considerentul (109) al Deciziei privind Scutul de confidențialitate precizează că selectoarele nu sunt aprobate individual de FISC, nici de un alt organ judiciar sau administrativ independent în prealabil aplicării acestora. Comisia a constatat în considerentul amintit că „FISC nu autorizează măsuri individuale de supraveghere; dimpotrivă, aceasta autorizează programe de supraveghere, […] pe baza unor certificări anuale”, ceea ce guvernul Statelor Unite a confirmat în fața Curții. Acest considerent precizează că „certificările care trebuie să fie aprobate de către FISC nu conțin informații despre persoanele fizice care urmează să fie vizate, ci, mai degrabă, prezintă categoriile de informații operative străine” care pot fi colectate. În același considerent, Comisia a constatat și că „FISC nu evaluează – în temeiul unei suspiciuni rezonabile sau al oricărui alt criteriu – dacă persoanele sunt vizate în mod corespunzător pentru a dobândi informații operative străine”, deși controlează condiția potrivit căreia „un scop important al achiziției de date este de a obține informații operative străine”.

299.

În continuare, potrivit considerentului respectiv, articolul 702 din FISA permite NSA să colecteze comunicații „doar în cazul în care se poate considera în mod rezonabil că un anumit mijloc de comunicare este utilizat pentru a comunica informații operative străine”. Considerentul (70) al Deciziei privind Scutul de confidențialitate adaugă că stabilirea selectoarelor are loc în baza „Cadrului național de priorități ale serviciilor de informații” (National Intelligence Priorities Framework, NIPF). Această decizie nu menționează cerințe de motivare sau de justificare mai precise cu privire la alegerea selectoarelor în raport cu aceste priorități administrative care s‑ar impune NSA ( 178 ).

300.

În sfârșit, considerentul (71) al Deciziei privind Scutul de confidențialitate face referire la cerința prevăzută în PPD 28, potrivit căreia colectarea de informații externe trebuie să fie „cât mai adaptată posibil”. Pe lângă faptul că această directivă prezidențială nu creează drepturi pentru particulari, echivalența substanțială dintre criteriul unei activități „cât mai adaptată posibil” și cel al „strictei necesități” pe care articolul 52 alineatul (1) din cartă îl impune în vederea justificării unei ingerințe în exercitarea drepturilor garantate la articolele 7 și 8 ne pare departe de a fi evidentă ( 179 ).

301.

Având în vedere aceste considerații, nu este cert că, pe baza elementelor prezentate în Decizia privind Scutul de confidențialitate, măsurile de supraveghere întemeiate pe articolul 702 din FISA sunt însoțite de garanții, referitoare la limitarea persoanelor susceptibile să facă obiectul unei măsuri de supraveghere și a obiectivelor pentru care pot fi colectate date, în esență echivalente cu cele care sunt impuse în temeiul RGPD, interpretat în lumina articolelor 7 și 8 din cartă ( 180 ).

302.

Pe de altă parte, în ceea ce privește evaluarea caracterului adecvat al nivelului de protecție care însoțește supravegherea în temeiul EO 12333, Curtea Europeană a Drepturilor Omului recunoaște statelor membre o amplă marjă de apreciere în vederea alegerii motivelor pentru protejarea securității lor naționale, această marjă fiind însă limitată de cerința prevederii unor garanții adecvate și suficiente împotriva abuzurilor ( 181 ). În jurisprudența sa referitoare la măsurile de supraveghere secretă, Curtea Europeană a Drepturilor Omului verifică dacă dreptul intern pe care se întemeiază aceste măsuri conține garanții și bariere suficiente și efective de natură să îndeplinească cerințele de „previzibilitate” și de necesitate „într‑o societate democratică” ( 182 ).

303.

În această privință, Curtea Europeană a Drepturilor Omului enunță o serie de garanții minime. Aceste garanții privesc indicarea clară a naturii infracțiunilor susceptibile să conducă la un mandat de interceptare, definirea categoriilor de persoane cărora le pot fi interceptate comunicările, stabilirea unei limite a duratei executării măsurii, procedura care trebuie urmată pentru examinarea, utilizarea și păstrarea datelor colectate, măsurile de precauție care trebuie luate pentru comunicarea datelor către alte părți și împrejurările în care poate sau trebuie să aibă loc ștergerea sau distrugerea înregistrărilor ( 183 ).

304.

Caracterul adecvat și efectiv al garanțiilor care delimitează ingerința depinde de toate împrejurările cauzei, inclusiv de natura, de întinderea și de durata măsurilor, de motivele necesare pentru a le dispune, de autoritățile competente pentru a le permite, pentru a le executa și pentru a le controla, precum și de tipul căii de atac furnizate de dreptul intern ( 184 ).

305.

În special, pentru a evalua justificarea unei măsuri de supraveghere secretă, Curtea Europeană a Drepturilor Omului ține seama de toate controalele exercitate „atunci când este dispusă”, „în timp ce este luată” și „după ce a încetat” ( 185 ). În ceea ce privește primul dintre cele trei stadii, Curtea Europeană a Drepturilor Omului impune ca o asemenea măsură să fie permisă de un organ independent. Deși puterea judecătorească reprezintă, în opinia sa, cele mai bune garanții de independență, de imparțialitate și de legalitate a procedurii, organul în cauză nu trebuie în mod necesar să aparțină ordinii judiciare ( 186 ). Un control jurisdicțional detaliat într‑un stadiu ulterior poate contrabalansa eventualele deficiențe ale procedurii de autorizare ( 187 ).

306.

În speță, din Decizia privind Scutul de confidențialitate reiese că singurele garanții care limitează colectarea și utilizarea datelor în afara teritoriului Statelor Unite figurează în PPD 28, dat fiind că articolul 702 din FISA nu se aplică în afara acestui teritoriu. Nu suntem convinși că garanțiile respective pot fi suficiente pentru a îndeplini condițiile de „previzibilitate” și de „necesitate într‑o societate democratică”.

307.

Mai întâi, am arătat deja că această directivă prezidențială nu creează drepturi pentru indivizi. În continuare, avem îndoieli că cerința asigurării unei supravegheri „cât mai adaptat[e] posibil” este formulată în termeni suficient de clari și de preciși pentru a proteja în mod adecvat persoanele vizate împotriva riscurilor de abuz ( 188 ). În sfârșit, Decizia privind Scutul de confidențialitate nu stabilește că supravegherea întemeiată pe EO 12333 ar fi supusă unui control prealabil efectuat de un organism independent sau ar putea face obiectul unui control jurisdicțional a posteriori ( 189 ).

308.

În aceste condiții, ridicăm problema temeiniciei constatării potrivit căreia Statele Unite asigură, în cadrul activităților serviciilor lor de informații în temeiul articolului 702 din FISA și al EO 12333, un nivel de protecție adecvat în sensul articolului 45 alineatul (1) din RGPD, interpretat în lumina articolelor 7 și 8 din cartă, precum și a articolului 8 din CEDO.

c)   Cu privire la validitatea Deciziei privind Scutul de confidențialitate în raport cu dreptul la o cale de atac efectivă

309.

Prin intermediul celei de a cincea întrebări preliminare, se solicită Curții să stabilească dacă persoanele ale căror date sunt transferate către Statele Unite beneficiază în această țară de o protecție jurisdicțională în esență echivalentă cu cea care trebuie asigurată în Uniune în temeiul articolului 47 din cartă. Prin intermediul celei de a zecea întrebări, instanța de trimitere îi solicită în esență să stabilească dacă a cincea întrebare necesită un răspuns afirmativ, ținând seama de introducerea prin Decizia privind Scutul de confidențialitate a mecanismului de tip Ombudsman.

310.

Constatăm de la bun început că, în considerentul (115) al acestei decizii, Comisia recunoaște că sistemul juridic american conține lacune în ceea ce privește protecția juridică a persoanelor.

311.

Potrivit acestui considerent, în primul rând, „cel puțin anumite temeiuri juridice care pot fi utilizate de autoritățile americane de informații (de exemplu, O. E. 12333) nu sunt acoperite” de căile de atac disponibile. Astfel, EO 12333 și PPD 28 nu conferă drepturi persoanelor vizate și nu pot fi invocate de acestea în fața instanțelor. Or, o protecție juridică efectivă presupune cel puțin ca particularii să dispună de drepturi care pot fi invocate în justiție.

312.

În al doilea rând, „inclusiv în cazul în care există, în principiu, căi de atac pentru persoanele care nu sunt cetățeni ai SUA, de exemplu pentru supravegherea în temeiul FISA, direcțiile de acțiune disponibile sunt limitate, iar cererile prezentate vor fi declarate inadmisibile atunci când acestea nu pot arăta că au «calitate procesuală», ceea ce limitează accesul la instanțele ordinare”.

313.

Din considerentele (116)-(124) ale Deciziei privind Scutul de confidențialitate reiese că instituția Ombudsmanului urmărește să compenseze aceste limitări. Comisia concluzionează, în considerentul (139) al deciziei menționate, că „luate în ansamblu, supravegherea și mecanismele de recurs prevăzute de Scutul de confidențialitate […] oferă căi de atac persoanei vizate pentru a avea acces la datele cu caracter personal care o privesc și, în cele din urmă, pentru a obține rectificarea sau ștergerea datelor respective” (sublinierea noastră).

314.

Amintind totodată principiile generale care rezultă din jurisprudența Curții noastre și a Curții Europene a Drepturilor Omului privind dreptul la o cale de atac împotriva măsurilor de supraveghere a comunicațiilor, vom examina dacă acțiunile în justiție prevăzute de dreptul american, astfel cum sunt descrise în Decizia privind Scutul de confidențialitate, permit să se asigure o protecție juridică adecvată a persoanelor vizate [secțiunea 1)]. Vom stabili ulterior dacă introducerea mecanismului extrajudiciar al Ombudsmanului permite, după caz, acoperirea eventualelor lacune care caracterizează protecția juridică a acestor persoane [secțiunea 2)].

1) Cu privire la efectivitatea acțiunilor în justiție prevăzute de dreptul american

315.

În primul rând, articolul 47 primul paragraf din cartă consacră dreptul oricărei persoane ale cărei drepturi și libertăți garantate de dreptul Uniunii sunt încălcate la o cale de atac eficientă în fața unei instanțe judecătorești ( 190 ). Potrivit celui de al doilea paragraf al acestui articol, orice persoană are dreptul la un proces în fața unei instanțe judecătorești independente și imparțiale ( 191 ). Accesul la o instanță judecătorească independentă ține de substanța dreptului garantat la articolul 47 din cartă ( 192 ).

316.

Acest drept la protecție jurisdicțională individuală se adaugă obligației care revine statelor membre în temeiul articolelor 7 și 8 din cartă de a supune orice măsură de supraveghere, cu excepția cazurilor de urgență justificate corespunzător, unui control prealabil efectuat de o instanță sau de o autoritate administrativă independentă ( 193 ).

317.

Desigur, astfel cum au arătat guvernele german și francez, dreptul la o cale de atac efectivă nu constituie o garanție absolută ( 194 ), acest drept putând fi limitat pentru motive de securitate națională. Derogările sunt însă permise numai în măsura în care nu aduc atingere substanței sale și sunt strict necesare pentru realizarea unui obiectiv legitim.

318.

În această privință, Curtea a statuat în Hotărârea Schrems că o reglementare care nu prevede nicio posibilitate a justițiabilului de a exercita căi legale pentru a avea acces la date cu caracter personal care îl privesc sau pentru a obține rectificarea sau ștergerea unor astfel de date nu respectă substanța dreptului fundamental consacrat la articolul 47 din cartă ( 195 ).

319.

Subliniem că acest drept de acces implică posibilitatea ca o persoană să obțină din partea autorităților publice, sub rezerva derogărilor strict necesare pentru urmărirea unui interes legitim, confirmarea faptului că acestea prelucrează sau nu date cu caracter personal care o privesc ( 196 ). Aceasta este, în opinia noastră, întinderea practică a dreptului de acces atunci când persoana interesată nu știe dacă autoritățile publice au păstrat date personale care o privesc, în special ca urmare a unui proces de filtrare automatizată a fluxurilor de comunicații electronice.

320.

Pe de altă parte, din jurisprudență reiese că autoritățile unui stat membru sunt în principiu obligate să notifice accesul la date din momentul în care notificarea nu mai poate compromite anchetele desfășurate ( 197 ). O asemenea notificare constituie astfel o condiție prealabilă pentru exercitarea dreptului la o cale de atac în temeiul articolului 47 din cartă ( 198 ). Această obligație este în prezent preluată la articolul 23 alineatul (2) litera (h) din RGPD.

