1

Prin cererea sa întemeiată pe articolul 263 TFUE, reclamantul, domnul Philippe Latombe, solicită în esență suspendarea executării Deciziei de punere în aplicare (UE) 2023/1795 a Comisiei din 10 iulie 2023 de constatare, în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului, a nivelului adecvat de protecție a datelor cu caracter personal asigurat de Cadrul UE‑SUA privind confidențialitatea datelor (JO 2023, L 231, p. 118, rectificare în JO L, 2025/90035, denumită în continuare „decizia atacată”).

2

Reclamantul este un cetățean francez care susține că utilizează diverse platforme informatice care colectează datele sale cu caracter personal și le transferă în Statele Unite.

3

În ceea ce privește transferul de date cu caracter personal din Uniunea Europeană către Statele Unite, într‑o primă etapă, prin Hotărârea din 6 octombrie 2015, Schrems (C‑362/14, denumită în continuare „Hotărârea Schrems I, EU:C:2015:650), Curtea a declarat nevalidă Decizia 2000/520/CE a Comisiei din 26 iulie 2000 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de principiile „sferei de siguranță” privind protecția vieții private și întrebările de bază aferente, publicate de Departamentul Comerțului al S.U.A. (JO 2000, L 215, p. 7, Ediție specială, 16/vol. 1, p. 64).

4

Într‑o a doua etapă, prin Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems (C‑311/18, denumită în continuare „Hotărârea Schrems II, EU:C:2020:559), Curtea a declarat nevalidă Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE‑SUA (JO 2016, L 207, p. 1, denumită în continuare „Decizia privind caracterul adecvat al Scutului de confidențialitate”).

5

În Hotărârile Schrems I și Schrems II, Curtea, sesizată cu o trimitere preliminară în aprecierea validității, a considerat printre altele că, în mod contrar aprecierii Comisiei Europene care reiese din deciziile privind caracterul adecvat al nivelului de protecție menționate la punctele 3 și 4 de mai sus, sistemul sferei de siguranță și sistemul Scutului de confidențialitate (denumit în continuare „Scutul de confidențialitate”) care reglementează transferul de date cu caracter personal nu garantau un nivel de protecție a drepturilor și libertăților fundamentale în esență echivalent cu cel garantat de dreptul Uniunii.

6

În urma Hotărârii Schrems II, Comisia a inițiat discuții cu guvernul Statelor Unite în vederea adoptării unei eventuale noi decizii privind caracterul adecvat al nivelului de protecție care ar respecta cerințele articolului 45 alineatul (2) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, rectificare în JO 2018, L 127, p. 2, denumit în continuare „RGPD”), astfel cum au fost interpretate de Curte.

7

Astfel, la 7 octombrie 2022, Statele Unite ale Americii au adoptat Executive Order 14086 (Decretul prezidențial nr. 14086, denumit în continuare „OE 14086”), care consolidează măsurile de protecție a vieții private ce reglementează activitățile de colectare de informații de tip SIGINT desfășurate de serviciile de informații cu sediul în Statele Unite. Acest decret a fost completat de Attorney General Order No. 5517‑2022 (Regulamentul procurorului general nr. 5517‑2022, denumit în continuare „Regulamentul PG”), care a adăugat partea 201 la titlul 28 din Code of Federal Regulations (CFR, Codul regulamentelor federale), ce reglementează înființarea și funcționarea Data Protection Review Court (Curtea de Reexaminare a Protecției Datelor, denumită în continuare „DPRC”).

8

La 10 iulie 2023, după examinarea acestor evoluții în materie de reglementare în Statele Unite, Comisia a adoptat, în temeiul articolului 45 alineatul (3) din RGPD, decizia atacată, care instituie noul cadru transatlantic privind fluxurile de date cu caracter personal dintre Uniune și Statele Unite. Articolul 1 din decizia menționată prevede că Statele Unite ale Americii asigură un nivel de protecție adecvat a datelor cu caracter personal transferate din Uniune către organizații din această țară și care sunt incluse în „lista Cadrului privind confidențialitatea datelor UE‑SUA” (denumită în continuare „CCD”), actualizate și publicate de Departamentul Comerțului (denumite în continuare „organizațiile CCD”).

9

Reclamantul solicită Tribunalului:

10

Comisia, susținută de Irlanda și de Statele Unite ale Americii, solicită Tribunalului:

11

Prin înscris separat depus la grefa Tribunalului la 1 decembrie 2023, Comisia a ridicat o excepție de inadmisibilitate în temeiul articolului 130 din Regulamentul de procedură al Tribunalului.

12

Comisia arată că acțiunea este inadmisibilă pentru motivul că reclamantul nu are calitate procesuală activă, că nu are interesul de a acționa și că partea din decizia atacată a cărei anulare o solicită este indisociabilă de restul acestei decizii.

13

Reclamantul contestă argumentele invocate de Comisie și susține că acțiunea sa este admisibilă.

14

În această privință, trebuie amintit că instanța Uniunii este abilitată să aprecieze, în funcție de împrejurările fiecărei cauze, dacă o bună administrare a justiției justifică respingerea pe fond a acțiunii fără a se pronunța în prealabil cu privire la admisibilitatea acesteia (a se vedea în acest sens Hotărârea din 26 februarie 2002, Consiliul/Boehringer, C‑23/00 P, EU:C:2002:118, punctele 51 și 52).

15

Astfel, ținând seama de împrejurările prezentei cauze, Tribunalul apreciază că, întrucât acțiunea este, în orice caz și pentru motivele expuse la punctele 16-204 de mai jos, nefondată, în scopul bunei administrări a justiției, este necesar să se examineze temeinicia sa fără a se pronunța în prealabil cu privire la admisibilitatea acesteia (a se vedea în acest sens Hotărârea din 10 octombrie 2014, Marchiani/Parlamentul, T‑479/13, nepublicată, EU:T:2014:866, punctul 23, și Hotărârea din 20 decembrie 2023, Naturstrom/Comisia, T‑60/21, nepublicată, EU:T:2023:839, punctul 74).

16

În susținerea acțiunii, reclamantul invocă cinci motive, întemeiate:

17

În ședință, reclamantul a renunțat la primul motiv, referitor la încălcarea articolelor 3 și 4 din Regulamentul nr. 1/1958. Prin urmare, trebuie să se examineze numai al doilea-al cincilea motiv.

18

În primul rând, trebuie să se observe că articolul 45 alineatul (1) din RGPD prevede că transferul de date cu caracter personal către o țară terță poate fi autorizat printr‑o decizie a Comisiei potrivit căreia țara terță, un teritoriu ori unul sau mai multe sectoare specificate din aceasta asigură un nivel de protecție adecvat. Această dispoziție este inclusă în capitolul V din regulamentul menționat, care, astfel cum a arătat Curtea, urmărește în mod global să asigure continuitatea nivelului ridicat al protecției datelor cu caracter personal garantat de dreptul Uniunii în temeiul acestui regulament atunci când acestea sunt transferate către o țară terță (a se vedea în acest sens Hotărârea Schrems II, punctul 93).

19

În această privință, Curtea a precizat că, fără a impune ca țara terță în cauză să asigure un nivel de protecție identic cu cel garantat în ordinea juridică a Uniunii, expresia „nivel de protecție adecvat”, care figurează la articolul 45 alineatul (1) din RGPD, trebuie înțeleasă în sensul că impune ca această țară terță să asigure efectiv, în temeiul legislației interne sau al angajamentelor sale internaționale, un nivel de protecție a drepturilor și libertăților fundamentale în esență echivalent cu cel garantat în cadrul Uniunii în temeiul regulamentului respectiv, interpretat în lumina Cartei drepturilor fundamentale (a se vedea în acest sens Hotărârea Schrems II, punctele 94 și 162).

20

Curtea a statuat de asemenea că, chiar dacă mijloacele la care țara terță a recurs pentru a asigura un nivel de protecție adecvat a datelor cu caracter personal puteau fi diferite de cele puse în aplicare în cadrul Uniunii pentru a garanta respectarea cerințelor care decurg din această Directiva 95/46, interpretată în lumina Cartei drepturilor fundamentale, aceste mijloace trebuiau totuși să se dovedească în practică efective în scopul de a asigura o protecție în esență echivalentă cu cea garantată în cadrul Uniunii (Hotărârea Schrems I, punctul 74).

21

În plus, Curtea a considerat că, ținând seama, pe de o parte, de rolul important pe care îl are protecția datelor cu caracter personal în lumina dreptului fundamental la respectarea vieții private și, pe de altă parte, de numărul important de persoane ale căror drepturi fundamentale sunt susceptibile să fie încălcate în caz de transfer al datelor cu caracter personal către o țară terță care nu asigură un nivel de protecție adecvat, puterea de apreciere a Comisiei cu privire la caracterul adecvat al nivelului de protecție asigurat de o țară terță se dovedește redusă, astfel încât este necesar ca instanța Uniunii să efectueze un control strict al legalității unei decizii privind caracterul adecvat al nivelului de protecție (Hotărârea Schrems I, punctul 78).

22

În al doilea rând, trebuie amintit că, potrivit unei jurisprudențe constante, legalitatea unui act al Uniunii trebuie apreciată în funcție de elementele de fapt și de drept existente la data adoptării acestui act, astfel încât actele ulterioare adoptării unei decizii nu pot afecta validitatea acesteia (a se vedea Hotărârea din 17 octombrie 2019, Alcogroup și Alcodis/Comisia, C‑403/18 P, EU:C:2019:870, punctul 45 și jurisprudența citată, și Hotărârea din 28 ianuarie 2021, Qualcomm și Qualcomm Europe/Comisia, C‑466/19 P, EU:C:2021:76, punctul 82 și jurisprudența citată). Prin urmare, în speță, aprecierile efectuate de Comisie cu privire la legalitatea deciziei atacate trebuie examinate numai în funcție de elementele de care dispunea la momentul la care le‑a efectuat.

23

Acesta este contextul în care trebuie analizate motivele invocate de reclamant, examinând mai întâi cel de al treilea motiv, apoi al doilea motiv, în continuare, al patrulea motiv și, în sfârșit, cel de al cincilea motiv.

24

Prin intermediul celui de al treilea motiv, reclamantul susține că Comisia a încălcat articolul 47 al doilea paragraf din Carta drepturilor fundamentale și articolul 45 alineatul (2) din RGPD, întrucât a considerat în decizia atacată că DPRC oferea un nivel de protecție adecvat în ceea ce privește dreptul cetățenilor Uniunii de a avea acces la o instanță judecătorească independentă și imparțială, constituită în prealabil prin lege.

25

Cu titlu introductiv, trebuie arătat că articolul 47 al doilea paragraf din Carta drepturilor fundamentale are următorul cuprins:

„Orice persoană are dreptul la un proces echitabil, public și într‑un termen rezonabil, în fața unei instanțe judecătorești independente și imparțiale, constituită în prealabil prin lege. Orice persoană are posibilitatea de a fi consiliată, apărată și reprezentată.”

26

Potrivit Explicațiilor cu privire la Carta drepturilor fundamentale (JO 2007, C 303, p. 17), articolul 47 al doilea paragraf din carta menționată corespunde articolului 6 paragraful 1 din Convenția pentru apărarea drepturilor omului și a libertăților fundamentale, semnată la Roma la 4 noiembrie 1950 (denumită în continuare „CEDO”). Această din urmă dispoziție are următorul cuprins:

„Orice persoană are dreptul la judecarea în mod echitabil, în mod public și într‑un termen rezonabil a cauzei sale, de către o instanță independentă și imparțială, instituită de lege, care va hotărî fie asupra încălcării drepturilor și a obligațiilor sale cu caracter civil, fie asupra temeiniciei oricărei acuzații în materie penală îndreptate împotriva sa.”