321.

Considerentele (111)-(135) ale Deciziei privind Scutul de confidențialitate prezintă în mod succint totalitatea căilor de atac disponibile pentru persoanele ale căror date sunt transferate atunci când ele se tem de faptul că aceste date au fost prelucrate de serviciile de informații americane după transfer. Căile de atac respective au fost de asemenea descrise în Hotărârea High Court (Înalta Curte) din 3 octombrie 2017, precum și în special în observațiile guvernului Statelor Unite.

322.

Nu este necesar să se amintească în detaliu conținutul acestor expuneri. Astfel, instanța de trimitere pune în discuție caracterul adecvat al garanțiilor referitoare la protecția juridică a persoanelor vizate, în esență pentru motivul că cerințele deosebit de stricte în materia calității procesuale active (standing) ( 199 ) coroborate cu lipsa oricărei obligații de a notifica persoanele care au făcut obiectul unei măsuri de supraveghere chiar și atunci când notificarea nu ar mai pune în pericol obiectivele acesteia, ar face în practică exagerat de dificilă exercitarea căilor de atac prevăzute în dreptul Statelor Unite. Aceste îndoieli sunt împărtășite de DPC, de domnul Schrems, de guvernele austriac, polonez și portughez, precum și de EDPB ( 200 ).

323.

Cu privire la acest subiect, ne vom limita să amintim că normele în materie de calitate procesuală activă nu pot aduce atingere protecției jurisdicționale efective ( 201 ), precum și să constatăm că Decizia privind Scutul de confidențialitate nu menționează nicio cerință de informare a persoanelor vizate cu privire la faptul că ele au făcut obiectul unei măsuri de supraveghere ( 202 ). Întrucât aceasta ar putea împiedica exercitarea căilor de atac jurisdicționale, lipsa unei obligații de notificare a unei asemenea măsuri, inclusiv atunci când informarea persoanei vizate nu ar mai afecta eficacitatea sa, este problematică în raport cu jurisprudența menționată la punctul 320 din prezentele concluzii.

324.

În plus, nota de subsol 169 din Decizia privind Scutul de confidențialitate recunoaște că acțiunile disponibile „fie necesită existența unui prejudiciu […], fie o dovadă că guvernul intenționează să utilizeze sau să divulge informații obținute sau derivate din supravegherea electronică a persoanei în cauză”. Astfel cum au subliniat instanța de trimitere, DPC și domnul Schrems, această cerință contrastează cu jurisprudența Curții potrivit căreia, pentru a stabili existența unei ingerințe în dreptul la respectarea vieții private a persoanei vizate, nu este necesar ca aceasta să fi suferit eventuale inconveniente ca urmare a ingerinței invocate ( 203 ).

325.

Pe de altă parte, punctul de vedere exprimat de Facebook Ireland și de guvernul Statelor Unite, potrivit căruia vulnerabilitățile care caracterizează protecția juridică a persoanelor ale căror date sunt transferate către Statele Unite ar fi compensate de controalele prealabil și a posteriori exercitate de FISC, precum și de multiplele mecanisme de supraveghere instituite în cadrul puterilor executivă și legislativă ( 204 ), nu ne convinge.

326.

Am subliniat deja că, pe de o parte, conform constatărilor care figurează în Decizia privind Scutul de confidențialitate, FISC nu controlează măsurile individuale de supraveghere înaintea punerii lor în aplicare ( 205 ). Astfel cum se indică în considerentul (109) al acestei decizii și după cum a confirmat guvernul Statelor Unite în răspunsul său scris la întrebările adresate de Curte, controlul ex post al aplicării selectoarelor are, pe de o parte, ca obiect verificarea, atunci când un incident referitor la posibila nerespectare a procedurilor de direcționare și de reducere la minimum este adus în atenția FISC de către o agenție de informații ( 206 ), a respectării condițiilor care reglementează alegerea selectoarelor prevăzute în certificarea anuală. În consecință, procedura în fața FISC nu pare să ofere o cale de atac individuală efectivă persoanelor ale căror date sunt transferate către Statele Unite.

327.

Mecanismele de control extrajudiciare menționate în considerentele (95)-(110) ale Deciziei privind Scutul de confidențialitate, în cazul în care ar putea consolida, după caz, eventuale acțiuni în justiție, nu pot fi suficiente, în opinia noastră, pentru a asigura un nivel de protecție adecvat în raport cu posibilitatea de recurs a persoanelor vizate. În special, inspectorii generali care fac parte din structura internă a fiecărei agenții nu constituie, în opinia noastră, mecanisme de control independente. Supravegherea exercitată de PCLOB și de comisiile pentru informații ale Congresului nu echivalează, la rândul ei, cu un mecanism de măsuri reparatorii individuale împotriva măsurilor de supraveghere.

328.

Prin urmare, va trebui să se examineze dacă instituția Ombudsmanului atenuează aceste deficiențe furnizând persoanelor vizate o cale de atac efectivă în fața unui organism independent și imparțial ( 207 ).

329.

În al doilea rând, pentru a evalua temeinicia constatării caracterului adecvat efectuate în Decizia privind Scutul de confidențialitate în raport cu căile de atac puse la dispoziția persoanelor care consideră că au făcut obiectul unei supravegheri întemeiate pe EO 12333, amintim că cadrul de referință relevant constă în dispozițiile CEDO.

330.

Astfel cum s‑a arătat anterior ( 208 ), Curtea Europeană a Drepturilor Omului efectuează, în vederea evaluării faptului dacă o măsură de supraveghere îndeplinește condițiile de „previzibilitate” și de „necesitate într‑o societate democratică”, în sensul articolului 8 paragraful 2 din CEDO ( 209 ), o examinare de ansamblu a mecanismelor de control și de supraveghere puse în aplicare „înainte, în timpul și după” executarea sa. Atunci când exercitarea unei măsuri reparatorii individuale este împiedicată ca urmare a faptului că notificarea măsurii de supraveghere nu este posibilă fără a pune în pericol eficacitatea acesteia ( 210 ), deficiența menționată poate fi compensată prin punerea în aplicare a unui control independent anterior aplicării măsurii în cauză ( 211 ). Astfel, Curtea Europeană a Drepturilor Omului, în cazul în care consideră o asemenea notificare „de dorit”, atunci când poate avea loc fără a modifica eficacitatea măsurii de supraveghere, nu a erijat‑o în cerință ( 212 ).

331.

În această privință, Decizia privind Scutul de confidențialitate nu menționează că măsurile de supraveghere întemeiate pe EO 12333 ar fi notificate persoanelor vizate sau însoțite de mecanisme de control jurisdicțional sau administrativ independente într‑un anumit stadiu al adoptării lor sau al punerii lor în aplicare.

332.

În aceste condiții, este necesar să se examineze dacă recurgerea la Ombudsman permite totuși asigurarea unui control independent al măsurilor de supraveghere, inclusiv atunci când acestea se întemeiază pe EO 12333.

2) Cu privire la incidența mecanismului de tip Ombudsman asupra nivelului de protecție a dreptului la o cale de atac efectivă

333.

Potrivit considerentului (116) al Deciziei privind Scutul de confidențialitate, mecanismul de tip Ombudsman prezentat în anexa III A la această decizie urmărește să ofere o cale de atac suplimentară accesibilă pentru toate persoanele ale căror date sunt transferate din Uniune în Statele Unite.

334.

Astfel cum a subliniat guvernul Statelor Unite, admisibilitatea unei plângeri adresate Ombudsmanului nu este subordonată respectării normelor în materie de calitate procesuală activă asemănătoare celor care reglementează accesul la instanțele americane. Considerentul (119) al deciziei menționate precizează în această privință că recurgerea la Ombudsman nu presupune ca persoana interesată să demonstreze că guvernul Statelor Unite a consultat datele personale care o privesc.

335.

La fel ca DPC, domnul Schrems, guvernele polonez și portughez, precum și EPIC, avem îndoieli cu privire la capacitatea acestui mecanism de a compensa insuficiențele protecției judiciare oferite persoanelor ale căror date sunt transferate din Uniune către Statele Unite.

336.

Mai întâi, deși un mecanism extrajudiciar al căilor de atac poate constitui o cale de atac eficientă în sensul articolului 47 TFUE, acest lucru este valabil numai în măsura în care în special organul în discuție are un temei legal și îndeplinește condiția de independență ( 213 ).

337.

Or, din Decizia privind Scutul de confidențialitate reiese că mecanismul Ombudsmanului are la origine PPD 28 ( 214 ), iar nu legea. Ombudsmanul este desemnat de Secretarul de Stat și face parte integrantă din Departamentul de Stat al Statelor Unite ( 215 ). Această decizie nu conține nicio mențiune potrivit căreia revocarea Ombudsmanului sau anularea numirii sale ar fi însoțite de garanții specifice ( 216 ). Deși Ombudsmanul este prezentat ca fiind independent de „serviciile de informații”, acesta răspunde în fața Secretarului de Stat și, prin urmare, nu este independent de puterea executivă ( 217 ).

338.

În continuare, efectivitatea unei căi de atac extrajudiciare depinde, în opinia noastră, și de capacitatea organului în cauză de a adopta decizii obligatorii și motivate. Cu privire la acest subiect, Decizia privind Scutul de confidențialitate nu conține nicio indicație potrivit căreia Ombudsmanul ar adopta asemenea decizii. Aceasta nu demonstrează că instituția Ombudsmanului ar permite reclamanților să aibă acces la datele care îi privesc și să le rectifice sau să le șteargă și nici că Ombudsmanul ar acorda o despăgubire persoanelor lezate printr‑o măsură de supraveghere. În special, astfel cum reiese din anexa III A punctul 4 litera e) din această decizie, „Ombudsmanul […] nu va confirma, nici nu va infirma că persoana a fost vizată de acțiuni de supraveghere, nici nu va confirma calea de atac care a fost aplicată” ( 218 ). Deși guvernul american s‑a angajat ca respectiva componentă a serviciilor de informații să fie obligată să remedieze orice încălcare a normelor aplicabile detectată de Ombudsman ( 219 ), decizia respectivă nu menționează garanțiile legale care ar însoți acest angajament și de care s‑ar putea prevala persoanele vizate.

339.

În consecință, instituția Ombudsmanului nu furnizează, în opinia noastră, o cale de atac în fața unui organ independent care să ofere persoanelor ale căror date sunt transferate o posibilitate de a‑și valorifica dreptul de acces la date sau de a contesta eventuale încălcări ale normelor aplicabile din partea serviciilor de informații.

340.

În sfârșit, în conformitate cu jurisprudența, respectarea dreptului garantat la articolul 47 din cartă ar presupune în acest caz ca decizia autorității administrative în cauză, care nu îndeplinește ea însăși condiția de independență, să fie supusă controlului ulterior al unui organ jurisdicțional competent să examineze toate problemele pertinente ( 220 ). În consecință, conform indicațiilor furnizate în Decizia privind Scutul de confidențialitate, deciziile Ombudsmanului nu fac obiectul unui control jurisdicțional independent.

341.

În aceste condiții, astfel cum au arătat DPC, domnul Schrems, EPIC, precum și guvernele polonez și portughez, echivalența substanțială dintre protecția jurisdicțională oferită de ordinea juridică a Statelor Unite persoanelor ale căror date sunt transferate din Uniune în acest stat terț și cea care decurge din RGPD, interpretat în lumina articolului 47 din cartă și a articolului 8 din CEDO, ne pare că este discutabilă.

342.

Având în vedere toate considerațiile care precedă, avem unele îndoieli în legătură cu conformitatea Deciziei privind Scutul de confidențialitate cu articolul 45 alineatul (1) din RGPD, interpretat în lumina articolelor 7, 8 și 47 din cartă, precum și a articolului 8 din CEDO.

V. Concluzie

343.

Propunem Curții să răspundă la întrebările preliminare adresate de High Court (Înalta Curte, Irlanda) după cum urmează:

„Analiza întrebărilor preliminare nu a evidențiat niciun element de natură să afecteze validitatea Deciziei 2010/87/UE a Comisiei din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Decizia de punere în aplicare (UE) 2016/2297 a Comisiei din 16 decembrie 2016.”


( 1 ) Limba originală: franceza.

( 2 ) A se vedea articolul 45 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).

( 3 ) A se vedea articolul 46 din RGPD.

( 4 ) A se vedea articolul 49 din RGPD.