27

În această privință, trebuie amintit că, potrivit jurisprudenței, întrucât CEDO nu constituie, atât timp cât Uniunea nu a aderat la ea, un instrument juridic integrat formal în ordinea juridică a Uniunii, aprecierea validității unui act de drept derivat trebuie efectuată numai în raport cu drepturile fundamentale garantate de Carta drepturilor fundamentale (Hotărârea din 3 septembrie 2015, Inuit Tapiriit Kanatami ș.a./Comisia, C‑398/13 P, EU:C:2015:535, punctele 45 și 46).

28

Cu toate acestea, jurisprudența recunoaște că, pe de o parte, în temeiul articolului 6 alineatul (3) TUE, drepturile fundamentale recunoscute de CEDO constituie principii generale ale dreptului Uniunii și, pe de altă parte, din articolul 52 alineatul (3) din Carta drepturilor fundamentale decurge că drepturile conținute în aceasta, care corespund unor drepturi garantate prin CEDO au același înțeles și aceeași întindere ca și cele prevăzute de CEDO (a se vedea Hotărârea din 31 mai 2018, Korwin‑Mikke/Parlamentul, T‑770/16, EU:T:2018:320, punctul 38 și jurisprudența citată).

29

În consecință, în conformitate cu jurisprudența, pentru a asigura coerența și fără a aduce atingere autonomiei dreptului Uniunii și Curții de Justiție a Uniunii Europene, drepturile cuprinse în Carta drepturilor fundamentale care corespund celor garantate prin CEDO trebuie interpretate și în lumina jurisprudenței Curții Europene a Drepturilor Omului (denumită în continuare „Curtea EDO”) [a se vedea în acest sens Hotărârea din 9 noiembrie 2023, Staatssecretaris van Justitie en Veiligheid (Noțiunea de vătămări grave), C‑125/22, EU:C:2023:843, punctul 59, și Hotărârea din 31 mai 2018, Korwin‑Mikke/Parlamentul, T‑770/16, EU:T:2018:320, punctul 38].

30

Potrivit jurisprudenței, rezultă că, în temeiul articolului 52 alineatul (3) din Carta drepturilor fundamentale, Curtea trebuie să se asigure că interpretarea pe care o dă articolului 47 al doilea paragraf din carta menționată oferă un nivel de protecție care nu îl încalcă pe cel garantat la articolul 6 paragraful 1 din CEDO, astfel cum a fost interpretat de Curtea EDO [a se vedea Hotărârea din 6 octombrie 2021, W.Ż. (Camera de control extraordinar și cauze publice a Curții Supreme – Numire), C‑487/19, EU:C:2021:798, punctul 123 și jurisprudența citată].

31

Trebuie să se observe de asemenea că articolul 45 alineatul (2) din RGPD prevede că, atunci când evaluează caracterul adecvat al nivelului de protecție oferit de o țară terță, Comisia ține seama în special de următoarele elemente:

32

În lumina acestor elemente trebuie examinate cele două critici invocate de reclamant în susținerea prezentului motiv.

33

Prin intermediul primei critici a celui de al treilea motiv, reclamantul susține că DPRC nu este o instanță judecătorească independentă și imparțială în sensul articolului 47 al doilea paragraf din Carta drepturilor fundamentale, ci un organ parajurisdicțional care depinde de ramura executivă.

34

Comisia, susținută de Irlanda și de Statele Unite ale Americii, contestă argumentația reclamantului.

35

Cu titlu introductiv, trebuie să se arate că, potrivit jurisprudenței, cerința de independență a instanțelor, care este inerentă activității de judecată, ține de conținutul esențial al dreptului la protecție jurisdicțională efectivă și la un proces echitabil, care are o importanță esențială în calitate de garant al protecției ansamblului drepturilor conferite justițiabililor de dreptul Uniunii și al menținerii valorilor comune ale statelor membre prevăzute la articolul 2 TUE, în special a valorii statului de drept [Hotărârea din 15 iulie 2021, Comisia/Polonia (Regimul disciplinar al judecătorilor), C‑791/19, EU:C:2021:596, punctul 58 și jurisprudența citată]. Conform principiului separării puterilor ce caracterizează funcționarea unui stat de drept, trebuie în special să fie garantată independența instanțelor față de puterile legislativă și executivă (a se vedea Hotărârea din 18 mai 2021, Asociația Forumul Judecătorilor din România ș.a., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 și C‑397/19, EU:C:2021:393, punctul 195 și jurisprudența citată).

36

Jurisprudența precizează că cerința de independență a instanțelor cuprinde două aspecte. Primul aspect, de ordin extern, presupune ca instanța respectivă să își exercite funcțiile în deplină autonomie, fără a fi supusă niciunei legături ierarhice sau de subordonare față de nimeni și fără să primească dispoziții sau instrucțiuni, indiferent de originea lor, fiind astfel protejată de intervenții sau de presiuni exterioare susceptibile să aducă atingere independenței de judecată a membrilor săi și să le influențeze deciziile. Al doilea aspect, de ordin intern, este legat de noțiunea de imparțialitate și vizează echidistanța față de părțile în litigiu și de interesele fiecăreia dintre ele din perspectiva obiectului acestuia. Acest din urmă aspect impune respectarea obiectivității și lipsa oricărui interes în soluționarea litigiului în afară de stricta aplicare a normei de drept (a se vedea Hotărârea din 21 decembrie 2021, Euro Box Promotion ș.a., C‑357/19, C‑379/19, C‑547/19, C‑811/19 și C‑840/19, EU:C:2021:1034, punctul 224 și jurisprudența citată).

37

Garanțiile de independență și de imparțialitate impuse în temeiul dreptului Uniunii postulează existența unor norme, în special în ceea ce privește compunerea instanței, numirea, durata funcției, precum și cauzele de abținere, de recuzare și de revocare a membrilor săi, care să permită înlăturarea oricărei îndoieli legitime, în percepția justițiabililor, referitoare la impenetrabilitatea acestei instanțe în privința unor elemente exterioare și la imparțialitatea sa în raport cu interesele care se înfruntă [a se vedea Hotărârea din 15 iulie 2021, Comisia/Polonia (Regimul disciplinar al judecătorilor), C‑791/19, EU:C:2021:596, punctul 59 și jurisprudența citată].

38

Acesta este contextul în care trebuie analizate cele trei argumente invocate de reclamant în susținerea prezentei critici.

39

Prin intermediul primului argument, reclamantul susține în esență că DPRC nu este o instanță independentă și imparțială, din moment ce misiunea sa constă în reexaminarea deciziilor Civil Liberties Protection Officer of the Director of National Intelligence (responsabilul pentru protecția libertăților civile din cadrul Biroului Directorului Serviciului Național de Informații, denumit în continuare „CLPO”, Statele Unite), care aparține de Biroul Directorului Serviciului Național de Informații al Statelor Unite (denumit în continuare „Directorul Serviciului Național de Informații”).

40

Comisia, susținută de Irlanda și de Statele Unite ale Americii, contestă argumentul reclamantului.

41

Din motive de claritate, trebuie precizat că primul argument al primei critici al celui de al treilea motiv trebuie să fie interpretat în sensul că, în esență, potrivit reclamantului, pe de o parte, cu ocazia prelucrării unei plângeri privind datele cu caracter personal depuse de o persoană vizată în Uniune care dorește să invoce o încălcare a dreptului Statelor Unite ce reglementează activitățile de colectare de informații de tip SIGINT ce aduce atingere intereselor sale în materie de protecție a vieții private și a libertăților civile (denumită în continuare „plângerea privind datele cu caracter personal”), CLPO nu este însoțit de suficiente garanții pentru a‑i asigura independența, pentru motivul că aparține de Biroul Directorului Serviciului Național de Informații, și, pe de altă parte, că DPRC nu este o instanță judecătorească independentă și imparțială din cauza insuficienței garanțiilor aplicabile CLPO.

42

Trebuie arătat de la bun început că examinarea garanțiilor referitoare la independența CLPO este lipsită de relevanță pentru a aprecia dacă DPRC constituie o instanță judecătorească independentă și imparțială. Astfel, DPRC a fost instituită ca organ de supraveghere independent al CLPO, la care, după cum reiese din considerentul (184) al deciziei atacate, persoana care a introdus plângerea privind datele cu caracter personal, precum și fiecare element al Comunității Serviciilor de Informații pot solicita reexaminarea deciziei CLPO și mai multe garanții au fost prevăzute în OE nr. 14086 pentru ca deciziile CLPO să poată fi reexaminate și, dacă este cazul, modificate în mod independent și imparțial de către DPRC.

43

În primul rând, din considerentele (185) și (186) ale deciziei atacate reiese, fără ca reclamantul să conteste acest lucru, că DPRC este formată din cel puțin șase judecători care sunt numiți de Attorney General (procurorul general, Statele Unite, denumit în continuare „procurorul general”), în consultare cu Privacy and Civil Liberties Oversight Board (Comitetul de supraveghere în materie de protecție a vieții private și a libertăților civile, Statele Unite, denumit în continuare „PCLOB”), Secretary of Commerce (Secretarul pentru Comerț, Statele Unite) și directorul Serviciului Național de Informații, pentru mandate reînnoibile de patru ani, utilizând aceleași criterii cu cele care se aplică judecătorilor sistemul judiciar federal, acordând importanță oricărei experiențe judiciare anterioare. Astfel, judecătorii trebuie să fie practicieni în domeniul dreptului, și anume membri activi înscriși în barou și autorizați în mod corespunzător să exercite o profesie juridică, și să aibă experiență adecvată în domeniul legislației privind viața privată și securitatea națională. În plus, procurorul general trebuie să depună eforturi pentru a se asigura că, în orice moment, cel puțin jumătate dintre judecători au experiență judiciară anterioară și toți judecătorii trebuie să dețină autorizații de securitate pentru a putea avea acces la informații clasificate privind securitatea națională. Numai persoanele care îndeplinesc condițiile menționate anterior și nu sunt angajați ai ramurii executive la momentul numirii lor sau în ultimii doi ani pot fi numite în componența DPRC. În același sens, pe durata mandatului lor, judecătorii DPRC nu pot deține nicio funcție oficială în cadrul guvernului Statelor Unite.

44

În al doilea rând, din considerentele (188) și (189) ale deciziei atacate reiese, fără ca reclamantul să conteste acest lucru, că constatările CLPO sunt reexaminate integral de un complet de trei judecători ai DPRC asistați de un avocat special. Or, în cadrul reexaminării menționate, DPRC nu se bazează numai pe dosarul furnizat de CLPO, ci și pe informațiile și observațiile furnizate de reclamant, de avocatul special care îi asistă pe judecătorii săi și de serviciile de informații, precum și, dacă este cazul, pe informațiile suplimentare pe care le‑a solicitat în cursul examinării plângerii privind datele cu caracter personal. În plus, în cadrul acestei reexaminări, ea trebuie să aplice jurisprudența relevantă a Supreme Court of the United States (Curtea Supremă a Statelor Unite).