( 5 ) Decizia Comisiei din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului (JO 2010, L 39, p. 5), astfel cum a fost modificată prin Decizia de punere în aplicare (UE) 2016/2297 a Comisiei din 16 decembrie 2016 (JO 2016, L 344, p. 100) (denumită în continuare „Decizia 2010/87”).

( 6 ) Decizia Comisiei din 12 iulie 2016 în temeiul [Directivei 95/46] privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE‑SUA (JO 2016, L 207, p. 1, denumită în continuare „Decizia privind Scutul de confidențialitate”).

( 7 ) A se vedea discursul fostei Autorități Europene pentru Protecția Datelor (AEPD) P. Hustinx, „Le droit de l’Union européenne sur la protection des données: la révision de la directive 95/46/CE et la proposition de règlement général sur la protection des données”, p. 49, disponibil la adresa https://edps.europa.eu/sites/edp/files/publication/14-09-15_article_eui_fr.pdf.

( 8 ) Directiva Parlamentului European și a Consiliului din 24 octombrie 1995 (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10), astfel cum a fost modificată prin Regulamentul (CE) nr. 1882/2003 al Parlamentului European și al Consiliului din 29 septembrie 2003 (JO 2003, L 284, p. 1, Ediție specială, 01/vol. 4, p. 213) (denumită în continuare „Directiva 95/46”).

( 9 ) Decizia 2001/497/CE a Comisiei din 15 iunie 2001 privind clauzele contractuale standard pentru transferul de date cu caracter personal către țările terțe în temeiul [Directivei 95/46] (JO 2001, L 181, p. 19, Ediție specială, 13/vol. 31, p. 70), Decizia 2004/915/CE a Comisiei din 27 decembrie 2004 de modificare a Deciziei [2001/497] privind introducerea unui set alternativ de clauze contractuale standard pentru transferul de date cu caracter personal către țări terțe (JO 2004, L 385, p. 74, Ediție specială, 13/vol. 47, p. 72), precum și Decizia 2010/87.

( 10 ) Decizia Comisiei din 16 decembrie 2016 de modificare a Deciziilor [2001/497] și [2010/87] privind clauzele contractuale standard pentru transferul de date cu caracter personal către țările terțe și către persoanele împuternicite de către operator stabilite în țări terțe, în temeiul Directivei [95/46] (JO 2016, L 344, p. 100).

( 11 ) Decizie din 26 iulie 2000 în temeiul Directivei [95/46] (JO 2000, L 215, p. 7, Ediție specială, 16/vol. 1, p. 64, denumită în continuare „Decizia privind sfera de siguranță”).

( 12 ) C‑362/14 (EU:C:2015:650, denumită în continuare „Hotărârea Schrems”).

( 13 ) A se vedea Hotărârea Schrems (punctul 106).

( 14 ) 50 U. S. C. 1881 (a).

( 15 ) 50 U. S. C. 1881 (e).

( 16 ) Instanța de trimitere a constatat că procedurile de direcționare privesc maniera în care puterea executivă stabilește că este rezonabil să se considere că un anumit individ este o persoană care nu este cetățean american aflată în afara Statelor Unite și că monitorizarea acestui individ poate conduce la dobândirea de informații operative străine. Procedurile de reducere la minimum acoperă dobândirea, reținerea, utilizarea și diseminarea oricărei informații lipsite de caracter public privind un cetățean american, dobândită în temeiul articolului 702 din FISA.

( 17 ) EO 12333 punctul 3.5 litera e).

( 18 ) 133 S.Ct. 1138 (2013).

( 19 ) Instanța de trimitere a constatat totuși că principiul potrivit căruia notificarea persoanei vizate de o măsură de supraveghere nu este necesară face obiectul unei excepții atunci când guvernul american urmărește să utilizeze datele colectate în temeiul articolului 702 din FISA împotriva acestei persoane în cadrul unei proceduri penale sau administrative.

( 20 ) În special, instanța de trimitere a arătat că, deși Judicial Redress Act (JRA) (Legea privind protecția jurisdicțională) a extins la cetățenii Uniunii dispozițiile din Privacy Act (Legea privind protecția vieții private), care permite accesul persoanelor fizice la informațiile care le privesc deținute de anumite agenții în legătură cu unele țări terțe, NSA nu figurează printre agențiile desemnate în temeiul JRA.

( 21 ) Instanța de trimitere face trimitere, în această privință, la anexa III A la Decizia privind Scutul de confidențialitate (a se vedea punctele 37 și 38 din prezentele concluzii).

( 22 ) Instanța de trimitere invocă Hotărârea din 27 ianuarie 2005, Denuit și Cordenier (C‑125/04, EU:C:2005:69, punctul 12).

( 23 ) Considerentul (11) al Deciziei 2010/87 enunță: „Autoritățile de supraveghere din statele membre joacă un rol esențial în acest mecanism contractual, asigurând că datele cu caracter personal sunt corespunzător protejate după efectuarea transferului. În cazurile excepționale în care exportatorii de date refuză sau nu sunt în măsură să‑l instruiască pe importatorul de date în mod corespunzător și există un risc iminent de prejudiciere a persoanelor vizate, clauzele contractuale tip ar trebui să permită autorităților de supraveghere să efectueze un audit la importatorii de date și la subcontractanți și, după caz, să ia decizii cu caracter obligatoriu pentru aceștia. Autoritățile de supraveghere ar trebui să aibă competența de a interzice sau suspenda un transfer sau o serie de transferuri de date pe baza clauzelor contractuale tip în acele cazuri excepționale în care s‑a stabilit că transferul pe bază de contract este susceptibil să aibă efecte negative asupra garanțiilor și obligațiilor care oferă persoanelor vizate protecția adecvată.”

( 24 ) Facebook Ireland a declarat apel împotriva deciziei de trimitere la Supreme Court (Curtea Supremă, Irlanda). Acest apel a fost respins prin Hotărârea din 31 mai 2019, The Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems, Appeal no 2018/68 [denumită în continuare „Hotărârea Supreme Court (Curtea Supremă) din 31 mai 2019”].

( 25 ) BSA afirmă că 70 % dintre întreprinderile care sunt membre ale alianței respective și care au răspuns la o anchetă cu privire la acest subiect au declarat că au utilizat clauze contractuale standard ca temei principal al transferurilor de date cu caracter personal către țări terțe. Digitaleurope apreciază de asemenea că clauzele contractuale standard reprezintă instrumentul juridic principal invocat în susținerea acestor transferuri.

( 26 ) Deși instanța de trimitere arată că cererea sa de decizie preliminară privește validitatea a trei decizii SCC, acestea fiind examinate în propunerea de decizie a DPC și în hotărârea din 3 octombrie 2017, întrebările preliminare se referă exclusiv la Decizia 2010/87. Aceasta este situația întrucât, în fața instanței respective, Facebook Ireland a identificat decizia menționată ca temei juridic al transferurilor de date ale utilizatorilor europeni ai rețelei sociale Facebook către Statele Unite. Prin urmare, analiza noastră va privi numai decizia respectivă.

( 27 ) A se vedea punctele 167-186 din prezentele concluzii.

( 28 ) A se vedea în special Hotărârea din 10 decembrie 2018, Wightman și alții (C‑621/18, EU:C:2018:999, punctul 27) și Hotărârea din 19 noiembrie 2019, A. K. și alții (Independența camerei disciplinare a Curții Supreme) (C‑585/18, C‑624/18 și C‑625/18, EU:C:2019:982, punctul 98).

( 29 ) A se vedea articolul 94 alineatul (1) și articolul 99 alineatul (1) din RGPD.

( 30 ) Subliniem că, în conformitate cu articolul 46 alineatul (5) din RGPD, deciziile adoptate de Comisie în temeiul articolului 26 alineatul (4) din Directiva 95/46 rămân în vigoare până când sunt modificate, înlocuite sau abrogate.

( 31 ) A se vedea în special Hotărârea din 7 februarie 1979, Franța/Comisia (15/76 și 16/76, EU:C:1979:29, punctul 7), Hotărârea din 17 mai 2001, IECC/Comisia (C‑449/98 P, EU:C:2001:275, punctul 87), și Hotărârea din 17 octombrie 2013, Schaible (C‑101/12, EU:C:2013:661, punctul 50).

( 32 ) A se vedea în special Hotărârea din 16 aprilie 2015, Parlamentul/Consiliul (C‑540/13, EU:C:2015:224, punctul 35), Hotărârea din 16 aprilie 2015, Parlamentul/Consiliul (C‑317/13 și C‑679/13, EU:C:2015:223, punctul 45), și Hotărârea din 22 septembrie 2016, Parlamentul/Consiliul (C‑14/15 și C‑116/15, EU:C:2016:715, punctul 48).

( 33 ) În special, în Hotărârea Schrems, Curtea a apreciat validitatea Deciziei privind sfera de siguranță din perspectiva dispozițiilor cartei, a căror adoptare este ulterioară celei a acestei decizii. A se vedea de asemenea Hotărârea din 17 martie 2011, AJD Tuna (C‑221/09, EU:C:2011:153, punctul 48), și Hotărârea din 11 iunie 2015, Pfeifer & Langen (C‑51/14, EU:C:2015:380, punctul 42).

( 34 ) A se vedea în special Hotărârea din 15 iulie 2010, Pannon Gép Centrum (C‑368/09, EU:C:2010:441, punctele 30-35), Hotărârea din 10 februarie 2011, Andersson (C‑30/10, EU:C:2011:66, punctele 20 și 21), precum și Hotărârea din 25 octombrie 2018, Roche Lietuva (C‑413/17, EU:C:2018:865, punctele 17-20).

( 35 ) A se vedea în această privință Concluziile avocatului general Bobek prezentate în cauza Fashion ID (C‑40/17, EU:C:2018:1039, punctul 87).

( 36 ) A se vedea punctul 87 din prezentele concluzii.

( 37 ) A se vedea în acest sens Hotărârea din 1 aprilie 1982, Holdijk și alții (141/81-143/81, EU:C:1982:122, punctul 5) și Hotărârea din 9 decembrie 2003, Gasser (C‑116/02, EU:C:2003:657, punctul 27).

( 38 ) A se vedea în acest sens Hotărârea din 30 mai 2006, Parlamentul/Consiliul și Comisia (C‑317/04 și C‑318/04, EU:C:2006:346, denumită în continuare „Hotărârea PNR”, punctul 56), precum și Hotărârea Schrems (punctul 45). Articolul 4 punctul 2 din RGPD reia în esență definiția noțiunii de „prelucrare” care figura la articolul 2 litera (b) din Directiva 95/46.

( 39 ) În conformitate cu articolul 3 alineatul (1) din RGPD, acest regulament se aplică oricărei prelucrări în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii. Problema aplicabilității dreptului Uniunii în cazul prelucrării de către serviciile de informații dintr‑o țară terță în afara Uniunii trebuie diferențiată de cea a relevanței normelor și a practicilor care însoțesc aceste prelucrări în țara terță în cauză pentru a stabili dacă este asigurat un nivel adecvat de protecție. Această din urmă tematică face obiectul celei de a doua întrebări preliminare și va fi examinată la punctele 201-229 din prezentele concluzii.

( 40 ) În Concluziile noastre prezente în cauza Ministerio Fiscal (C‑207/16, EU:C:2018:300, punctul 47), am subliniat distincția între, pe de o parte, prelucrarea directă a datelor cu caracter personal în cadrul activităților de natură regaliană ale statului și, pe de altă parte, prelucrarea comercială urmată de o utilizare de către autoritățile publice.

( 41 ) În același mod, în Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017 (EU:C:2017:592, denumit în continuare „Avizul 1/15”), Curtea a examinat conformitatea cu articolele 7, 8 și 47 din cartă a unui proiect de acord internațional între Canada și Uniune privind date care, odată transferate în Canada, erau destinate să fie prelucrate de autoritățile publice în scopul protecției securității naționale.

( 42 ) Hotărârea Schrems (punctul 73). Curtea a confirmat această concluzie în Avizul 1/15 (punctul 134).

( 43 ) Articolul 26 alineatul (2) din Directiva 95/46 prevedea că un stat membru poate autoriza un asemenea transfer „atunci când operatorul oferă garanții suficiente privind atât protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor, cât și exercitarea drepturilor corespunzătoare” (sublinierea noastră). Noțiunile de „garanții suficiente” și de „garanții adecvate”, menționate în această dispoziție și, respectiv, la articolul 46 alineatul (1) din RGPD, au, în opinia noastră, același conținut.