45

În al treilea rând, din considerentele (190) și (191) ale deciziei atacate reiese, fără ca reclamantul să conteste acest lucru, că DPRC are competență de modificare, nu este ținută de constatările CLPO și, în cazul în care nu este de acord cu acestea din urmă, poate adopta propria decizie referitoare la plângerea privind datele cu caracter personal. În plus, indiferent care este decizia adoptată de DPRC, această decizie este obligatorie și definitivă. Astfel, atât serviciile de informații, cât și guvernul Statelor Unite sunt obligate să o respecte.

46

Din ceea ce precedă rezultă că garanțiile prevăzute de OE nr. 14086 în ceea ce privește funcționarea și competențele DPRC permit o reexaminare independentă și imparțială a constatărilor adoptate de CLPO. Prin urmare, reclamantul nu poate susține în mod întemeiat că o insuficiență a garanțiilor aplicabile CLPO afectează independența și imparțialitatea DPRC.

47

În orice caz, în ceea ce privește pretinsa insuficiență a garanțiilor prin care se urmărește asigurarea independenței CLPO, trebuie să se observe cele ce urmează.

48

Este necesar să se arate că, după cum reiese din considerentele (176)-(181) ale deciziei atacate, fără ca reclamantul să conteste acest lucru, OE nr. 14086, astfel cum este completat prin Regulamentul PG, a instituit un mecanism specific de recurs pentru a gestiona plângerea privind datele cu caracter personal. Această plângere trebuie depusă la autoritatea de supraveghere competentă, în fiecare stat membru, să supravegheze prelucrarea datelor cu caracter personal, care o direcționează ulterior către CLPO, cu condiția să conțină elementele indicate în considerentul (178) din decizia atacată, și anume informații privind datele cu caracter personal despre care se presupune în mod rezonabil că au fost transferate către Statele Unite, mijloacele prin care se crede că au fost transferate, identitatea, dacă este cunoscută, a entităților guvernamentale din Statele Unite despre care se crede că sunt implicate în presupusa încălcare, temeiul în baza căruia se susține că a avut loc o încălcare a legislației Statelor Unite și natura măsurii reparatorii solicitate. În acest context, CLPO trebuie să stabilească dacă serviciile de informații au încălcat legislația Statelor Unite aplicabilă și, în caz afirmativ, poate decide ca acestea să pună în aplicare măsuri de remediere. Decizia CLPO privind plângerea menționată este obligatorie.

49

Desigur, în considerentul (179) al deciziei atacate, Comisia arată că CLPO face parte din Biroului Directorului Serviciului Național de Informații și că, pe lângă competența sa specifică de a examina plângerea privind datele cu caracter personal, acesta este obligat, mai general, să se asigure că protecția libertăților civile și a vieții private este integrată în mod corespunzător în politicile și procedurile biroului menționat și ale serviciilor de informații și că acestea respectă cerințele aplicabile privind libertățile civile și viața privată. Cu toate acestea, pe de o parte, trebuie să se observe că, astfel cum se arată în acest considerent, pentru a asigura independența CLPO, OE nr. 14086 prevede că acesta nu poate fi revocat din funcție decât de directorul menționat și numai din motive întemeiate, și anume pentru comiterea unei abateri, practici ilicite, încălcarea securității, neglijență în serviciu sau incapacitate. Pe de altă parte, astfel cum reiese din considerentul (180) al deciziei atacate, serviciilor de informații și directorului Serviciului Național de Informații le este interzis să împiedice sau să influențeze în mod necorespunzător activitatea CLPO, care, atunci când examinează o plângere privind datele cu caracter personal, trebuie să aplice legea în mod imparțial, având în vedere atât interesele naționale în materie de securitate, cât și de protecția vieții private.

50

În aceste condiții, se impune respingerea prezentului argument.

51

Prin intermediul celui de al doilea argument, reclamantul susține în esență că DPRC nu este o instanță judecătorească independentă și imparțială întrucât este compusă din judecători numiți de procurorul general în consultare cu PCLOB, care este un organ dependent de ramura executivă.

52

Comisia, susținută de Irlanda și de Statele Unite ale Americii, contestă argumentul reclamantului.

53

În primul rând, din considerentul (110) al deciziei atacate reiese că PCLOB este o agenție independentă, instituită în cadrul ramurii executive. Independența acestei agenții reiese în special din componența sa. Astfel, aceasta este constituită dintr‑un consiliu bipartizan format din cinci membri numiți de președintele Statelor Unite, cu aprobarea Senatului, pentru un mandat fix de șase ani. Membrii menționați trebuie selectați pe baza calificărilor lor profesionale, a realizărilor, a statutului public, a competențelor deținute în domeniul libertăților civile și al vieții private, precum și pe baza experienței lor, fără a se ține seama de afilierea lor politică. PCLOB nu poate avea, în nicio circumstanță, mai mult de trei membri care aparțin aceluiași partid politic. Pe durata mandatului în cadrul PCLOB, o persoană care a fost numită membru al acestuia nu poate fi funcționar ales, funcționar sau angajat al guvernului federal, putând deține doar calitatea de membru al PCLOB.

54

Rezultă că, deși PCLOB a fost instituit în cadrul ramurii executive, acesta a fost conceput, prin statutul său de constituire, ca o agenție independentă a cărei misiune constă în supravegherea, în mod imparțial, a activității desfășurate de ramura executivă în vederea protejării, printre altele, a vieții private și a libertăților civile. Astfel, după cum se arată în considerentul (194) al deciziei atacate, fără ca reclamantul să conteste acest lucru, acesta trebuie să controleze în fiecare an dacă CLPO și DPRC au gestionat cauzele primite în timp util, dacă au obținut acces la toate informațiile necesare, dacă au luat în considerare toate garanțiile prevăzute de OE nr. 14086 și dacă serviciile de informații au respectat deciziilor lor. În urma acestei verificări, el trebuie să emită o certificare publică cu privire la respectarea de către CLPO și DPRC a acestor garanții. În plus, acesta trebuie să prezinte un raport președintelui Statelor Unite, procurorului general, directorului Serviciului Național de Informații, șefilor serviciilor de informații, CLPO și comisiilor pentru informații ale United States Congress (Congresul Statelor Unite). Acest raport este făcut public într‑o versiune neclasificată. Procurorul general, directorul Serviciului Național de Informații, CLPO și șefii serviciilor de informații sunt obligați să pună în aplicare toate recomandările cuprinse în raportul menționat.

55

În aceste condiții, faptul că PCLOB a fost instituit în cadrul ramurii executive nu permite în sine să se concluzioneze că, din cauza consultării sale înainte de numirea judecătorilor DPRC, aceasta din urmă nu este o instanță judecătorească independentă și imparțială.

56

În al doilea rând, trebuie să se observe că, pentru a se asigura că judecătorii DPRC sunt independenți de ramura executivă, OE nr. 14086 prevede că, la numirea lor, procurorul general trebuie să respecte criteriile și condițiile indicate la punctul 43 de mai sus. În plus, astfel cum reiese din considerentul (187) al deciziei atacate, judecătorii DPRC pot fi revocați din funcție numai de procurorul general și numai din motive întemeiate, și anume pentru comiterea unei abateri, practici ilicite, încălcarea securității, o neglijență în serviciu sau o incapacitate, după luarea în considerare în mod corespunzător a standardelor aplicabile judecătorilor federali prevăzute în Normele de procedură privind conduita judecătorilor și incapacitatea acestora de a‑și desfășura activitatea.

57

Rezultă că normele privind numirea și revocarea judecătorilor DPRC nu pot repune în discuție independența și imparțialitatea sa.

58

În al treilea rând, trebuie arătat că, potrivit articolului 3 alineatul (1) din decizia atacată, Comisia este obligată să monitorizeze în permanență aplicarea cadrului juridic care face obiectul deciziei menționate, inclusiv condițiile în care se efectuează transferurile ulterioare de date cu caracter personal, în care se exercită drepturile individuale și în care autoritățile publice din Statele Unite au acces la datele transferate în temeiul acestei decizii, pentru a evalua dacă Statele Unite ale Americii continuă să asigure un nivel de protecție adecvat. Astfel, în conformitate cu alineatul (5) al articolului menționat, în cazul în care Comisia dispune de indicii potrivit cărora nu mai este asigurat un nivel de protecție adecvat, aceasta informează autoritățile competente din Statele Unite și, dacă este necesar, ea decide să suspende, să modifice sau să abroge decizia atacată ori să limiteze domeniul de aplicare al acesteia. Rezultă că, în cazul în care cadrul juridic în vigoare în Statele Unite la momentul adoptării deciziei atacate și care a determinat Comisia să considere în cadrul acesteia că DPRC oferea o protecție juridică în esență echivalentă cu cea garantată de dreptul Uniunii se schimbă, Comisia decide, dacă este necesar, să suspende, să modifice sau să abroge decizia atacată sau să limiteze domeniul de aplicare al acesteia.

59

Având în vedere toate aceste considerații, prezentul argument trebuie respins.

60

Prin intermediul celui de al treilea argument, reclamantul susține în esență că DPRC nu este o instanță judecătorească independentă și imparțială întrucât Regulamentul PG nu exclude posibilitatea ca judecătorii săi să fie supuși altor forme de supraveghere decât cele de zi cu zi din partea ramurii executive.

61

Comisia, susținută de Irlanda și de Statele Unite ale Americii, contestă argumentul reclamantului.

62

Trebuie să se observe că, deși din dosar rezultă că, potrivit articolului 201.7 litera (d) din Regulamentul PG, judecătorii DPRC nu trebuie să fie supuși supravegherii zilnice a procurorului general, considerentul (187) al deciziei atacate arată de asemenea că, în temeiul OE nr. 14086, serviciile de informații și procurorul general nu trebuie să intervină sau să influențeze în mod necorespunzător activitatea DPRC. În plus, din dosar reiese că OE nr. 14086 și Regulamentul PG limitează posibilitatea ramurii executive de a influența activitatea DPRC întrucât stabilesc că judecătorii săi pot fi revocați din funcție numai de procurorul general și numai din motivele indicate la punctul 56 de mai sus.

63

În acest context, este necesar să se respingă prezentul argument și, prin urmare, prima critică a celui de al treilea motiv în totalitate.

64

Prin intermediul celei de a doua critici a celui de al treilea motiv, reclamantul susține că DPRC nu a fost constituită în prealabil prin lege, în sensul articolului 47 al doilea paragraf din Carta drepturilor fundamentale, întrucât aceasta nu a fost înființată printr‑o lege adoptată de Congresul Statelor Unite, ci printr‑un act al executivului, și anume o decizie a procurorului general.

65

Comisia, susținută de Irlanda și de Statele Unite ale Americii, contestă argumentația reclamantului.

66

În primul rând, din jurisprudența Curții, dezvoltată în lumina celei a Curții EDO referitoare la articolul 6 paragraful 1 din CEDO (Curtea EDO, 1 decembrie 2020, Guðmundur Andri Ástráðsson împotriva Islandei, CE:ECHR:2020:1201JUD002637418, § 231 și 233), rezultă că, deși dreptul la o instanță judecătorească constituită în prealabil prin lege constituie un drept autonom, acesta din urmă este totuși strâns legat de garanțiile de independență și de imparțialitate care figurează în aceeași dispoziție. Mai precis, deși toate cerințele impuse de aceste noțiuni urmăresc, fiecare, un scop precis care le conferă calitatea de garanții specifice unui proces echitabil, aceste garanții urmăresc respectarea principiilor fundamentale precum supremația legii și separarea puterilor. Așadar, la baza fiecăreia dintre aceste cerințe se află imperativul menținerii încrederii pe care puterea judecătorească trebuie să o inspire justițiabilului și independența acestei puteri în raport cu celelalte puteri [a se vedea Hotărârea din 22 februarie 2022, Openbaar Ministerie (Instanță constituită prin lege în statul membru emitent), C‑562/21 PPU și C‑563/21 PPU, EU:C:2022:100, punctul 56 și jurisprudența citată, și Hotărârea din 29 martie 2022, Getin Noble Bank, C‑132/20, EU:C:2022:235, punctul 117 și jurisprudența citată].

67

Curtea a precizat de asemenea, reflectând jurisprudența Curții EDO (Curtea EDO, 8 iulie 2014, Biagioli împotriva San Marino, CE:ECHR:2014:0708DEC000816213, § 72-74; a se vedea de asemenea Curtea EDO, 2 mai 2019, Pasquini împotriva San Marino, CE:ECHR:2019:0502JUD005095616, § 100 și 101 și jurisprudența citată), că obiectivul expresiei „constituită în prealabil prin lege” este acela de a se evita ca organizarea sistemului judiciar să fie lăsată la discreția executivului și de a se asigura ca această materie să fie reglementată de o lege adoptată de puterea legislativă într‑un mod conform cu normele ce reglementează exercitarea competenței sale. Această expresie reflectă astfel principiul statului de drept și privește nu doar temeiul juridic al existenței instanței judecătorești înseși, ci și compunerea completului în fiecare cauză, precum și orice altă dispoziție de drept intern a cărei nerespectare face nelegală participarea unuia sau mai multor judecători la examinarea cauzei, ceea ce include în special dispoziții privind independența și imparțialitatea membrilor instanței avute în vedere (a se vedea Hotărârea din 29 martie 2022, Getin Noble Bank, C‑132/20, EU:C:2022:235, punctul 121 și jurisprudența citată).

68

În acest context, Curtea a statuat că o constatare cu privire la existența unei încălcări a cerinței unei instanțe judecătorești constituite în prealabil prin lege și la consecințele unei astfel de încălcări este supusă unei aprecieri globale a unui anumit număr de elemente care, privite în ansamblu, contribuie la nașterea, în percepția justițiabililor, a unor îndoieli legitime în ceea ce privește independența și imparțialitatea judecătorilor [a se vedea Hotărârea din 22 februarie 2022, Openbaar Ministerie (Instanță constituită prin lege în statul membru emitent), C‑562/21 PPU și C‑563/21 PPU, EU:C:2022:100, punctul 74 și jurisprudența citată].

69

Astfel, Curtea a considerat că împrejurarea potrivit căreia un organ precum Consiliul Național al Magistraturii, implicat în procesul de numire a judecătorilor, este compus în mod preponderent din membri aleși de puterea legislativă nu poate, în sine, să conducă la îndoieli cu privire la independența judecătorilor numiți la sfârșitul acestui proces, dar că situația poate fi diferită în cazul în care aceeași împrejurare coroborată cu alte elemente relevante și cu condițiile în care au fost făcute aceste alegeri conduce la generarea unor asemenea îndoieli [a se vedea Hotărârea din 22 februarie 2022, Openbaar Ministerie (Instanță constituită prin lege în statul membru emitent), C‑562/21 PPU și C‑563/21 PPU, EU:C:2022:100, punctul 75 și jurisprudența citată].

70

Pe de altă parte, în Hotărârea din 1 decembrie 2020, Guðmundur Andri Ástráðsson împotriva Islandei (CE:ECHR:2020:1201JUD002637418, § 207 și 212), Curtea EDO a apreciat că numirea judecătorilor de către executiv sau de către legislativ este admisibilă, cu condiția ca judecătorii astfel numiți să nu fie supuși niciunei presiuni sau niciunei influențe atunci când își exercită rolul jurisdicțional.

71

Din această jurisprudență rezultă în esență că, pentru a aprecia dacă cerințele care decurg din articolul 47 al doilea paragraf din Carta drepturilor fundamentale sunt îndeplinite, nu trebuie să existe o limitare la aprecierea naturii formale a textului juridic prin care este constituită o instanță judecătorească și care definește normele sale de funcționare, ci trebuie să se verifice dacă acest text juridic prevede garanții suficiente care urmăresc să asigure independența și imparțialitatea acesteia față de alte puteri, în special față de ramura executivă.

72

În al doilea rând, trebuie amintit că, astfel cum a statuat Curtea în Hotărârea Schrems I și în Hotărârea Schrems II, în cadrul unei decizii privind caracterul adecvat al nivelului de protecție, Comisia nu este obligată să se asigure că dispozițiile relevante ale țării terțe sunt identice cu cele în vigoare în Uniune, ci că ele sunt în esență echivalente cu cele garantate de dreptul Uniunii în temeiul RGPD, interpretat în lumina Cartei drepturilor fundamentale (a se vedea punctele 19 și 20 de mai sus). Rezultă că, în speță, Tribunalul este obligat să verifice temeinicia constatării caracterului adecvat efectuate de Comisie în decizia atacată, potrivit căreia dispozițiile dreptului Statelor Unite privind constituirea și funcționarea DPRC oferă garanții în esență echivalente cu cele prevăzute de dreptul Uniunii la articolul 47 al doilea paragraf din carta menționată. Astfel de garanții sunt oferite în special atunci când textul juridic prin care se constituie această instanță judecătorească și care definește normele sale de funcționare urmărește să îi asigure acesteia independența și imparțialitatea în raport cu celelalte puteri, în special cu ramura executivă, și aceasta în pofida faptului că textul menționat nu reprezintă, din punct de vedere formal, o lege.

73

În speță, din considerentul (185) al deciziei atacate reiese, fără ca acest lucru să fie contestat de reclamant, că DPRC a fost înființată prin Regulamentul PG. Prin urmare, DPRC nu a fost înființată printr‑o lege adoptată de ramura legislativă, și anume Congresul Statelor Unite, ci printr‑un act care a emanat de la ramura executivă. Într‑adevăr, procurorul general este șeful Departamentului de Justiție al Statelor Unite și principalul responsabil cu aplicarea legii în cadrul guvernului federal al Statelor Unite. El este principalul consilier al președintelui Statelor Unite cu privire la toate aspectele juridice și face parte din cabinetul său.

74

În acest context, trebuie să se verifice dacă, într‑un mod în esență echivalent cu dreptul Uniunii, OE nr. 14086 și Regulamentul PG prevăd garanții care urmăresc să asigure independența și imparțialitatea DPRC.

75

În această privință, în primul rând, trebuie să se observe că reiese din dosar, fără a fi contestat, că:

76

În al doilea rând, pe de o parte, trebuie amintit că din decizia atacată reiese în esență că:

77

Pe de altă parte, astfel cum reiese din considerentele (187)-(189) ale deciziei atacate, judecătorii DPRC trebuie să respecte, cu ocazia îndeplinirii misiunii lor în cadrul acesteia din urmă, următoarele garanții procedurale:

78

În al treilea rând, este necesar să se arate că au fost remediate carențele care fuseseră evidențiate de Curte în Hotărârea Schrems II în ceea ce privește lipsa garanțiilor referitoare la revocarea de către ramura executivă a Ombudsmanului pentru Scutul de confidențialitate și la lipsa caracterului obligatoriu al deciziilor sale. Astfel, din dosar rezultă că OE nr. 14086 limitează ipotezele în care procurorul general îi poate revoca din funcție pe judecătorii DPRC și prevede că deciziile sale sunt obligatorii.

79

În acest context, a doua critică a celui de al treilea motiv trebuie respinsă.

80

Această concluzie nu poate fi repusă în discuție de faptul că reiese din dosar că, la fel ca alte instanțe din sistemul juridic al Statelor Unite, cu toate că este abilitată să statueze cu privire la chestiuni juridice, DPRC nu constituie o autoritate judiciară constituită în temeiul articolului III din Constituția Statelor Unite.

81

Astfel, în Hotărârea Schrems II, Curtea a apreciat că o protecție jurisdicțională efectivă putea fi asigurată nu numai de o instanță care aparține ordinii judiciare, ci și de orice alt „organ” care oferea persoanelor ale căror date sunt transferate către Statele Unite garanții în esență echivalente cu cele prevăzute la articolul 47 din Carta drepturilor fundamentale (Hotărârea Schrems II, punctul 197).

82

Având în vedere ansamblul considerațiilor care precedă, al treilea motiv trebuie respins în totalitate.

83

Prin intermediul celui de al doilea motiv, reclamantul susține că Comisia a încălcat articolele 7 și 8 din Carta drepturilor fundamentale, întrucât aceasta a considerat în decizia atacată că Statele Unite ale Americii asigurau un nivel de protecție adecvat în ceea ce privește colectarea în masă de către serviciile de informații din această țară a unor date cu caracter personal.

84

Trebuie să se observe că, la paginile 2 și 23 din cererea introductivă, precum și la pagina 4 din replică, atunci când enunță, ca mod de redactare, cel de al doilea motiv, reclamantul se referă la încălcarea de către Comisie a articolelor 7 și 8 din Carta drepturilor fundamentale în ceea ce privește nu doar colectarea în masă, ci și colectarea masivă de date cu caracter personal. Cu toate acestea, în considerațiile care urmează enunțării, ca mod de redactare, a motivului menționat, reclamantul își concentrează argumentația numai pe colectarea în masă a acestor date.

85

Din nota de subsol 250 care figurează la pagina 46 din decizia atacată, din cuprinsul considerentului (141) al deciziei menționate, fără a fi contestat, precum și din răspunsurile furnizate de părți la întrebările adresate prin intermediul unei măsuri de organizare a procedurii și în ședință reiese că:

86

Din ceea ce precedă rezultă că, întrucât colectarea masivă nu este autorizată în Statele Unite, iar colectarea în masă poate fi efectuată numai în afara Statelor Unite, obiectul prezentului motiv se limitează în speță la aprecierea existenței unei încălcări de către Comisie a articolelor 7 și 8 din Carta drepturilor fundamentale în ceea ce privește colectarea în masă de către serviciile de informații ale Statelor Unite a unor date cu caracter personal aflate în tranzit din Uniune către organizațiile CCD, cu excluderea oricărei colectări de date cu caracter personal efectuate, dacă este cazul, pe teritoriul Uniunii de serviciile de informații ale Statelor Unite sau ale statelor membre.

87

Prin intermediul primei critici a celui de al doilea motiv, reclamantul susține că Comisia a încălcat articolele 7 și 8 din Carta drepturilor fundamentale întrucât a considerat în esență în decizia atacată că Statele Unite ale Americii ofereau un nivel de protecție în esență echivalent cu cel care este garantat de dreptul Uniunii în temeiul RGPD, interpretat în lumina cartei menționate, în pofida faptului că secțiunea 702 din FISA acordă serviciilor de informații din Statele Unite posibilitatea de a colecta în masă datele cu caracter personal ale resortisanților altor țări.

88

Comisia, susținută de Irlanda și de Statele Unite ale Americii, contestă argumentația reclamantului.

89

Trebuie arătat că secțiunea 702 din FISA nu autorizează colectarea în masă, ci numai colectarea direcționată a datelor cu caracter personal.