( 44 ) În această privință, considerentul (6) al RGPD precizează că un „nivel ridicat” de protecție a datelor trebuie să fie asigurat atât în cadrul Uniunii, cât și în cazul unui transfer în afara acesteia. A se vedea de asemenea considerentul (101) al RGPD.

( 45 ) A se vedea Hotărârea Schrems (punctul 73) și Avizul 1/15 (punctul 214).

( 46 ) Aceasta fără a aduce atingere posibilității de a transfera date cu caracter personal, chiar în lipsa unor garanții adecvate, pe baza motivelor de derogare prevăzute la articolul 49 alineatul (1) din RGPD.

( 47 ) A se vedea punctul 128 din prezentele concluzii.

( 48 ) Să ne imaginăm de exemplu că o țară terță prevede o obligație pentru furnizorii de servicii de telecomunicații de a acorda autorităților publice un acces la datele transferate fără niciun fel de restricții sau garanții. În timp ce asemenea furnizori s‑ar afla în incapacitatea de a respecta clauzele contractuale standard, întreprinderile care nu sunt supuse acestei obligații nu ar fi însă împiedicate să le respecte.

( 49 ) Observăm, pe de altă parte, că clauza 5 litera (d) punctul (i) exonerează importatorul de obligația sa de a informa exportatorul cu privire la o solicitare, obligatorie din punct de vedere juridic, de divulgare, prezentată de o autoritate de aplicare a legii din țara terță atunci când dreptul acestei țări terțe se opune unei astfel de informări. Într‑o asemenea situație, exportatorul nu va avea posibilitatea de a suspenda transferul în cazul în care această divulgare, de care nu va avea cunoștință, încalcă clauzele standard. Cu toate acestea, importatorul are în continuare obligația, în temeiul clauzei 5 litera (a), să informeze, dacă este cazul, exportatorul cu privire la faptul că apreciază că legislația din această țară terță îl împiedică să își îndeplinească obligațiile în temeiul clauzelor contractuale convenite.

( 50 ) Din jurisprudență reiese că dispozițiile unui act de punere în aplicare trebuie interpretate în conformitate cu dispozițiile actului de bază prin care legiuitorul a autorizat adoptarea actului respectiv [a se vedea în acest sens în special Hotărârea din 26 iulie 2017, Republica Cehă/Comisia (C‑696/15 P, EU:C:2017:595, punctul 51), Hotărârea din 17 mai 2018, Evonik Degussa (C‑229/17, EU:C:2018:323, punctul 29), și Hotărârea din 20 iunie 2019, ExxonMobil Production Deutschland (C‑682/17, EU:C:2019:518, punctul 112)]. În plus, un act al Uniunii trebuie interpretat, în măsura posibilului, astfel încât să nu se repună în discuție validitatea acestuia și în conformitate cu dreptul primar în ansamblul său și în special cu prevederile cartei [a se vedea în special Hotărârea din 14 mai 2019, M și alții (Revocarea statutului de refugiat) (C‑391/16, C‑77/17 și C‑78/17, EU:C:2019:403, punctul 77 și jurisprudența citată)].

( 51 ) În această privință, considerentul (109) al RGPD încurajează exportatorul și importatorul să adauge garanții suplimentare la clauzele standard în materie de protecție, în special pe cale contractuală.

( 52 ) Deși articolul 4 alineatul (1) din Decizia 2010/87 face trimitere la articolul 28 alineatul (3) din Directiva 95/46, amintim că, în temeiul articolului 94 alineatul (2) din RGPD, trimiterile la această directivă trebuie interpretate ca trimiteri la dispozițiile corespunzătoare ale RGPD.

( 53 ) A se vedea considerentele (6) și (7) ale Deciziei 2016/2297. La punctele 101-104 din Hotărârea Schrems, Curtea a considerat ca fiind nevalidă o dispoziție din Decizia privind sfera de siguranță care limita la „cazuri excepționale” competențele conferite autorităților de supraveghere de articolul 28 din Directiva 95/46, pentru motivul că Comisia nu era competentă să restrângă aceste competențe.

( 54 ) A se vedea Hotărârea Schrems (punctul 103).

( 55 ) În orice caz, preambulul unui act al Uniunii nu are o valoare juridică obligatorie și nu poate fi invocat pentru a deroga de la dispozițiile propriu‑zise ale acestui act. A se vedea Hotărârea din 19 noiembrie 1998, Nilsson și alții (C‑162/97, EU:C:1998:554, punctul 54), Hotărârea din 12 mai 2005, Meta Fackler (C‑444/03, EU:C:2005:288, punctul 25), și Hotărârea din 10 ianuarie 2006, IATA și ELFAA (C‑344/04, EU:C:2006:10, punctul 76).

( 56 ) A se vedea prin analogie Hotărârea Schrems (punctul 63).

( 57 ) Adăugăm că, în temeiul clauzei 8 alineatul (2), care figurează în anexa la Decizia 2010/87, părțile la contract convin să acorde autorității de supraveghere competența să efectueze un audit la importator în aceleași condiții care s‑ar aplica unui audit efectuat la exportator în temeiul legii aplicabile.

( 58 ) A se vedea în acest sens Hotărârea Schrems (punctul 43).

( 59 ) Potrivit considerentului (141) al RGPD, orice persoană trebuie să aibă dreptul la o cale de atac eficientă în conformitate cu articolul 47 din cartă în cazul în care autoritatea de supraveghere „nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor [acestei persoane]”. A se vedea de asemenea considerentele (129) și (143) ale RGPD.

( 60 ) A se vedea în special Hotărârea din 28 iulie 2011, Samba Diouf (C‑69/10, EU:C:2011:524, punctul 57), și Hotărârea din 17 noiembrie 2011, Gaydarov (C‑430/10, EU:C:2011:749, punctul 41).

( 61 ) A se vedea în această privință Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, punctele 69-73).

( 62 ) A se vedea articolul 56 alineatul (1) din RGPD. În conformitate cu articolul 61 din acest regulament, autoritățile de supraveghere sunt obligate să își furnizeze asistență reciprocă. Articolul 62 din regulamentul menționat le permite să desfășoare operațiuni comune.

( 63 ) A se vedea articolul 65 din RGPD.

( 64 ) A se vedea articolul 64 alineatul (2) din RGPD.

( 65 ) Articolul 83 alineatul (5) litera (c) din RGPD prevede de asemenea amenzi în sarcina operatorului în cazul unei încălcări a articolelor 44-49 din acest regulament.

( 66 ) A se vedea punctul 175 din prezentele concluzii.

( 67 ) Hotărârea High Court (Înalta Curte) din 3 octombrie 2017 (punctul 337).

( 68 ) Potrivit Hotărârii Supreme Court (Curtea Supremă) din 31 mai 2019 (punctul 2.7), „[t]he sole relief claimed by the DPC is, in substance, a reference to the CJEU under Article 267 [TFUE]”. Punctul 2.9 din această hotărâre continuă: „Here, the only issue of substance which arises before either the Irish courts or the CJEU is the question of the validity or otherwise of Union measures. Whatever the view taken by the CJEU on that issue, the Irish courts will have no further role, for the measures under question will either be found to be valid or invalid and in either event, that will be the end of the matter” (sublinierea noastră).

( 69 ) A se vedea punctul 124 din prezentele concluzii.

( 70 ) Pentru același motiv, Supreme Court (Curtea Supremă), în hotărârea din 31 mai 2019 (punctele 8.1-8.5), recunoscându‑se totodată necompetentă să pună în discuție decizia instanței de trimitere de a adresa Curții întrebările preliminare și să modifice textul acestora, și‑a exprimat îndoielile cu privire la necesitatea unora dintre aceste întrebări. În special, punctul 8.5 din hotărârea respectivă enunță: „The sole purpose of the proceedings before the courts in Ireland was to enable the High Court to refer that question of validity to the CJEU and obtain a definitive answer from the only court which has competence to make the decision in question. It is difficult, therefore, to see how the High Court needs answers to many of the questions which have been referred, for the answers to those questions are only relevant to the question of the validity of the challenged measures […].”

( 71 ) A se vedea considerentele (64)-(141) ale Deciziei privind Scutul de confidențialitate. Amintim că astfel cum reiese din articolul 1 alineatul (2) din această decizie, Scutul de confidențialitate este constituit nu numai din principiile la care trebuie să adere întreprinderile care intenționează să transfere date în temeiul deciziei menționate, ci și din declarațiile și angajamentele oficiale obținute din partea guvernului Statelor Unite și care figurează în documentele anexate la acestea.

( 72 ) Proiectul de decizie al DPC precedă adoptarea Deciziei privind Scutul de confidențialitate. Astfel cum a precizat DPC în acest proiect, în timp ce în proiectul respectiv a concluzionat cu titlu provizoriu că garanțiile prevăzute de dreptul Statelor Unite nu permiteau cel puțin să se asigure conformitatea transferurilor către țara terță respectivă cu articolul 47 din cartă, el nu a examinat sau nici nu a luat în considerare, în acest stadiu, noile aranjamente preconizate în proiectul de acord referitor la Scutul de confidențialitate, din moment ce nu fusese încă adoptat. În aceste condiții, la punctul 307 din hotărârea din 3 octombrie 2017, High Court (Înalta Curte) apreciază: „It is fair to conclude […] that the decision of the Commission in regard to the adequacy of the protections afforded to EU citizens against interference by the intelligence authorities in the [U. S.] with the fundamental rights of EU citizens whose data are transferred from the [EU] to the [U. S.], conflicts with the case made by the DPC to this court”.

( 73 ) A se vedea articolul 1 alineatele (1) și (3), precum și considerentele (14)-(16) ale Deciziei privind Scutul de confidențialitate.

( 74 ) Cauza pendinte T‑738/16, La Quadrature du Net și alții/Comisia (JO 2017, C 6, p. 39).

( 75 ) Observăm de altfel că, în observațiile scrise, DPC nu a adoptat o poziție cu privire la incidența Deciziei privind Scutul de confidențialitate asupra examinării plângerii cu care este sesizat.

( 76 ) A se vedea în această privință Hotărârea Schrems (punctul 78).

( 77 ) În susținerea acestei teze, Domnul Schrems arată că Facebook Inc. trebuie considerată nu numai o persoană împuternicită de operator, ci și un „operator”, în sensul articolului 4 punctul 7 din RGPD, în ceea ce privește prelucrarea datelor personale ale utilizatorilor rețelei sociale Facebook. A se vedea în această privință Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, punctul 30).

( 78 ) A se vedea Hotărârea High Court (Înalta Curte) din 3 octombrie 2017 (punctul 66).

( 79 ) A se vedea site‑ul internet al Scutului privind confidențialitatea (https://www.privacyshield.gov/participant_search).

( 80 ) A se vedea în acest sens Hotărârea Schrems (punctul 59).

( 81 ) A se vedea considerentul (65) al Deciziei privind Scutul de confidențialitate.

( 82 ) A se vedea anexele III‑VII la Decizia privind Scutul de confidențialitate.

( 83 ) Rezoluția Parlamentului din 6 aprilie 2017 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE‑SUA, P8_TA(2017)0131 și Rezoluția Parlamentului din 5 iulie 2018 privind caracterul adecvat al protecției asigurate de Scutul de confidențialitate UE‑SUA, P8_TA(2018)0315.

( 84 ) A se vedea Grupul de lucru „articolul 29” pentru protecția datelor (denumit în continuare „Grupul 29”), Opinion 1/2016 on the EU‑U. S. Privacy Shield draft adequacy decision, 13 aprilie 2016, WP 238; Groupe 29, EU‑US Privacy Shield – First Annual Joint Review, 28 noiembrie 2017, WP 255, și EDPB, EU‑US Privacy Shield – Second Annual Joint Review, 22 ianuarie 2019. Grupul 29 fusese constituit în temeiul articolului 29 alineatul (1) din Directiva 95/46 care prevedea caracterul consultativ și independent al acestuia. Potrivit alineatului (2) al articolului menționat, grupul amintit era compus dintr‑un reprezentant al fiecărei autorități de supraveghere naționale, dintr‑un reprezentant al fiecărei autorități create pentru instituțiile și organismele comunitare și dintr‑un reprezentant al Comisiei. De la intrarea în vigoare a RGPD, Grupul 29 a fost înlocuit cu EDPB [a se vedea articolul 94 alineatul (2) din acest regulament].