90

Rezultă că, în măsura în care secțiunea 702 din FISA nu privește colectarea în masă a datelor cu caracter personal, aceasta este lipsită de relevanță în speță.

91

Astfel, prima critică a celui de al doilea motiv trebuie respinsă.

92

Prin intermediul celei de a doua critici a celui de al doilea motiv, reclamantul susține că Comisia a încălcat articolele 7 și 8 din Carta drepturilor fundamentale întrucât a considerat în decizia atacată că Statele Unite ale Americii ofereau un nivel de protecție în esență echivalent cu cel care este garantat de dreptul Uniunii în temeiul RGPD, interpretat în lumina cartei menționate, în pofida faptului că OE nr. 14086 nu stabilește obligația serviciilor de informații din Statele Unite de a obține, înainte de colectarea în masă a datelor cu caracter personal, autorizarea prealabilă a unei autorități judiciare sau administrative.

93

Comisia, susținută de Irlanda și de Statele Unite ale Americii, contestă argumentația reclamantului.

94

În speță, din dosar reiese, fără ca acest lucru să fie contestat de părți, că dreptul Statelor Unite nu stabilește obligația serviciilor de informații de a obține autorizarea prealabilă a unei autorități judiciare sau administrative înainte de a efectua colectarea în masă a datelor cu caracter personal aflate în tranzit din Uniune către organizațiile CCD.

95

Trebuie să se stabilească dacă această lipsă a autorizării prealabile poate afecta legalitatea deciziei atacate, în măsura în care aceasta ar putea repune în discuție concluzia care figurează la articolul 1 din decizia menționată, potrivit căreia Statele Unite ale Americii oferă un nivel adecvat de protecție a datelor cu caracter personal.

96

Cu titlu introductiv, trebuie amintit că, astfel cum a statuat Curtea în Hotărârea Schrems II, pentru a evalua legalitatea unei decizii privind caracterul adecvat al nivelului de protecție, este necesar să se aprecieze dacă dreptul țării terțe asigură un nivel de protecție a libertăților și a drepturilor fundamentale în esență echivalent cu cel care este garantat în cadrul Uniunii în temeiul RGPD, interpretat în lumina Cartei drepturilor fundamentale (a se vedea punctul 19 de mai sus).

97

Acesta este contextul în care trebuie analizate cele patru argumente invocate de reclamant în susținerea prezentei critici.

98

Prin intermediul primului argument, reclamantul susține în esență că, la fel ca în cazul Deciziei privind caracterul adecvat al Scutului de confidențialitate, anulată de Curte în Hotărârea Schrems II ca urmare în special a neinstituirii unui control judiciar, colectarea în masă de date cu caracter personal care este efectuată în speță de serviciile de informații ale Statelor Unite nu face obiectul unei supravegheri judiciare și nu este încadrată de norme suficient de clare și de precise.

99

Comisia, susținută de Irlanda și de Statele Unite ale Americii, contestă argumentul reclamantului.

100

Trebuie să se observe că, în Hotărârea Schrems II, Curtea a statuat că articolele 7 și 8 din Carta drepturilor fundamentale participau la nivelul de protecție impus în cadrul Uniunii, a cărui respectare trebuia constatată de Comisie înainte ca aceasta să adopte o decizie privind caracterul adecvat al nivelului de protecție în temeiul articolului 45 alineatul (1) din RGPD. Astfel, potrivit Curții, orice prelucrare a datelor cu caracter personal ale unei persoane fizice, inclusiv transferul lor către o țară terță în cadrul unei decizii privind caracterul adecvat al nivelului de protecție, afectează atât dreptul fundamental al acestei persoane la respectarea vieții private, garantat la articolul 7 din carta menționată, cât și dreptul său la protecția datelor sale cu caracter personal, care figurează la articolul 8 din această cartă (Hotărârea Schrems II, punctele 169-171).

101

Curtea a precizat însă că drepturile consacrate la articolele 7 și 8 din Carta drepturilor fundamentale nu sunt prerogative absolute, ci trebuie luate în considerare în raport cu funcția lor în societate (Hotărârea Schrems II, punctul 172).

102

Astfel, conform articolului 52 alineatul (1) din Carta drepturilor fundamentale, orice restrângere a exercițiului drepturilor și libertăților recunoscute la articolele 7 și 8 din carta menționată trebuie să fie prevăzută de lege și să respecte substanța acestor drepturi și libertăți. În plus, cu respectarea principiului proporționalității, pot fi impuse restrângeri privind aceste drepturi și libertăți numai în cazul în care sunt necesare și numai dacă răspund efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți (Hotărârea Schrems II, punctul 174).

103

În acest context, Curtea a statuat că posibilitatea oferită de Decretul prezidențial nr. 12333, cu modificările ulterioare, serviciilor de informații din Statele Unite de a avea acces la datele cu caracter personal aflate în tranzit din Uniune, fără ca acest acces să fi făcut obiectul vreunui control jurisdicțional, nu permitea să se delimiteze în mod suficient de clar și de precis conținutul colectării în masă a datelor cu caracter personal care era efectuată de serviciile de informații. Astfel, aceasta a considerat că decretul prezidențial menționat nu corespundea cerințelor minime aferente, în dreptul Uniunii, principiului proporționalității și că programele de supraveghere derulate în temeiul acestui decret nu erau limitate la strictul necesar (Hotărârea Schrems II, punctele 183 și 184).

104

Este necesar să se precizeze interpretarea care trebuie dată expresiei „vreun[...] control jurisdicțional” care figurează la punctul 183 din Hotărârea Schrems II.

105

În această privință, trebuie arătat că niciun element din Hotărârea Schrems II, în special la punctul 183 din hotărârea menționată și din expresia „vreun[..] control jurisdicțional”, nu sugerează că colectarea în masă a datelor cu caracter personal trebuie să facă în mod obligatoriu obiectul unei autorizări prealabile eliberate de o autoritate independentă. Dimpotrivă, din coroborarea expresiei menționate cu punctele 186-197 din această hotărâre reiese că decizia de autorizare a unei astfel de colectări trebuie, cel puțin, să facă obiectul unui control judiciar a posteriori.

106

În speță, astfel cum se arată la punctele 24-82 de mai sus, OE nr. 14086 și Regulamentul PG supun activitățile de colectare de informații de tip SIGINT desfășurate de serviciile de informații din Statele Unite, inclusiv atunci când acestea din urmă efectuează o colectare în masă de date cu caracter personal, supravegherii judiciare a posteriori a DPRC, ale cărei decizii sunt definitive și obligatorii și se impun atât față de guvernul Statelor Unite, cât și față de serviciile menționate. În consecință, contrar celor susținute de reclamant, nu se poate considera că colectarea în masă de date cu caracter personal efectuată de serviciile de informații pe baza deciziei atacate nu îndeplinește cerințele care decurg din Hotărârea Schrems II în această privință.

107

În plus, în primul rând, trebuie amintit că, astfel cum reiese din considerentul (141) al deciziei atacate, fără ca reclamantul să conteste acest lucru, OE nr. 14086 stabilește că serviciile de informații trebuie să acorde prioritate colectării direcționate a datelor cu caracter personal. Astfel, colectarea în masă este permisă numai pentru a promova o prioritate validată în materie de informații care nu poate fi obținută în mod rezonabil printr‑o colectare direcționată. În această privință, trebuie să se observe că din considerentul (135) al deciziei menționate reiese că prioritățile validate în materie de informații sunt stabilite printr‑un proces specific menit să asigure respectarea cerințelor legale aplicabile, inclusiv a celor referitoare la viața privată și la libertățile civile. Mai precis, prioritățile în materie de informații sunt elaborate de directorul Serviciului Național de Informații și sunt transmise spre aprobare președintelui Statelor Unite. Or, înainte de a‑i propune președintelui Statelor Unite priorități în materie de informații, directorul menționat trebuie să obțină, pentru fiecare prioritate, o evaluare din partea CLPO. În cadrul acestei evaluări, CLPO trebuie să stabilească dacă prioritatea în cauză promovează unul sau mai multe dintre obiectivele legitime enumerate în OE nr. 14086, dacă aceasta nu a fost concepută pentru colectarea de informații de tip SIGINT având în vedere un obiectiv interzis și dacă a fost instituită după luarea în considerare în mod corespunzător a aspectele referitoare la viața privată și la libertățile civile ale tuturor persoanelor vizate, indiferent de cetățenia sau de locul de reședință al acestora.

108

În al doilea rând, trebuie arătat că, astfel cum se subliniază în considerentele (127)-(131), (134) și (135) ale deciziei atacate, fără ca reclamantul să conteste acest lucru, OE nr. 14086 stabilește cerințe extinse care se aplică tuturor activităților de colectare de informații de tip SIGINT, inclusiv atunci când acestea sunt efectuate prin intermediul unei colectări în masă de date cu caracter personal.

109

Primo, activitățile de colectare de informații de tip SIGINT trebuie să aibă la bază un act legislativ sau o autorizație prezidențială și să fie întreprinse în conformitate cu legislația Statelor Unite, în special cu Constituția acestora.

110

Secundo, activitățile de colectare de informații de tip SIGINT nu pot fi desfășurate decât după ce s‑a stabilit, pe baza unei evaluări rezonabile a tuturor factorilor relevanți, că acestea sunt necesare pentru urmărirea unei priorități validate în materie de informații.

111

Tertio, activitățile de colectare de informații de tip SIGINT trebuie să fie desfășoare în mod proporțional cu prioritatea validată în materie de informații pentru care au fost autorizate acestea, pentru a se ajunge la un echilibru adecvat între importanța priorității în materie de informații urmărite și impactul asupra vieții private și a libertăților civile ale persoanelor afectate, indiferent de cetățenie sau de locul de reședință al acestora.

112

Quarto, OE nr. 14086 enumeră obiectivele generale care nu pot fi urmărite prin activități de colectare de informații de tip SIGINT. Printre aceste obiective se numără îngreunarea exprimării criticilor sau a opiniilor contrare sau exprimarea liberă a ideilor sau a opiniilor politice de către persoane sau presă, dezavantajarea persoanelor pe criterii legate de originea etnică, rasă, gen, identitate de gen, orientare sexuală sau religie sau oferirea unui avantaj competitiv societăților din SUA.

113

În al treilea rând, din considerentul (141) al deciziei atacate reiese, fără ca reclamantul să conteste acest lucru, că OE nr. 14086 stabilește garanții specifice care se aplică colectării în masă a datelor cu caracter personal.

114

Mai întâi, OE nr. 14086 prevede că trebuie aplicate metode și măsuri tehnice pentru a limita datele colectate numai la ceea ce este necesar pentru a urmări o prioritate validată în materie de informații, reducând în același timp la minimum colectarea de informații nepertinente.

115

În continuare, OE nr. 14086 arată că colectarea în masă de date cu caracter personal nu poate fi efectuată decât pentru a răspunde la șase obiective specifice (denumite în continuare „obiectivele specifice ale colectării în masă”), și anume protecția împotriva terorismului, a spionajului, a armelor de distrugere în masă, a amenințărilor cibernetice, a amenințărilor îndreptate împotriva personalului Statelor Unite sau a aliaților săi și a criminalității transnaționale. Acesta prevede posibilitatea ca președintele Statelor Unite să actualizeze obiectivele specifice menționate în cazul în care intervin noi imperative de securitate națională, cum ar fi amenințări noi sau amenințări sporite la adresa securității naționale pentru care acesta consideră că ar putea fi utilizată colectarea în masă a datelor cu caracter personal. În principiu, astfel de actualizări trebuie să fie făcute publice de către directorul Serviciului Național de Informații, cu excepția cazului în care președintele Statelor Unite stabilește că acest lucru ar reprezenta un risc pentru securitatea națională a țării respective.

116

În sfârșit, OE nr. 14086 prevede că orice interogare a datelor de tip SIGINT obținute în masă poate avea loc numai dacă este necesară pentru urmărirea unei priorități validate în materie de informații, în cadrul îndeplinirii obiectivelor specifice ale colectării în masă și în conformitate cu politici și cu proceduri care iau în considerare în mod corespunzător impactul acestor interogări de date asupra vieții private și a libertăților civile ale tuturor persoanelor vizate, indiferent de cetățenia sau de locul de reședință al acestora.

117

În aceste condiții, nu se poate susține în mod valabil că punerea în aplicare a colectării în masă nu este delimitată în mod suficient de clar și de precis.

118

Având în vedere toate aceste considerații, prezentul argument trebuie respins.

119

Prin intermediul celui de al doilea argument, reclamantul, referindu‑se în mod expres la punctul 189 din Hotărârea din 6 octombrie 2020, La Quadrature du Net ș.a. (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), susține că Curtea a stabilit obligația serviciilor de informații de a obține autorizarea prealabilă a unei autorități judiciare sau administrative înainte de colectarea datelor de conectare de la operatorii care le dețineau. În opinia sa, în speță, colectarea în masă de către serviciile de informații din Statele Unite a unor date cu caracter personal aflate în tranzit din Uniune nu ar face obiectul unei astfel de autorizări prealabile.

120

Comisia, susținută de Irlanda și de Statele Unite ale Americii, contestă argumentul reclamantului.

121

Este necesar să se arate că, în Hotărârea din 6 octombrie 2020, La Quadrature du Net ș.a. (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), Curtea a considerat printre altele că articolul 15 alineatul (1) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO 2002, L 201, p. 37, Ediție specială, 13/vol. 36, p. 63), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009 (JO 2009, L 337, p. 11), citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale, trebuia interpretat în sensul că nu se opune unei reglementări naționale care impune furnizorilor de servicii de comunicații electronice să recurgă la colectarea în timp real a datelor de transfer și a datelor de localizare atunci când aceasta este limitată la persoanele în privința cărora există un motiv valabil pentru a suspecta că sunt implicate în activități de terorism și este supusă controlului prealabil al unei instanțe sau al unei entități administrative independente (punctul 192 din hotărârea menționată).

122

Rezultă că ipoteza în discuție în cauza în care s‑a pronunțat Hotărârea din 6 octombrie 2020, La Quadrature du Net ș.a. (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), diferă de cea în discuție în speță. În speță nu este vorba despre a aprecia necesitatea de a supune colectarea de către furnizorii de servicii de comunicații electronice a datelor de transfer și a datelor de localizare ale utilizatorilor suspectați de a fi implicați într‑un fel sau altul în activități de terorism controlului prealabil al unei autorități judiciare sau administrative, ci de a aprecia dacă faptul că dreptul Statelor Unite nu prevede obligația serviciilor de informații de a obține, înainte de colectarea în masă a datelor cu caracter personal aflate în tranzit către această țară, autorizarea prealabilă a unei autorități judiciare sau administrative repune în discuție temeinicia constatării caracterului adecvat al nivelului de protecție efectuate de Comisie în decizia atacată.

123

În aceste condiții, este necesar să se concluzioneze că trimiterea la Hotărârea din 6 octombrie 2020, La Quadrature du Net ș.a. (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), nu este relevantă în speță.

124

Această concluzie nu poate fi repusă în discuție de luarea în considerare a Hotărârii din 30 aprilie 2024, La Quadrature du Net ș.a. (Date personale și combaterea contrafacerii) (C‑470/21, EU:C:2024:370), cu privire la care părțile din prezenta cauză au fost invitate să se pronunțe prin intermediul unei măsuri de organizare a procedurii.

125

În cauza în care s‑a pronunțat Hotărârea din 30 aprilie 2024, La Quadrature du Net ș.a. (Date personale și combaterea contrafacerii) (C‑470/21, EU:C:2024:370), era în discuție legalitatea accesului unei autorități publice naționale responsabile cu protecția drepturilor de autor și a drepturilor conexe împotriva încălcărilor acestor drepturi săvârșite pe internet la datele păstrate de furnizorii de servicii de comunicații electronice referitoare la identitatea civilă corelativă unor adrese IP în scopul combaterii contrafacerii. Mai precis, acest acces se justifica în vederea obiectivului de a identifica titularul unei adrese IP care a desfășurat o activitate care aduce atingere drepturilor de autor sau drepturilor conexe din moment ce a pus în mod nelegal la dispoziție pe internet opere protejate în vederea descărcării lor de către alte persoane. În aceste condiții, Curtea a statuat că un control prealabil efectuat de o instanță sau de o entitate administrativă independentă:

126

Prin urmare, cauza în care s‑a pronunțat Hotărârea din 30 aprilie 2024, La Quadrature du Net ș.a. (Date personale și combaterea contrafacerii) (C‑470/21, EU:C:2024:370), privește accesul autorităților naționale la o adresă IP în scopul combaterii contrafacerii și un astfel de obiect se diferențiază de colectarea în masă de către serviciile de informații a datelor cu caracter personal aflate în tranzit din Uniune. Prin urmare, nu se poate considera, având în vedere hotărârea menționată, că colectarea în masă de către serviciile de informații ale Statelor Unite a unor date cu caracter personal aflate în tranzit din Uniune trebuie să facă obiectul unei autorizări prealabile.

127

Prin urmare, prezentul argument trebuie respins.

128

Prin intermediul celui de al treilea argument, reclamantul susține în esență că, în Hotărârea Curții EDO din 25 mai 2021, Big Brother Watch ș.a. împotriva Regatului Unit (CE:ECHR:2021:0525JUD005817013, denumită în continuare „Hotărârea Big Brother Watch”), Curtea EDO a considerat că activitățile de interceptare în masă a datelor cu caracter personal trebuiau să fie supuse autorizării prealabile a unei autorități independente din momentul în care erau definite obiectivele și conținutul operațiunii de supraveghere. În opinia sa, colectarea în masă de către serviciile de informații din Statele Unite ale Americii a datelor cu caracter personal aflate în tranzit din Uniune nu face în speță obiectul unei astfel de autorizări prealabile.

129

Comisia, susținută de Irlanda și de Statele Unite ale Americii, contestă argumentul reclamantului.

130

Este necesar să se arate că cauza în care s‑a pronunțat Hotărârea Big Brother Watch privea în special compatibilitatea, în raport cu articolul 8 din CEDO, a regimului britanic de supraveghere secretă, care oferea serviciilor de informații posibilitatea de a intercepta în masă comunicațiile electronice și datele de comunicații aferente, și anume datele de trafic care aparțin comunicațiilor interceptate, care erau efectuate în principiu în afara Insulelor Britanice.

131

În plus, astfel cum reiese din jurisprudența citată la punctul 29 de mai sus, în măsura în care articolul 8 din CEDO consacră, la fel ca articolul 7 din Carta drepturilor fundamentale, dreptul la respectarea vieții private și de familie, jurisprudența Curții EDO referitoare la articolul 8 din CEDO trebuie luată în considerare pentru a interpreta domeniul de aplicare al articolului 7 din carta menționată. Rezultă că, în cazul în care Tribunalul ar statua că Hotărârea Big Brother Watch este relevantă în speță, considerațiile invocate de Curtea EDO în această hotărâre, în ceea ce privește domeniul de aplicare al articolului 8 din CEDO, ar trebui luate în considerare pentru interpretarea domeniului de aplicare al articolului 7 din această cartă.

132

În această privință, trebuie amintit că, în Hotărârea Big Brother Watch, Curtea EDO s‑a pronunțat cu privire la legalitatea interceptării în masă de către serviciile de informații britanice a comunicațiilor electronice și a datelor de comunicații asociate care erau efectuate în principiu în afara Insulelor Britanice.

133

Or, astfel cum au arătat părțile din prezenta cauză în răspunsul lor la măsura de organizare a procedurii și în ședință, dezvoltările invocate de Curtea EDO în Hotărârea Big Brother Watch sunt relevante în speță, în măsura în care interceptarea în masă a datelor cu caracter personal care era în discuție în cauza în care s‑a pronunțat hotărârea menționată poate fi considerată ca incluzând colectarea în masă care face obiectul deciziei atacate.

134

În primul rând, este necesar să se arate că, în timp ce versiunea în limba franceză a Hotărârii Big Brother Watch utilizează expresia „interception en masse” („interceptare în masă”) de date, versiunea engleză utilizează expresia „bulk interception”, care corespunde mai precis noțiunii franceze de „interception en vrac” („interceptare în masă”).

135

În al doilea rând, spre deosebire de interceptarea țintită, interceptarea informațiilor în discuție în Hotărârea Big Brother Watch a fost definită de Curtea EDO ca fiind cea care nu viza anumite persoane și, în consecință, putea afecta un număr mare de persoane și de date de comunicații asociate și, astfel, putea avea un domeniu de aplicare foarte larg, din moment ce permitea în special colectarea de informații externe și identificarea unor noi amenințări atât din partea actorilor cunoscuți, cât și a celor necunoscuți. În plus, potrivit Curții menționate, ca urmare a finalității sale legate de protecția securității naționale, interceptarea în masă era în general efectuată de autoritățile competente în secret, ceea ce determina faptul că acestea nu făceau publice decât puține informații cu privire la funcționarea sistemului sau chiar nicio informație în acest sens (a se vedea în acest sens Hotărârea Big Brother Watch, punctul 322).

136

În al treilea rând, în Hotărârea Big Brother Watch, Curtea EDO a considerat că, deși nu toate regimurile de interceptare în masă urmau același model, iar modalitățile lor de punere în aplicare se puteau modifica fără a respecta întotdeauna o ordine cronologică strictă, interceptarea în masă era un proces gradual care se desfășura în esență potrivit următoarelor patru etape (denumite în continuare „etapele interceptării”):

137

Rezultă că o operațiune de colectare în masă a datelor cu caracter personal precum cea care face obiectul deciziei atacate intră în perimetrul primei etape a interceptării identificate de Curtea EDO în Hotărârea Big Brother Watch, în măsura în care aceasta constă în colectarea, în scopuri de protecție a securității naționale, a datelor cu caracter personal aflate în tranzit din Uniune ale unui număr mare de persoane.

138

În acest context, trebuie să se deducă consecințele Hotărârii Big Brother Watch în cadrul aprecierii legalității unei decizii privind caracterul adecvat al nivelului de protecție adoptate în temeiul articolului 45 alineatul (3) din RGPD, precum decizia atacată.

139

În această privință, în primul rând, trebuie să se observe că, în Hotărârea Big Brother Watch, Curtea EDO a precizat că articolul 8 din CEDO nu interzice utilizarea interceptării în masă pentru a proteja securitatea națională sau alte interese naționale esențiale împotriva amenințărilor exterioare grave și că statele se bucură de o marjă largă de apreciere atunci când decid ce tip de regim de interceptare este necesar (Hotărârea Big Brother Watch, punctul 347).