( 85 ) A se vedea AEPD, Avizul 4/2016 privind Scutul de confidențialitate UE‑SUA (Privacy Shield) – Proiect de decizie privind caracterul adecvat din 30 mai 2016. AEPD a fost instituit prin articolul 1 alineatul (2) din Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO 2001, L 8, p. 1, Ediție specială, 13/vol. 30, p. 142). Acesta verifică aplicarea dispozițiilor regulamentului menționat.

( 86 ) A se vedea punctul 112 din prezentele concluzii.

( 87 ) Amintim că echivalența substanțială a nivelului de protecție garantat de un stat terț în raport cu cel impus în Uniune trebuie să fie de asemenea evaluată atunci când, în cadrul unui transfer specific întemeiat pe clauzele contractuale standard prevăzute în Decizia 2010/87, operatorul sau, în lipsa acestuia, autoritatea de supraveghere competentă verifică dacă autoritățile publice din țara terță de destinație supun importatorul unor cerințe care depășesc limitele a ceea ce este necesar într‑o societate democratică (a se vedea clauza 5 care figurează în anexa la Decizia 2010/87, precum și nota de subsol cu privire la aceasta). A se vedea punctele 115, 134 și 135 din prezentele concluzii.

( 88 ) A se vedea punctul 117 din prezentele concluzii.

( 89 ) A se vedea punctul 197 din prezentele concluzii.

( 90 ) A se vedea în special Hotărârea din 6 noiembrie 2003, Lindqvist (C‑101/01, EU:C:2003:596, punctele 43 și 44), Hotărârea PNR (punctul 58), Hotărârea din 16 decembrie 2008, Satakunnan Markkinapörssi și Satamedia (C‑73/07, EU:C:2008:727, punctul 41), Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții (C‑203/15 și C‑698/15, EU:C:2016:970, denumită în continuare „Hotărârea Tele2 Sverige”, punctul 69), precum și Hotărârea din 2 octombrie 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, denumită în continuare „Hotărârea Ministerio Fiscal”, punctul 32).

( 91 ) Pentru a evita orice confuzie cu privire la acest aspect, subliniem că în Decizia privind Scutul de confidențialitate, Comisia nu a fost în măsură să stabilească dacă Statele Unite interceptează în mod efectiv comunicațiile care tranzitează cablurile transatlantice, din moment ce autoritățile americane nici nu au confirmat, nici nu au infirmat această propunere [a se vedea considerentul (75) al acestei decizii, precum și scrisoarea domnului Robert Litt din 22 februarie 2016, care figurează în anexa VI punctul I litera (a)]. Cu toate acestea, întrucât guvernul Statelor Unite nu a negat colectarea datelor aflate în tranzit în temeiul EO 12333, Comisia trebuia, în opinia noastră, înainte de a proceda la constatarea caracterului adecvat, să obțină din partea acestuia din urmă asigurări potrivit cărora o asemenea colectare, în situația în care ar avea loc, ar fi însoțită de garanții suficiente împotriva riscurilor de abuz. Din această perspectivă, Comisia a examinat, în considerentele (68)-(77) ale deciziei menționate, limitările și garanțiile care ar trebui aplicate într‑o asemenea situație în temeiul PPD 28.

( 92 ) Era vorba despre Decizia 2004/535/CE a Comisiei din 14 mai 2004 privind protecția adecvată a datelor cu caracter personal din registrele nominale ale pasagerilor aerieni transferate către Biroul vamal și de protecție la frontieră al Statelor Unite ale Americii (JO 2004, L 235, p. 11).

( 93 ) Hotărârea PNR (punctele 56-58). Pe de altă parte, în Hotărârea din 10 februarie 2009, Irlanda/Parlamentul și Consiliul (C‑301/06, EU:C:2009:68, punctele 90 și 91), Curtea a statuat că considerațiile dezvoltate în Hotărârea PNR nu puteau fi transpuse prelucrărilor prevăzute de Directiva 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE (JO 2006, L 105, p. 54, Ediție specială 13/vol. 53). Curtea a justificat această concluzie prin faptul că Directiva 2006/24, spre deosebire de decizia în discuție în Hotărârea PNR, reglementa numai activitățile furnizorilor de servicii în cadrul pieței interne, fără a reglementa activitățile autorităților publice în scopuri de aplicare a legii. Prin acest raționament, Curtea pare să fi afirmat că, a contrario, concluzia dedusă în Hotărârea PNR ar fi putut fi transpusă în cazul unor dispoziții referitoare la accesul la datele păstrate sau la utilizarea lor de către aceste autorități.

( 94 ) Hotărârea Tele2 Sverige (punctele 67-81).

( 95 ) Directiva Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO 2002, L 201, p. 37, Ediție specială, 13/vol. 36, p. 63).

( 96 ) Întrucât Directiva 2002/58 materializează cerințele prevăzute de Directiva 95/46, abrogată în prezent prin RGPD care reia în mare măsură conținutul acesteia, jurisprudența referitoare la interpretarea articolului 1 alineatul (3) din Directiva 2002/58 se aplică prin analogie, în opinia noastră, interpretării articolului 2 alineatul (2) din RGPD. A se vedea în acest sens Hotărârile Tele2 Sverige (punctul 69) și Ministerio Fiscal (punctul 32).

( 97 ) Hotărârea Ministerio Fiscal (punctele 34, 35 și 37).

( 98 ) Aceeași problemă a fost ridicată în cadrul a alte trei trimiteri preliminare pendinte în fața Curții. A se vedea cauza C‑623/17, Privacy International (JO 2018, C 22, p. 29), precum și cauzele conexate C‑511/18 și C‑512/18, La Quadrature du Net și alții și French Data Network și alții (JO 2018, C 392, p. 7).

( 99 ) În Hotărârea Tele2 Sverige, deși Curtea s‑a concentrat pe examinarea justificării ingerințelor care decurg din măsurile de păstrare și de acces în cauză în raport cu obiectivul de combatere a infracțiunilor penale, concluzia la care a ajuns este de asemenea valabilă, mutatis mutandis, atunci când asemenea măsuri urmăresc un obiectiv de protecție a securității naționale. Astfel, articolul 15 alineatul (1) din Directiva 2002/58 menționează, printre obiectivele care pot justifica asemenea măsuri, atât combaterea infracțiunilor, cât și protecția securității naționale. Pe de altă parte, articolul 1 alineatul (3) din Directiva 2002/58 și articolul 2 alineatul (2) din RGPD exclud din domeniul de aplicare al acestor instrumente activitățile statului atât în materie de securitate națională, cât și în domeniul penal. Măsurile în discuție în cauza în care s‑a pronunțat Hotărârea Tele2 Sverige urmăreau, de altfel, și un scop legat de securitatea națională. La punctul 119 din această hotărâre, Curtea a examinat în mod expres justificarea măsurilor referitoare la păstrarea și la accesul la date de trafic și de localizare în raport cu obiectivul de protecție a securității naționale în măsura în care include combaterea terorismului.

( 100 ) Hotărârea Tele2 Sverige (punctul 78, sublinierea noastră). Astfel cum demonstrează utilizarea termenului „[î]n plus”, doar pentru a confirma concluzia sa referitoare la aplicabilitatea Directivei 2002/58, Curtea a subliniat, la punctul 79 din această hotărâre, legătura intrinsecă dintre obligația de conservare a datelor din cauza în care s‑a pronunțat această hotărâre și dispozițiile privind accesul autorităților naționale la datele păstrate.

( 101 ) Hotărârea Ministerio Fiscal (punctul 37, sublinierea noastră).

( 102 ) A se vedea în acest sens Hotărârea Ministerio Fiscal (punctul 38).

( 103 ) A se vedea în acest sens Hotărârea din 13 mai 2014, Google Spain și Google (C‑131/12, EU:C:2014:317, punctul 28).

( 104 ) Hotărârea Schrems (punctele 91-96). În considerentele (90), (124) și (141) ale Deciziei privind Scutul de confidențialitate, Comisia face de altfel trimitere la dispozițiile cartei, acceptând astfel principiul potrivit căruia limitările drepturilor fundamentale care răspund unui obiectiv de protecție a securității naționale trebuie să fie conforme cu carta.

( 105 ) A se vedea în acest sens Hotărârea Schrems (punctele 74 și 75).

( 106 ) A se vedea în acest sens EDPB, EU‑US Privacy Shield – Second Annual Joint Review, din 22 ianuarie 2019 (p. 17, punctul 86).

( 107 ) A se vedea articolul 45 alineatul (5) din RGPD. A se vedea de asemenea Hotărârea Schrems (punctul 76).

( 108 ) Astfel, Decizia privind sfera de siguranță a fost declarată nevalidă pentru motivul că Comisia nu a afirmat în această decizie că Statele Unite asigurau efectiv un nivel de protecție adecvat în temeiul legislației lor interne sau al angajamentelor lor internaționale (Hotărârea Schrems, punctul 97). În special, Comisia nu a constatat existența nici a unor norme cu caracter statal destinate să limiteze eventualele ingerințe în drepturile fundamentale ale persoanelor vizate (Hotărârea Schrems, punctul 88), nici a unei protecții juridice eficiente împotriva unor asemenea ingerințe (Hotărârea Schrems, punctul 89).

( 109 ) Punctele 54-73 din prezentele concluzii rezumă aceste constatări.

( 110 ) A se vedea în special Hotărârea din 4 mai 1999, Sürül (C‑262/96, EU:C:1999:228, punctul 95), Hotărârea din 11 septembrie 2008, Eckelkamp și alții (C‑11/07, EU:C:2008:489, punctul 32), și Hotărârea din 26 octombrie 2016, Senior Home (C‑195/15, EU:C:2016:804, punctul 20).

( 111 ) A se vedea în această privință Hotărârea Supreme Court (Curtea Supremă) din 31 mai 2019 (punctul 6.18).

( 112 ) A se vedea Hotărârea din 13 mai 1981, International Chemical Corporation (66/80, EU:C:1981:102, punctele 12 și 13).

( 113 ) A se vedea în această privință Hotărârea din 22 martie 2012, GLS (C‑338/10, EU:C:2012:158, punctele 15, 33 și 34), în care Curtea a ținut seama, pentru a aprecia validitatea unui regulament de instituire a unei taxe antidumping, de statistici Eurostat depuse de Comisie la cererea Curții. A se vedea de asemenea Hotărârea din 22 octombrie 1991, Nölle (C‑16/90, EU:C:1991:402, punctele 17, 23 și 24). De asemenea, în Hotărârea Schrems (punctul 90), Curtea a luat în considerare, în cadrul examinării validității Deciziei privind sfera de siguranță, anumite comunicări ale Comisiei.

( 114 ) Hotărârea Schrems (punctele 73 și 74).

( 115 ) A se vedea în acest sens Grupul 29, „Adequacy Referential (updated)”, 28 noiembrie 2017, WP 254 (p. 3, 4 și 9).

( 116 ) Articolul 8 paragraful 2 din CEDO nu face însă trimitere la noțiunea de „substanță” a dreptului la respectarea vieții private. A se vedea cu privire la acest subiect nota 161 din prezentele concluzii.

( 117 ) Curtea Europeană a Drepturilor Omului, 19 iunie 2018 (CE:ECHR:2018:0619JUD003525208, denumită în continuare „Hotărârea Centrüm för Rättvisa”).

( 118 ) Curtea Europeană a Drepturilor Omului, 13 septembrie 2018 (CE:ECHR:2018:0913JUD005817013, denumită în continuare „Hotărârea Big Brother Watch”).

( 119 ) A se vedea cauzele citate la nota 98 din prezentele concluzii, precum și cauza C‑520/18, Ordre des barreaux francophones et germanophones și alții (JO 2018, C 408, p. 39).

( 120 ) Deși o prelucrare poate încălca atât articolul 7, cât și articolul 8 din cartă, cadrul de analiză pertinent în vederea aplicării articolului 8 este diferit din punct de vedere structural de cel legat de articolul 7. Dreptul la protecția datelor cu caracter personal implică, potrivit articolului 8 alineatul (2) din cartă, ca „[a]semenea date trebuie tratate în mod corect, în scopurile precizate și pe baza consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de lege” și că „[o]rice persoană are dreptul de acces la datele colectate care o privesc, precum și dreptul de a obține rectificarea acestora”. Încălcarea dreptului respectiv presupune ca datele personale să fie supuse unei prelucrări efectuate cu nerespectarea cerințelor menționate. Această situație se regăsește în special atunci când prelucrarea nu se întemeiază nici pe consimțământul persoanei vizate, nici pe un alt motiv legitim prevăzut de lege. Într‑o asemenea situație, deși problema existenței unei ingerințe și cea a justificării sale sunt diferite din punct de vedere conceptual în cadrul articolului 7, acestea se confundă în ceea ce privește articolul 8 din cartă.