140

În al doilea rând, Curtea EDO a arătat că interceptarea în masă a datelor cu caracter personal trebuia să facă obiectul mai multor garanții de la un capăt la altul, care, luate împreună, constituiau piatra de temelie a oricărui sistem de interceptare în masă, și anume:

141

În al treilea rând, Curtea EDO a arătat că, deși articolul 8 din CEDO se aplica în fiecare dintre etapele interceptării, necesitatea de a prevedea garanții crește pe măsură ce procesul trece de‑a lungul diferitelor etape și, în consecință, intensitatea atingerii aduse dreptului la respectarea vieții private devine mai semnificativă. Astfel, în opinia sa, la sfârșitul procesului, atunci când sunt analizate informații referitoare la o anumită persoană sau când conținutul comunicărilor este examinat de un analist, prezența unor garanții este necesară mai mult ca niciodată (a se vedea în acest sens Hotărârea Big Brother Watch, punctele 330 și 331).

142

În al patrulea rând, Curtea EDO a considerat că, în măsura în care includerea tuturor selectorilor utilizați de serviciile de informații pentru a filtra comunicațiile colectate în perimetrul autorizării prealabile nu era fezabilă în practică, domeniul de aplicare al acestei autorizări trebuia să fie limitat pentru a include cel puțin tipurile sau categoriile de selectori care trebuie utilizate (Hotărârea Big Brother Watch, punctul 354).

143

În speță, pe de o parte, trebuie amintit că, astfel cum a statuat Curtea în Hotărârile Schrems I și Schrems II, Comisia nu este obligată, în cadrul unei decizii privind caracterul adecvat al nivelului de protecție, să se asigure că dispozițiile relevante ale țării terțe sunt identice cu cele în vigoare în Uniune, ci că ele sunt în esență echivalente cu acestea (a se vedea punctele 19 și 20 de mai sus).

144

Pe de altă parte, este necesar să se considere că, din moment ce colectarea în masă de date cu caracter personal efectuată de serviciile de informații ale Statelor Unite care este contestată în cadrul prezentului litigiu poate fi asimilată interceptării datelor care este efectuată în cadrul primei etape a interceptării precizate de Curtea EDO în Hotărârea Big Brother Watch, necesitatea de a prevedea pentru această fază specifică a colectării în masă garanții care limitează puterea discreționară a serviciilor de informații este mai limitată, ținând seama de contextul în care se efectuează interceptarea. Astfel, ceea ce este în discuție în speță este numai interceptarea inițială în masă a datelor cu caracter personal de către serviciile de informații, cu excluderea activităților ulterioare, care nu fac obiectul acestei acțiuni și care ar putea consta, dacă este cazul, în aplicarea unor selectori specifici, în examinarea datelor colectate și în utilizarea sau comunicarea lor ulterioară.

145

Rezultă că faptul de a prevedea o autorizare prealabilă nu este singura garanție care trebuie să însoțească interceptarea în masă a datelor cu caracter personal, ci constituie unul dintre elementele care, luate împreună, constituie piatra de temelie a oricărui regim de interceptare în masă. În această privință, trebuie amintit că dreptul Statelor Unite în vigoare prevede norme juridice ce reglementează în mod suficient de clar și de precis punerea în aplicare de către serviciile de informații din Statele Unite ale Americii a colectării în masă a datelor cu caracter personal (a se vedea punctele 107-116 de mai sus) și acordă persoanelor vizate de transferul datelor lor dreptul la o cale de atac jurisdicțională efectivă în fața DPRC (a se vedea punctele 33-63 de mai sus). În plus, considerentele (162)-(169) ale deciziei atacate arată, fără ca reclamantul să conteste acest lucru, că activitățile de informații desfășurate de serviciile de informații sunt controlate de PCLOB, care, astfel cum reiese din cuprinsul punctului 54 de mai sus, a fost conceput de statutul său fondator ca o agenție independentă. De asemenea, activitățile menționate fac obiectul unei supravegheri, în primul rând, din partea funcționarilor cu atribuții juridice și a responsabililor care, în cadrul fiecărui serviciu de informații, sunt însărcinați cu supravegherea și cu respectarea dreptului menționat, în al doilea rând, a inspectorului general independent cu atribuții, pentru fiecare serviciu de informații, de supraveghere a activităților de colectare de informații externe efectuate de serviciul în cauză și, în al treilea rând, a Intelligence Oversight Board (Comitetul pentru supravegherea serviciilor de informații, Statele Unite), instituit în cadrul President’s Intelligence Advisory Board (Consiliul consultativ privind serviciile de informații al președintelui, Statele Unite), și care are obligația să supravegheze respectarea legii de către autoritățile Statelor Unite, precum și, în al patrulea rând, al comisiilor speciale instituite în cadrul Congresului Statelor Unite, care exercită funcții de supraveghere a tuturor activităților de informații externe ale acestei țări.

146

Având în vedere aceste considerații, nu se poate concluziona că faptul de a nu prevedea o autorizare prealabilă care să se aplice colectării inițiale în masă de către serviciile de informații ale Statelor Unite a datelor cu caracter personal aflate în tranzit din Uniune este suficient pentru a considera că dreptul Statelor Unite nu furnizează, în lumina învățămintelor desprinse din Hotărârea Big Brother Watch, garanții în esență echivalente cu cele prevăzute de dreptul Uniunii.

147

Prin urmare, prezentul argument trebuie respins.

148

Prin intermediul celui de al patrulea argument, reclamantul arată că, în Avizul 5/2023 din 28 februarie 2023 referitor la Proiectul de decizie de punere în aplicare a Comisiei Europene privind protecția adecvată a datelor cu caracter personal în temeiul Cadrului UE‑SUA (denumit în continuare „Avizul 5/2023”), Comitetul European pentru Protecția Datelor (denumit în continuare „CEPD”) a subliniat importanța autorizării prealabile a colectării în masă a datelor cu caracter personal. În opinia sa, colectarea în masă de către serviciile de informații din Statele Unite ale Americii a datelor cu caracter personal aflate în tranzit din Uniune nu face în speță obiectul unei autorizări prealabile.

149

Comisia, susținută de Irlanda și de Statele Unite ale Americii, contestă argumentul reclamantului.

150

Trebuie să se observe că Avizul 5/2023 a fost emis de CEPD în temeiul articolului 70 alineatul (1) litera (s) din RGPD. Această dispoziție prevede că, din proprie inițiativă sau la cererea Comisiei, CEPD poate emite, în beneficiul acesteia din urmă, un aviz pentru evaluarea caracterului adecvat al nivelului de protecție într‑o țară terță.

151

Or, atunci când acționează în temeiul articolului 70 alineatul (1) din RGPD, CEPD se limitează să exercite o funcție de consiliere prin intermediul redactării de avize, de orientări, de recomandări și recomandări de bune practici care nu produc efecte juridice obligatorii (a se vedea în acest sens Ordonanța președintelui Curții din 29 noiembrie 2023, CEPD/SRB, C‑413/23 P, nepublicată, EU:C:2023:1036, punctul 11). Astfel, acest aviz nu este obligatoriu pentru Comisie, care rămâne liberă să aprecieze dacă dreptul acestei țări oferă în ansamblu un nivel de protecție în esență echivalent cu cel care este garantat de dreptul Uniunii în ceea ce privește colectarea în masă a datelor cu caracter personal. În orice caz, trebuie să se constate că CEPD nu a arătat în avizul menționat că neinstituirea unui control prealabil privind colectarea în masă a datelor cu caracter personal aducea în mod necesar atingere evaluării pozitive din partea Comisiei a caracterului adecvat al nivelului de protecție a datelor cu caracter personal oferit de CCD. Dimpotrivă, la punctul 165 din același aviz, el a arătat că această evaluare depindea de toate circumstanțele speței și în special de instituirea de către Statele Unite ale Americii a unui control judiciar a posteriori și de un mecanism al căilor de atac.

152

În acest context, Avizul 5/2023 nu permite să se considere că colectarea în masă de către serviciile de informații din Statele Unite a unor date cu caracter personal aflate în tranzit din Uniune trebuie să facă obiectul unei autorizări prealabile și că protecția oferită de această țară nu este în esență echivalentă cu cea care este garantată de dreptul Uniunii.

153

Astfel, se impune respingerea prezentului argument și, prin urmare, a celei de a doua critici din cadrul celui de al doilea motiv în totalitate.

154

Prin intermediul celei de a treia critici a celui de al doilea motiv, reclamantul susține că Comisia a încălcat articolele 7 și 8 din Carta drepturilor fundamentale atunci când a considerat în decizia atacată că Statele Unite ale Americii ofereau un nivel de protecție în esență echivalent cu cel care este garantat de dreptul Uniunii în temeiul RGPD, interpretat în lumina cartei menționate, în pofida faptului că OE nr. 14086 conferă președintelui Statelor Unite, din motive de securitate națională, posibilitatea de a autoriza o actualizare secretă a obiectivelor specifice ale colectării în masă. Mai precis, acesta apreciază că, contrar celor statuate în Hotărârea Curții EDO din 4 decembrie 2015, Roman Zakharov împotriva Rusiei (CE:ECHR:2015:1204JUD004714306, denumită în continuare „Hotărârea Zakharov”), atribuirea în favoarea respectivului președinte a competenței de a actualiza aceste obiective specifice nu permite persoanelor vizate de un transfer de date cu caracter personal să identifice în mod precis cadrul juridic în care acestea sunt prelucrate în Statele Unite.

155

Comisia, susținută de Irlanda și de Statele Unite ale Americii, contestă argumentația reclamantului.

156

Trebuie să se observe că, în Hotărârea Zakharov, Curtea EDO a considerat că o ingerință în dreptul fundamental la respectarea vieții private și de familie nu poate fi justificată în raport cu articolul 8 paragraful 2 din CEDO decât în cazul în care este prevăzută de lege (Hotărârea Zakharov, punctul 227). Or, potrivit Curții menționate, termenii „prevăzută de lege” înseamnă că măsura în litigiu trebuie să fie accesibilă persoanei interesate și trebuie să fie previzibilă în privința efectelor ei (Hotărârea Zakharov, punctul 228). În domeniul interceptării comunicațiilor, „previzibilitatea” nu însemna că o persoană trebuie să fie pusă în posibilitatea de a prevedea când autoritățile pot intercepta comunicațiile sale, ci că, în esență, limitările dreptului său la respectarea vieții private și de familie trebuiau să rezulte din norme clare (Hotărârea Zakharov, punctul 229).

157

Trebuie amintit de asemenea că, în conformitate cu jurisprudența citată la punctul 29 de mai sus, în măsura în care articolul 8 din CEDO consacră, la fel ca articolul 7 din Carta drepturilor fundamentale, dreptul la respectarea vieții private și de familie, jurisprudența Curții EDO referitoare la articolul 8 din CEDO, care include, așadar, Hotărârea Zakharov, trebuie luată în considerare pentru a interpreta, precum în speță, articolul 7 din carta menționată.