( 121 ) Articolul 2 al doilea paragraf litera (b) din Directiva 2002/58 definește noțiunea de „date de transfer” ca fiind „orice date prelucrate în scopul transmiterii comunicației printr‑o rețea de comunicații electronice sau în vederea facturării”.

( 122 ) A se vedea Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238, denumită în continuare „Hotărârea Digital Rights Ireland”, punctul 27) și Hotărârea Tele2 Sverige (punctul 99). A se vedea de asemenea Curtea Europeană a Drepturilor Omului, 2 august 1984, Malone împotriva Regatului Unit (CE:ECHR:1984:0802JUD000869179, § 84) și 8 februarie 2018, Ben Faiza împotriva Franței (CE:ECHR:2018:0208JUD003144612, § 66).

( 123 ) A se vedea Hotărârea Digital Rights Ireland (punctul 33), Avizul 1/15 (punctul 124), precum și Hotărârea Ministerio Fiscal (punctul 51).

( 124 ) A se vedea considerentele (78)-(81), precum și anexa VI punctul II la Decizia privind Scutul de confidențialitate.

( 125 ) A se vedea în această privință Hotărârea Digital Rights Ireland (punctul 32).

( 126 ) A se vedea în acest sens Avizul 1/15 (punctele 124 și 125), din care reiese că comunicarea de date unui terț constituie o ingerință în exercitarea drepturilor fundamentale ale persoanelor vizate indiferent de utilizarea ulterioară a datelor respective.

( 127 ) A se vedea în acest sens Hotărârea Digital Rights Ireland (punctul 35), Hotărârea Schrems (punctul 87) și Avizul 1/15 (punctele 123-126).

( 128 ) A se vedea punctul 60 din prezentele concluzii.

( 129 ) PCLOB, Report on the Surveillance Program Operated Pursuant to Section 702 of the [FISA], 2 iulie 2014 (denumit în continuare „raportul PCLOB”, p. 84 și 111). A se vedea de asemenea Grupul 29, EU‑U. S. Privacy Shield – First Annual Joint Review, 28 noiembrie 2017, WP 255 (secțiunea B.1.1, p. 15).

( 130 ) A se vedea nota de subsol 126 din prezentele concluzii.

( 131 ) A se vedea în această privință punctul 222 din prezentele concluzii.

( 132 ) A se vedea Avizul 1/15 (punctul 123 și jurisprudența citată).

( 133 ) A se vedea în special Avizul 1/15 (punctul 146).

( 134 ) A se vedea în special Curtea Europeană a Drepturilor Omului, 2 august 1984, Malone împotriva Regatului Unit (CE:ECHR:1984:0802JUD000869179, § 66), Decizia din 29 iunie 2006, Weber și Saravia împotriva Germaniei (CE:ECHR:2006:0629DEC005493400, denumită în continuare „Decizia Weber și Saravia”, § 84 și jurisprudența citată), precum și Hotărârea din 4 decembrie 2015, Zakharov împotriva Rusiei (CE:ECHR:2015:1204JUD004714306, denumită în continuare „Hotărârea Zakharov”, § 228).

( 135 ) A se vedea în special Hotărârea Digital Rights Ireland (punctele 54 și 65), Hotărârea Schrems (punctul 91), Hotărârea Tele2 Sverige (punctul 109) și Avizul 1/15 (punctul 141).

( 136 ) A se vedea în special Decizia Weber și Saravia (§ 94 și 95), Hotărârea Zakharov (§ 236) și Curtea Europeană a Drepturilor Omului, 12 ianuarie 2016, Szabó și Vissy împotriva Ungariei (CE:ECHR:2016:0112JUD003713814, denumită în continuare „Hotărârea Szabó și Vissy”, § 59).

( 137 ) A se vedea Hotărârea Tele2 Sverige (punctul 117) și Avizul 1/15 (punctul 190). A se vedea de asemenea în special Curtea Europeană a Drepturilor Omului, 2 august 1984, Malone împotriva Regatului Unit (CE:ECHR:1984:0802JUD000869179, § 67), Hotărârea Zakharov (§ 229), și Hotărârea Szabó și Vissy (§ 62). Curtea Europeană a Drepturilor Omului precizează în acestea că cerința previzibilității nu are același conținut în materie de interceptare a comunicațiilor ca în alte domenii. În contextul măsurilor de supraveghere secretă, „cerința previzibilității nu poate însemna că trebuie să permită unei persoane să prevadă dacă și când comunicările sale riscă să fie interceptate de autorități, astfel încât să își poată adapta comportamentul în consecință”.

( 138 ) Avizul 1/15 (punctul 139). A se vedea de asemenea în acest sens Curtea Europeană a Drepturilor Omului, 25 martie 1983, Silver și alții împotriva Regatului Unit (CE:ECHR:1983:0325JUD000594772, § 88 și 89).

( 139 ) Considerentele (69)-(77), precum și anexa VI punctul I la Decizia privind Scutul de confidențialitate conțin o expunere a PPD 28. În acestea se precizează că directiva prezidențială respectivă se aplică atât activităților de colectare de informații întemeiate pe articolul 702 din FISA, cât și celor desfășurate în afara teritoriului Statelor Unite.

( 140 ) Punctul 3.7 litera c) din EO 12333 prevede: „[t]his order is intended only to improve the internal management of the executive branch and is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity, by any party against the United States, its departments, agencies or entities, its officers, employees, or agents, or any other person”. Articolul 6 litera d) din PPD 28 prevede de asemenea: „This directive is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person”.

( 141 ) A se vedea în acest sens EDPB, EU‑U. S. Privacy Shield – Second Annual Joint Review, din 22 ianuarie 2019 (punctul 99).

( 142 ) A se vedea considerentele (69) și (77) ale Deciziei privind Scutul de confidențialitate.

( 143 ) Considerentul (76) al Deciziei privind Scutul de confidențialitate.

( 144 ) A se vedea Curtea Europeană a Drepturilor Omului, 25 martie 1983, Silver și alții împotriva Regatului Unit (CE:ECHR:1983:0325JUD000594772, § 26 și 86).

( 145 ) A se vedea punctele 295-301 din prezentele concluzii. În Hotărârea Tele2 Sverige (punctele 116 și 117) și Avizul 1/15 (punctele 140 și 141), condiția previzibilității legii a fost prezentată ca fiind legată intrinsec de condiția necesității și proporționalității ingerinței. În același mod, potrivit jurisprudenței Curții Europene a Drepturilor Omului, existența unor garanții efective împotriva riscurilor de abuz contribuie atât la condiția „previzibilității” ingerinței, cât și la condiția referitoare la caracterul său „necesar într‑o societate democratică”, respectarea acestor două condiții fiind examinată împreună. A se vedea în special Curtea Europeană a Drepturilor Omului, 18 mai 2010, Kennedy împotriva Regatului Unit (CE:ECHR:2010:0518JUD002683905, § 155), Hotărârea Zakharov (§ 236), Hotărârea Centrüm för Rättvisa (§ 107), și Hotărârea Big Brother Watch (§ 322).

( 146 ) A se vedea de asemenea considerentul (104) al RGPD.

( 147 ) A se vedea Hotărârea Schrems (punctul 94). A se vedea de asemenea Hotărârile Digital Rights Ireland (punctul 39) și Tele2 Sverige (punctul 101). Ținând seama de legătura strânsă care unește drepturile la respectarea vieții private și la protecția datelor cu caracter personal, o măsură națională care conferă autorităților publice un acces generalizat la conținutul comunicațiilor ar încălca de asemenea, în opinia noastră, substanța dreptului consacrat la articolul 8 din cartă.

( 148 ) A se vedea punctul 257 din prezentele concluzii. În Hotărârea Tele2 (punctul 99), Curtea a subliniat că metadatele furnizează, printre altele, mijloacele pentru a stabili profilul persoanelor în cauză. În Avizul 04/2014 din 10 aprilie 2014 privind supravegherea comunicațiilor electronice în scopuri de colectare de informații și de securitate națională, WP 215 (p. 5), Grupul 29 a observat că, dată fiind natura lor structurată, metadatele sunt mai ușor de verificat și de analizat decât datele referitoare la conținut.

( 149 ) A se vedea Hotărârea Tele2 Sverige (punctul 99). Unii comentatori au ridicat problema temeiniciei distincției dintre accesul generalizat la conținutul comunicațiilor și accesul generalizat la metadate, având în vedere evoluția tehnologiilor și a modalităților de comunicare. A se vedea Falot, N. și Hijmans, H., „Tele2: de afweging tussen privacy en veiligheid nader omlijnd”, Nederlands Tijdschrift voor Europees Recht, nr. 3, 2017 (p. 48), precum și Ojanen, T., „Making essence of the rights real: the Court of Justice of the European Union clarifies the structure of fundamental rights under the Charter” (comentariu privind Hotărârea Schrems), European Constitutional Law Review, 2016 (p. 5).

( 150 ) A se vedea nota de subsol 87 din Decizia privind Scutul de confidențialitate. Cu toate acestea, potrivit observațiilor formulate de EPIC și răspunsului scris al guvernului Statelor Unite la întrebările adresate de Curte, FISC ar fi impus, în 2017, suspendarea căutărilor „cu privire la” un selector ca urmare a neregulilor care afectaseră căutările de acest tip. Congresul ar fi prevăzut totuși, în actul de reautorizare a FISA adoptat în 2018, posibilitatea de a reintroduce acest tip de căutări cu acordul FISC și al Congresului. A se vedea de asemenea EDPB, EU‑U. S. Privacy Shield – Second Annual Joint Review, 22 ianuarie 2019 (p. 27, punctul 55).

( 151 ) Din această perspectivă, la punctele 188 și 189 din hotărârea sa din 3 octombrie 2017, instanța de trimitere distinge căutarea „în masă” de dobândirea, colectarea sau păstrarea „în masă”. Această instanță consideră în esență că, deși programul Upstream implică o căutare „în masă” în cadrul ansamblului fluxurilor de date care tranzitează „coloana vertebrală” a telecomunicațiilor, dobândirea, colectarea și păstrarea sunt vizate în sensul că acestea au ca obiect numai datele care conțin selectoarele în cauză.

( 152 ) A se vedea în acest sens Hotărârea Supreme Court (Curtea Supremă) din 31 mai 2019 (punctele 11.2 și 11.3). Această instanță arată în hotărârea respectivă: „[I]t is inevitable that any screening process designed to identify data of interest will necessarily involve all of the data available, for the whole point of the screening process is to identify within that entire universe of available data the relevant material which may be of interest and thus require closer scrutiny. Perhaps part of the problem lies in the fact that the term «processing» covers a wide range of activity, apparently, in the view of the DPC, including screening. On the assumption that that is a correct view of the law, then it is technically correct to describe bulk screening as involving indiscriminate processing. But the use of that terminology might be taken to imply that other forms of processing, which are significantly more invasive, are carried out on an indiscriminate basis.”

( 153 ) A se vedea Avizul 1/15 (punctul 122). A se vedea de asemenea Raportul Comisiei Europene pentru democrație prin drept (Comisia de la Veneția) privind controlul democratic al agențiilor de colectare a informațiilor pe baza semnalelor electromagnetice din 15 decembrie 2015, studiul nr. 719/2013 [CDL‑AD(2015)011, p. 11]: „În practică, aspectul dacă acest proces limitează în mod convenabil intruziunile superflue în comunicările personale inofensive presupune să se stabilească dacă selectorul este suficient de pertinent și de specific, iar calitatea algoritmului programului pentru calculator utilizat pentru identificarea datelor pertinente în cadrul parametrilor aleși este satisfăcătoare […]”.

( 154 ) A se vedea punctele 297-301 din prezentele concluzii.

( 155 ) Avizul 1/15 (punctul 150).

( 156 ) A se vedea considerentele (70), (103) și (109) ale Deciziei privind Scutul de confidențialitate.

( 157 ) A se vedea considerentele (83)-(87), precum și anexa VI punctul I litera (c) la Decizia privind Scutul de confidențialitate. Observăm că, potrivit raportului PCLOB (p. 51-66), procedurile de „reducere la minimum” ale NSA în temeiul articolului 702 din FISA vizează, în majoritatea aspectelor lor, doar persoanele care sunt cetățeni americani. PPD 28 urmărea să extindă garanțiile aplicabile la persoanele care nu sunt cetățeni americani. A se vedea PCLOB, Report to the President on the Implementation of [PPD 28]: Signals Intelligence Activities, disponibil la adresa https://www.pclob.gov/reports/report‑PPD28/(p. 2). În aceste condiții, stocarea și utilizarea datelor, în scopuri de securitate națională, după ce au fost obținute de autoritățile publice, nu intră, în opinia noastră, în domeniul de aplicare al dreptului Uniunii (a se vedea punctul 226 din prezentele concluzii). Prin urmare, caracterul adecvat al nivelului de protecție asigurat în cadrul acestor activități trebuie să fie apreciat numai în raport cu articolul 8 din CEDO.

( 158 ) A se vedea punctele 283-289 din prezentele concluzii.

( 159 ) În special, Comisia a constatat, în considerentul (127) al Deciziei privind Scutul de confidențialitate, că al patrulea amendament al Constituției Statelor Unite ale Americii nu se aplică persoanelor care nu sunt cetățeni ai SUA.

( 160 ) A se vedea considerentele (73) și (74), precum și anexa VI punctul I litera (b) la Decizia privind Scutul de confidențialitate. Aceste obiective includ combaterea spionajului și a altor amenințări și activități îndreptate de puterile străine împotriva Statelor Unite și a intereselor acesteia, lupta împotriva amenințărilor teroriste, împotriva amenințărilor care decurg din dezvoltarea, deținerea, proliferarea sau utilizarea unor arme de distrugere în masă; amenințările la adresa securității cibernetice, a forțelor armate ale Statelor Unite sau a aliaților acesteia, precum și împotriva amenințărilor legate de criminalitatea transnațională. Potrivit notei de subsol 5 din PPD 28, limitarea obiectivelor care justifică utilizarea datelor colectate „în masă” nu se aplică atunci când o asemenea colectare este doar temporară și destinată să faciliteze o colectare cu țintă.

( 161 ) Deși dispozițiile CEDO nu fac referire la „substanța” drepturilor fundamentale, noțiunea echivalentă de „esența însăși” a unui drept fundamental se regăsește în jurisprudența Curții Europene a Drepturilor Omului în legătură cu unele dintre aceste dispoziții. A se vedea, în ceea ce privește esența însăși a dreptului la un proces echitabil garantat la articolul 6 din CEDO, printre altele, Curtea Europeană a Drepturilor Omului, 25 mai 1985, Ashingdane împotriva Regatului Unit (CE:ECHR:1985:0528JUD000822578, § 57 și 59); 21 decembrie 2000, Heaney and McGuinness împotriva Irlandei (CE:ECHR:2000:1221JUD003472097, § 55 și 58), și 23 iunie 2016, Baka împotriva Ungariei (CE:ECHR:2016:0623JUD002026112, § 121). În ceea ce privește esența însăși a dreptului la căsătorie, consacrat la articolul 12 din CEDO, a se vedea Curtea Europeană a Drepturilor Omului, 11 iulie 2002, Christine Goodwin împotriva Regatului Unit (CE:ECHR:2002:0711JUD002895795, § 99 și 101). În ceea ce privește esența însăși a dreptului la instruire garantat la articolul 2 din Protocolul nr. 1 la CEDO, a se vedea Curtea Europeană a Drepturilor Omului, 23 iulie 1968, cauza „referitoare la anumite aspecte ale regimului lingvistic al învățământului în Belgia” (CE:ECHR:1968:0723JUD000147462, § 5).

( 162 ) A se vedea în special Hotărârile Centrüm för Rättvisa (§ 112-114, precum și jurisprudența citată) și Big Brother Watch (§ 337).

( 163 ) A se vedea punctul 197 din prezentele concluzii.

( 164 ) A se vedea articolul 23 alineatul (1) litera (a) din RGPD.

( 165 ) A se vedea Hotărârea Schrems (punctul 88). Curtea a examinat noțiunea apropiată de „siguranță publică”, în sensul dispozițiilor TFUE care permit derogări de la libertățile fundamentale pe care le garantează, ca fiind o noțiune autonomă a dreptului Uniunii care acoperă atât securitatea internă a statelor membre, cât și securitatea lor externă [a se vedea în special Hotărârea din 26 octombrie 1999, Sirdar (C‑273/97, EU:C:1999:523, punctul 17), precum și Hotărârea din 13 septembrie 2016, CS (C‑304/14, EU:C:2016:674, punctul 39 și jurisprudența citată)]. În timp ce securitatea internă poate fi afectată, printre altele, de o amenințare directă pentru liniștea și siguranța fizică ale populației statului membru vizat, securitatea externă poate fi pusă în pericol, printre altele, de riscul unei perturbări grave a relațiilor externe sau a conviețuirii în pace a popoarelor. Fără a putea stabili unilateral conținutul acestor noțiuni, fiecare stat membru dispune de o anumită marjă de apreciere pentru definirea intereselor sale esențiale în ceea ce privește securitatea. A se vedea în special Hotărârea din 2 mai 2018, K. și H. F. (Dreptul de ședere și declararea crimelor de război) (C‑331/16 și C‑366/16, EU:C:2018:296, punctele 40-42, precum și jurisprudența citată). În opinia noastră, aceste considerații pot fi transpuse interpretării noțiunii de „securitate națională” ca interes a cărui protecție poate justifica restricțiile privind dispozițiile RGPD și drepturile garantate la articolele 7 și 8 din cartă.

( 166 ) A se vedea în această privință considerentul (89) și nota de subsol 97 din Decizia privind Scutul de confidențialitate.

( 167 ) A se vedea punctul 55 din prezentele concluzii.

( 168 ) A se vedea punctul 61 din prezentele concluzii.

( 169 ) În Hotărârea Centrüm för Rättvisa (§ 111), Curtea Europeană a Drepturilor Omului a statuat că activitățile de supraveghere care vizează susținerea politicii externe, a politicii de apărare și a politicii de securitate a Suediei, precum și identificarea amenințărilor externe organizate în Suedia urmăreau scopuri legitime referitoare la securitatea națională.

( 170 ) A se vedea cu privire la acest subiect Hotărârea Tele2 Sverige (punctul 115) și Hotărârea Ministerio Fiscal (punctul 55). Curtea a subliniat în hotărârile respective legătura dintre gradul de gravitate a unei ingerințe și cea a interesului invocat pentru a o justifica.

( 171 ) Grupul 29, în documentul său de lucru privind supravegherea comunicațiilor electronice în scopul informării și securității naționale din 5 decembrie 2014, WP 228 (p. 27), a insistat asupra importanței evaluării critice a faptului dacă supravegherea este efectiv realizată în scopuri de securitate națională.

( 172 ) A se vedea Avizul 1/15 (punctul 181), în care Curtea a statuat că formularea dispozițiilor legislative care prevăd ingerințele nu îndeplinea cerințele de claritate și de precizie, astfel încât aceste ingerințe nu erau limitate la strictul necesar. Din aceeași perspectivă, avocatul general Bot a considerat, în Concluziile prezentate în cauza Schrems (C‑362/14, EU:C:2015:627, punctele 181-184), că scopurile măsurilor de supraveghere erau formulate într‑un mod prea general pentru a fi considerate obiective de interes general, cu excepția securității naționale.

( 173 ) Îndoieli similare au fost exprimate de AEPD în Avizul 4/2016 privind Scutul de confidențialitate UE‑SUA (Privacy Shield) – Proiect de decizie privind caracterul adecvat al nivelului de protecție din 30 mai 2016 (p. 8).

( 174 ) A se vedea Hotărârea din 9 noiembrie 2010, Volker und Markus Schecke și Eifert (C‑92/09 și C‑93/09, EU:C:2010:662, punctul 48), Avizul 1/15 (punctul 136), și Hotărârea din 24 septembrie 2019, Google (Întinderea teritorială a dezindexării) (C‑507/17, EU:C:2019:772, punctul 60).

( 175 ) A se vedea în special Hotărârea din 16 decembrie 2008, Satakunnan Markkinapörssi și Satamedia (C‑73/07, EU:C:2008:727, punctul 56), Hotărârea Digital Rights Ireland (punctele 48 și 52), Hotărârea Schrems (punctele 78 și 92), precum și Avizul 1/15 (punctele 139 și 140). A se vedea de asemenea considerentul (140) al Deciziei privind Scutul de confidențialitate.

( 176 ) Hotărârea Schrems (punctul 93). A se vedea de asemenea în acest sens Hotărârea Digital Rights Ireland (punctul 60).

( 177 ) A se vedea Hotărârea Tele2 Sverige (punctul 120) și Avizul 1/15 (punctul 202).

( 178 ) Raportul PCLOB (p. 45) specifică: „With respect to the foreign intelligence purpose, the NSA targeting procedures require the analyst only to «identify» the foreign power or foreign territory regarding which the foreign intelligence information is to be acquired. By policy, but not as a requirement of the targeting procedures, the NSA also requires that all taskings be accompanied by a very brief statement (typically no more than one sentence long) that further explains the analyst’s rationale for assessing that tasking the selector in question will result in the acquisition of the types of foreign intelligence information authorized by the Section 702 certification.”

( 179 ) A se vedea în acest sens Grupul 29, Opinion 1/2016 on the EU‑U. S. Privacy Shield draft adequacy decision, 13 aprilie 2016, WP 238 (secțiunea 3.3.1, p. 38), Rezoluția Parlamentului din 6 aprilie 2017 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE‑SUA, P8_TA(2017)0131 (punctul 17), precum și Raportul Parlamentului privind efectele megadatelor asupra drepturilor fundamentale: respectarea vieții private, protecția datelor, nediscriminarea, securitatea și aplicarea legii din 20 februarie 2017, A8-0044/2017 (punctul 17).

( 180 ) A se vedea în acest sens Grupul 29, EU‑U. S. Privacy Shield – First Annual Joint Review, 28 noiembrie 2017, WP 255 (p. 3), Rezoluția Parlamentului European din 5 iulie 2018 privind caracterul adecvat al protecției asigurate de Scutul de confidențialitate UE‑SUA, P8_TA(2018)0315 (punctul 22), și EDPB, EU‑U. S. Privacy Shield – Second Annual Joint Review, 22 ianuarie 2019 (punctele 81-83 și 87).

( 181 ) A se vedea în special Hotărârile Zakharov (§ 232) și Szabó și Vissy (§ 57).

( 182 ) A se vedea în special Hotărârile Zakharov (§ 237), Centrüm för Rättvisa (§ 111) și Big Brother Watch (§ 322).

( 183 ) A se vedea în special Decizia Weber și Saravia (§ 95); Curtea Europeană a Drepturilor Omului, 28 iunie 2007, Association pour l’intégration européenne et les droits de l’homme et Ekimdjiev (CE:ECHR:2007:0628JUD006254000, § 76), precum și Hotărârea Zakharov (§ 231).

( 184 ) A se vedea în special Decizia Weber și Saravia (§ 106), Hotărârea Zakharov (§ 232) și Hotărârea Centrüm för Rättvisa (§ 104).

( 185 ) A se vedea în special Curtea Europeană a Drepturilor Omului, 6 septembrie 1978, Klass și alții împotriva Germaniei (CE:ECHR:1978:0906JUD000502971, § 55), Hotărârea Zakharov (§ 233), precum și Hotărârea Centrüm för Rättvisa (§ 105).

( 186 ) A se vedea în special Hotărârea Klass (§ 56), Curtea Europeană a Drepturilor Omului, 18 mai 2010, Hotărârea Kennedy împotriva Regatului Unit (CE:ECHR:2010:0518JUD002683905, § 167), precum și Hotărârea Zakharov (§ 233 și 258).

( 187 ) A se vedea Hotărârile Szabó și Vissy (§ 77), și Centrüm för Rättvisa (§ 133).

( 188 ) Acest lucru este valabil cu atât mai mult în lumina considerațiilor expuse la punctul 281 din prezentele concluzii.

( 189 ) A se vedea punctele 330 și 331 din prezentele concluzii.

( 190 ) Explicațiile cu privire la cartă arată cu privire la acest aspect că „protecția din dreptul Uniunii [prevăzută la articolul 47 din cartă] este mai extinsă [decât cea conferită de articolul 13 din CEDO], deoarece aceasta garantează dreptul de a apela efectiv la un judecător”. A se vedea de asemenea Concluziile avocatului general Wathelet prezentate în cauza Berlioz Investment Fund (C‑682/15, EU:C:2017:2, punctul 37).

( 191 ) Pentru a aprecia calitatea de „instanță” a unui organ în cadrul aplicării articolului 47 din cartă, trebuie luate în considerare originea legală a organului, caracterul său permanent, caracterul obligatoriu al competenței sale, natura contradictorie a procedurii, aplicarea de către acest organ a normelor de drept, precum și independența acestuia. A se vedea Hotărârea din 27 februarie 2018, Associação Sindical dos Juízes Portugueses (C‑64/16, EU:C:2018:117, punctul 38 și jurisprudența citată).

( 192 ) A se vedea în special Hotărârea din 25 iulie 2018, Minister for Justice and Equality (Deficiențe ale sistemului judiciar) (C‑216/18 PPU, EU:C:2018:586, punctele 59 și 63), Hotărârea din 5 noiembrie 2019, Comisia/Polonia (Independența instanțelor de drept comun) (C‑192/18, EU:C:2019:924, punctul 106), și Hotărârea din 19 noiembrie 2019, A. K. și alții (Independența camerei disciplinare a Curții Supreme) (C‑585/18, C‑624/18 și C‑625/18, EU:C:2019:982, punctul 120).

( 193 ) A se vedea punctul 293 din prezentele concluzii. Articolul 45 alineatul (3) litera (a) din RGPD prevede luarea în considerare, la evaluarea caracterului adecvat al nivelului de protecție furnizat de un stat membru, a unor „reparații efective pe cale administrativă și judiciară” pentru persoanele vizate (sublinierea noastră). În același mod, potrivit considerentului (104) al RGPD, adoptarea unei decizii privind caracterul adecvat al nivelului de protecție ar trebui să fie subordonată condiției ca persoanele vizate să beneficieze, în țara terță în cauză, „de reparații efective pe cale administrativă și judiciară” (sublinierea noastră). A se vedea de asemenea Grupul 29, EU‑U. S. Privacy Shield – First Annual Joint Review, 28 noiembrie 2017, WP 255 (punctul B.3), Rezoluția Parlamentului din 5 iulie 2018 privind caracterul adecvat al protecției asigurate de Scutul de confidențialitate UE‑SUA, P8_TA(2018)0315 (punctele 25 și 30), și EDPB, EU‑U. S. Privacy Shield – Second Annual Joint Review, 22 ianuarie 2019 (punctele 94-97).

( 194 ) A se vedea în acest sens Hotărârea din 28 februarie 2013, Reexaminare Arango Jaramillo și alții/BEI (C‑334/12 RX‑II, EU:C:2013:134, punctul 43).

( 195 ) Hotărârea Schrems (punctul 95).

( 196 ) Articolul 15 din RGPD, intitulat „Dreptul de acces al persoanei vizate” prevede la alineatul (1) că această persoană „are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective”. „Principiul accesului” prevăzut în anexa II punctul II.8 litera (a) din Decizia privind Scutul de protecție are aceeași semnificație.

( 197 ) Hotărârea Tele2 Sverige (punctul 121), precum și Avizul 1/15 (punctul 220). Astfel cum a observat Facebook Ireland, notificarea accesului autorităților publice la date nu poate fi, așadar, impusă în mod sistematic. În această privință, Curtea Europeană a Drepturilor Omului consideră că „[n]u poate fi posibil în practică să se impună o notificare a posteriori”, în măsura în care amenințarea care face obiectul măsurilor de supraveghere „poate subzista ani, chiar decenii” după încetarea acestor măsuri, astfel încât notificarea poate „compromite scopul pe termen lung care motiva inițial supravegherea”, precum și „dezvălui metodele de lucru ale serviciilor de informații, domeniile lor de activitate și […] identitatea agenților lor” [Hotărârea Zakharov (§ 287 și jurisprudența citată)]. În lipsa unei notificări, deși căile de atac individuale sunt, așadar, impracticabile în cazul încălcării cerințelor legale, alte garanții pot fi suficiente pentru a proteja dreptul la respectarea vieții private (a se vedea de asemenea Hotărârea Centrüm för Rättvisa, § 164-167 și 171-178). A se vedea punctul 330 din prezentele concluzii.

( 198 ) A se vedea în această privință nota de subsol 210 din prezentele concluzii.

( 199 ) A se vedea punctul 67 din prezentele concluzii.

( 200 ) A se vedea EDPB, EU‑U. S. Privacy Shield – Second Annual Joint Review, 22 ianuarie 2019 (p. 18, punctul 97).

( 201 ) A se vedea în special Hotărârea din 11 iulie 1991, Verholen și alții (C‑87/90-C‑89/90, EU:C:1991:314, punctul 24 și jurisprudența citată), precum și Hotărârea din 28 februarie 2013, Reexaminare Arango Jaramillo și alții/BEI (C‑334/12 RX‑II, EU:C:2013:134, punctul 43).

( 202 ) Guvernul SUA a precizat totuși, asemenea instanței de trimitere, că o măsură de supraveghere în temeiul articolului 702 din FISA trebuie să fie notificată persoanei vizate în cazul în care datele colectate sunt utilizate împotriva ei în cadrul unei proceduri jurisdicționale.

( 203 ) Hotărârea din 20 mai 2003, Österreichischer Rundfunk și alții (C‑465/00, C‑138/01 și C‑139/01, EU:C:2003:294, punctul 75), Hotărârea Digital Rights Ireland (punctul 33), Hotărârea Schrems (punctul 87) și Avizul 1/15 (punctul 124).

( 204 ) Aceste mecanisme sunt descrise în considerentele (95)-(110) ale Deciziei privind Scutul de confidențialitate. În considerentele respective, Comisia distinge, în cadrul categoriei normelor referitoare la „protecția juridică efectivă”, mecanismele de supraveghere [a se vedea considerentele (92)-(110)] de măsurile reparatorii individuale [a se vedea considerentele (111)-(124)].

( 205 ) A se vedea punctul 298 din prezentele concluzii.

( 206 ) Potrivit considerentului (109) al Deciziei privind Scutul de confidențialitate, „[p]rocurorul general și directorul [NSA] verifică respectarea, iar agențiile au obligația de a raporta orice incidente de neconformitate către FISC […], care, pe această bază, poate modifica autorizația”.

( 207 ) A se vedea punctele 333-340 din prezentele concluzii.

( 208 ) A se vedea punctul 305 din prezentele concluzii.

( 209 ) În jurisprudența sa referitoare la măsurile de supraveghere a telecomunicațiilor, Curtea Europeană a Drepturilor Omului a analizat problema căilor de atac în cadrul examinării „calității legii” și a necesității unei ingerințe în exercitarea dreptului garantat la articolul 8 din CEDO [a se vedea în special Hotărârile Zakharov (§ 236) și Centrüm för Rättvisa (§ 107)]. Curtea Europeană a Drepturilor Omului, în Hotărârea din 1 iulie 2008, Liberty și alții împotriva Regatului Unit (CE:ECHR:2008:0701JUD005824300, § 73), și Hotărârea Zakharov (§ 307), după ce a constatat o încălcare a articolului 8 din CEDO, nu a considerat necesar să examineze separat critica întemeiată pe articolul 13 din această convenție.

( 210 ) Potrivit Curții Europene a Drepturilor Omului, deși lipsa unei notificări într‑un anumit stadiu nu împiedică în mod necesar ca o măsură de supraveghere să îndeplinească condiția necesității „într‑o societate democratică”, aceasta compromite accesul la instanțe și, în consecință, efectivitatea căilor de atac [a se vedea în special Hotărârea din 6 septembrie 1978, Klass și alții împotriva Germaniei (CE:ECHR:1978:0906JUD000502971, § 57 și 58), Decizia Weber și Saravia (§ 135) și Hotărârea Zakharov (§ 302)].

( 211 ) A se vedea în acest sens Hotărârea Centrum för Rättvisa (§ 105).

( 212 ) În Hotărârea Big Brother Watch (§ 317), Curtea Europeană a Drepturilor Omului a refuzat să adauge, printre garanțiile minime aplicabile unui sistem de supraveghere caracterizat printr‑o interceptare masivă a comunicațiilor electronice, o cerință de notificare a supravegherii către persoanele vizate. A se vedea de asemenea Hotărârea Centrüm för Rättvisa (§ 164). Trimiterea acestor hotărâri la Marea Cameră a Curții Europene a Drepturilor Omului are, printre altele, ca obiect reexaminarea acestei concluzii.

( 213 ) Noțiunea de independență presupune un prim aspect, de ordin extern, care presupune ca instanța respectivă să fie protejată de intervenții sau de presiuni exterioare susceptibile să pună în pericol independența de judecată a membrilor săi în ceea ce privește litigiile care le sunt înaintate. Al doilea aspect, de ordin intern, al acestei noțiuni este legat de noțiunea de „imparțialitate” și vizează echidistanța față de părțile din litigiu și de interesele lor din perspectiva obiectului acestuia. A se vedea în special Hotărârea din 19 septembrie 2006, Wilson (C‑506/04, EU:C:2006:587, punctele 50-52), Hotărârea din 25 iulie 2018, Minister for Justice and Equality (Deficiențe ale sistemului judiciar) (C‑216/18 PPU, EU:C:2018:586, punctele 63 și 65), și Hotărârea din 19 noiembrie 2019, A. K. și alții (Independanța camerei disciplinare a Curții Supreme) (C‑585/18, C‑624/18 și C‑625/18, EU:C:2019:982, punctele 121 și 122). Conform principiului separației puterilor, trebuie să fie garantată independența instanțelor în special față de puterea executivă. A se vedea Hotărârea din 19 noiembrie 2019, A. K. și alții (Independența camerei disciplinare a Curții Supreme) (C‑585/18, C‑624/18 și C‑625/18, EU:C:2019:982, punctul 127 și jurisprudența citată).

( 214 ) Anexa III A la Decizia privind Scutul de confidențialitate face trimitere, în această privință, la secțiunea 4 litera (d) din PPD 28.

( 215 ) A se vedea considerentul (116) al Deciziei privind Scutul de confidențialitate.

( 216 ) În Hotărârea din 31 mai 2005, Syfait și alții (C‑53/03, EU:C:2005:333, punctul 31), Curtea a subliniat importanța unor asemenea garanții pentru îndeplinirea condiției privind independența. A se vedea de asemenea în această privință Hotărârea din 24 iunie 2019, Comisia/Polonia (Independența Curții Supreme) (C‑619/18, EU:C:2019:531, punctul 76), și Hotărârea din 5 noiembrie 2019, Comisia/Polonia (Independența instanțelor de drept comun) (C‑192/18, EU:C:2019:924, punctul 113).

( 217 ) A se vedea considerentele (65) și (121), precum și anexa III A punctul 1 la Decizia privind Scutul de confidențialitate.

( 218 ) În plus, considerentul (121) al Deciziei privind Scutul de confidențialitate precizează că „Ombudsmanul va trebui să «confirme» că: (i) plângerea a fost investigată în mod corespunzător; și că (ii) s‑a respectat legislația SUA relevantă – inclusiv, mai ales, limitările și garanțiile prezentate în anexa VI – sau, în caz de neconformitate, că o astfel de încălcare a fost remediată”.

( 219 ) Comisia a constatat, în cadrul celei de a treia revizuiri anuale a Scutului de confidențialitate, că, potrivit declarațiilor guvernului Statelor Unite, în situația în care ancheta Ombudsmanului ar evidenția o încălcare a procedurilor de direcționare și de reducere la minimum aprobate de FISC, această încălcare ar trebui supusă atenției instanței respective. În acest caz FISC ar desfășura o anchetă independentă și, dacă este necesar, ar dispune ca agenția de informații în cauză să remedieze încălcarea respectivă. A se vedea Commission staff working document accompanying the report from the Commission to the European Parliament and the Council on the third annual review of the functioning of the EU‑U. S. Privacy Shield, 23 octombrie 2019, SWD(2019) 390 final, p. 28. În acesta, Comisia se referă la documentul intitulat „Privacy Shield Ombudsperson Mechanism Unclassified Implementation Procedure”, disponibil la adresa https://www.state.gov/wp‑content/uploads/2018/12/Ombudsperson‑Mechanism‑Implementation‑Procedures‑UNCLASSIFIED.pdf (p. 4 și 5).

( 220 ) A se vedea Hotărârea din 16 mai 2017, Berlioz Investment Fund (C‑682/15, EU:C:2017:373, punctul 55). și Hotărârea din 13 decembrie 2017, El Hassani (C‑403/16, EU:C:2017:960, punctul 39).

Top