158

În această privință, reiese din secțiunea 2 litera (c) punctul (ii) partea C din OE nr. 14086 că posibilitatea acordată președintelui Statelor Unite de a actualiza lista obiectivelor specifice ale colectării în masă nu este nelimitată, ci se limitează numai la ipotezele în care această actualizare este necesară ca urmare a apariției unor noi imperative de securitate națională, cum ar fi amenințări noi sau amenințări sporite la adresa securității naționale pentru care ar putea fi utilizată colectarea în masă a datelor cu caracter personal. În plus, din această dispoziție reiese, fapt ce a fost confirmat în ședință de Statele Unite ale Americii, că actualizarea de către președintele respectiv a obiectivelor specifice menționate nu este secretă, ci face obiectul unei publicități din partea directorului Serviciului Național de Informații, cu excepția cazului în care acest președinte consideră că publicitatea respectivă constituie în sine un risc pentru securitatea națională a țării sale. În plus, chiar și în această ipoteză, colectarea în masă este supusă tuturor garanțiilor și limitărilor prevăzute de OE nr. 14086 și, în cazul în care o persoană vizată depune plângerea privind datele cu caracter personal, aceasta face obiectul unei supravegheri din partea CLPO și, dacă este cazul, al unei reexaminări de către DPRC.

159

În acest context, nu se poate considera că posibilitatea acordată președintelui Statelor Unite de a actualiza lista obiectivelor specifice ale colectării în masă este contrară cerințelor identificate de Curtea EDO în Hotărârea Zakharov.

160

Astfel, este necesar să se respingă a treia critică a celui de al doilea motiv și, prin urmare, motivul menționat în totalitate.

161

Prin intermediul celui de al patrulea motiv, reclamantul susține că Comisia a încălcat articolul 22 din RGPD întrucât aceasta a omis să prevadă în decizia atacată o dispoziție care să stabilească dreptul persoanelor vizate de a nu face obiectul unor decizii bazate exclusiv pe prelucrarea automată a datelor cu caracter personal, inclusiv crearea de profiluri, care produc efecte juridice în privința lor sau le afectează într‑o măsură semnificativă (denumite în continuare „decizii complet automatizate”).

162

Cu titlu introductiv, trebuie arătat că modul de redactare a articolului 22 din RGPD este următorul:

„(1)   Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într‑o măsură semnificativă.

(2)   Alineatul (1) nu se aplică în cazul în care decizia:

163

Trebuie să se observe de asemenea că termenul „creare[...] de profiluri”, care figurează la articolul 22 alineatul (1) din RGPD, este definit la articolul 4 punctul 4 din același regulament ca fiind „orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia”.

164

Rezultă că, potrivit articolului 22 din RGPD, orice persoană vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată a datelor cu caracter personal, inclusiv atunci când această măsură constă în analizarea și anticiparea anumitor aspecte ale comportamentului său.

165

Or, din decizia atacată reiese că aceasta nu tratează în mod specific problema referitoare la deciziile complet automatizate.

166

Astfel, este necesar să se stabilească dacă o asemenea omisiune poate afecta legalitatea deciziei atacate, în măsura în care aceasta ar putea repune în discuție concluzia care figurează la articolul 1 din decizia menționată, potrivit căreia Statele Unite ale Americii oferă un nivel adecvat de protecție a datelor cu caracter personal.

167

Acesta este contextul în care trebuie analizate cele trei critici invocate de reclamant în susținerea celui de al patrulea motiv, începând cu prima și cu a treia critică, care trebuie examinate împreună.

168

Prin intermediul primei și al celei de a treia critici ale celui de al patrulea motiv, reclamantul susține, pe de o parte, că faptul că deciziile complet automatizate sunt adoptate în general de operatori care, fiind stabiliți în Uniune, sunt supuși RGPD nu oferă garanții în ceea ce privește celelalte cazuri. Pe de altă parte, acesta arată că împrejurarea potrivit căreia dreptul Statelor Unite oferă protecții sectoriale în ipoteza în care adoptarea unor astfel de decizii nu intră în domeniul de aplicare al regulamentului menționat este lipsită de relevanță în speță, în măsura în care această împrejurare nu permite să se concluzioneze că, pe plan general, protecția pe care această țară o oferă cu privire la toate deciziile complet automatizate este echivalentă cu cea care este garantată la articolul 22 din acest regulament.

169

Comisia, susținută de Irlanda și de Statele Unite ale Americii, contestă argumentația reclamantului.

170

Trebuie arătat că din considerentul (33) al deciziei atacate reiese că, în cazul transferului de date cu caracter personal din Uniune către Statele Unite, trebuie să se distingă trei situații în ceea ce privește adoptarea deciziilor complet automatizate.

171

În primul rând, este posibil ca deciziile complet automatizate să fie adoptate de un operator stabilit în Uniune care a colectat în Uniune datele cu caracter personal ale persoanelor vizate. În această privință, trebuie să se observe că articolul 4 punctul 7 din RGPD definește operatorul ca fiind persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. În această ipoteză, în măsura în care, în conformitate cu articolul 3 alineatul (1) din regulamentul menționat, operatorul este supus aceluiași regulament, el trebuie să respecte cerințele prevăzute la articolul 22 din acest regulament în ceea ce privește astfel de decizii.

172

În al doilea rând, este posibil ca deciziile complet automatizate să fie adoptate fie de către o persoană împuternicită de operator stabilită într‑o țară terță care acționează în numele operatorului stabilit în Uniune care i‑a transferat datele cu caracter personal pe care le‑a colectat în Uniune, fie de către o persoană împuternicită de operator ulterioară care acționează în numele persoanei împuternicite de operator stabilite în Uniune care i‑a transferat datele pe care le‑a colectat în Uniune. În această privință, trebuie precizat că articolul 4 punctul 8 din RGPD definește persoana împuternicită de operator drept persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului. În aceste ipoteze, în măsura în care persoanele împuternicite de operatori străine acționează în numele operatorului sau al persoanei împuternicite de operator din Uniune, acestea sunt supuse regulamentului menționat în temeiul articolului 3 alineatul (1) din acest regulament. Astfel, în ceea ce privește asemenea decizii, operatorul și persoana împuternicită de operator trebuie să se conformeze cerințelor prevăzute la articolul 22 din același regulament.

173

În al treilea rând, este posibil ca deciziile complet automatizate să fie adoptate de un operator sau de o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, dar care se adresează persoanelor vizate care se află pe teritoriul Uniunii oferindu‑le bunuri sau servicii sau monitorizându‑le comportamentul. Or, în această ipoteză, articolul 3 alineatul (2) din RGPD prevede că operatorul străin și persoana împuternicită de operator străină sunt supuși regulamentului menționat. Astfel, în ceea ce privește deciziile complet automatizate, acestea trebuie să se conformeze cerințelor prevăzute la articolul 22 din regulamentul menționat.

174

Rezultă că din decizia atacată reiese că ipotezele în care deciziile complet automatizate nu intră în domeniul de aplicare al articolului 22 din RGPD sunt reziduale și se limitează la cazul în care organizațiile CCD colectează în mod direct, în Uniune, datele cu caracter personal, fără a oferi însă cetățenilor Uniunii bunuri sau servicii și fără a le monitoriza comportamentul, în sensul articolului 3 alineatul (2) din regulamentul menționat.

175

Or, din considerentele (35) și (36) ale deciziei atacate reiese, fără ca reclamantul să conteste acest lucru, că, în aceste ipoteze, dreptul Statelor Unite oferă protecții sectoriale asemănătoare celor prevăzute de RGPD în domenii precum creditarea, ofertele de credite ipotecare, ocuparea forței de muncă, locuințele și asigurările, în care este mai probabil ca organizațiile CCD să adopte decizii complet automatizate.

176

Astfel, în materia creditului de consum, Fair Credit Reporting Act (Legea privind raportarea echitabilă a creditelor) și Equal Credit Opportunity Act (Legea privind egalitatea de șanse în materie de credit) conțin garanții care oferă consumatorilor, într‑o anumită formă, dreptul la explicații și dreptul de a contesta deciziile complet automatizate. Aceste acte legislative sunt relevante într‑o gamă largă de domenii, inclusiv în domeniul creditării, al ocupării forței de muncă, al locuințelor și al asigurărilor. În plus, titlul VII din Civil Rights Act (Legea privind drepturile civile) și Fair Housing Act (Legea privind egalitatea de șanse în materie de locuințe) oferă protecție persoanelor fizice în ceea ce privește modelele utilizate în deciziile complet automatizate care ar putea conduce la discriminare pe baza anumitor caracteristici și le acordă dreptul de a contesta astfel de decizii. În plus, în ceea ce privește informațiile referitoare la sănătate, normele adoptate de autoritățile din Statele Unite în temeiul Health Insurance Portability and Accountability Act (Legea privind portabilitatea și răspunderea în materie de asigurări de sănătate) impun furnizorilor de servicii medicale să primească informații care să le permită să informeze persoanele cu privire la sistemele aferente proceselor decizionale automatizate din sectorul medical.

177

În acest context, contrar celor susținute de reclamant, nu se poate considera că protecțiile sectoriale prevăzute de dreptul Statelor Unite sunt lipsite de relevanță în speță întrucât nu au aceeași aplicabilitate generală ca articolul 22 din RGPD.

178

În această privință, trebuie amintit că, în Hotărârile Schrems I și Schrems II, Curtea a statuat că, fără a impune ca țara terță în cauză să garanteze un nivel de protecție identic cu cel care era garantat în ordinea juridică a Uniunii, expresia „nivel de protecție adecvat”, care figurează la articolul 45 alineatul (1) din RGPD, trebuie înțeleasă în sensul că impune ca această țară terță să asigure efectiv, în temeiul legislației sale interne sau al angajamentelor sale internaționale, un nivel de protecție a drepturilor și libertăților fundamentale în esență echivalent cu cel care este garantat în cadrul Uniunii în temeiul regulamentului menționat, interpretat în lumina Cartei drepturilor fundamentale (a se vedea punctele 19 și 20 de mai sus).

179

În plus, în Hotărârea Schrems I, Curtea a considerat că, deși mijloacele la care a recurs țara terță pentru a asigura un nivel de protecție adecvat a datelor cu caracter personal puteau fi diferite de cele puse în aplicare în cadrul Uniunii, aceste mijloace trebuiau totuși să se dovedească în practică efective pentru a asigura o protecție în esență echivalentă cu cea care este garantată în cadrul Uniunii (a se vedea punctul 20 de mai sus).

180

Având în vedere toate aceste considerații, prima și a treia critică ale celui de al patrulea motiv trebuie respinse.

181

Prin intermediul celei de a doua critici a celui de al patrulea motiv, reclamantul susține că este lipsit de relevanță în speță faptul că studiul privind deciziile complet automatizate, citat în considerentul (34) al deciziei atacate, pe care Comisia l‑a comandat în anul 2018 și ale cărui rezultate figurează la punctul 4.1.5 din Raportul COM(2018) 860 final al Comisiei către Parlamentul European și Consiliu din 19 decembrie 2018 privind cea de a doua evaluare anuală a funcționării Scutului de confidențialitate (denumit în continuare „studiul din 2018”) a concluzionat că nu exista nicio dovadă a existenței unor decizii complet automatizate adoptate de organizații stabilite în Statele Unite care au aderat la Scutul de confidențialitate. Mai precis, el arată că studiul menționat se referă la Decizia privind caracterul adecvat al Scutului de confidențialitate care a fost anulată de Curte în Hotărârea Schrems II și că nu ia în considerare situația actuală, care se caracterizează printr‑o dezvoltare extrem de rapidă a serviciilor complet automatizate bazate pe inteligența artificială.

182

Comisia, susținută de Irlanda și de Statele Unite ale Americii, contestă argumentația reclamantului.

183

Din studiul din 2018 reiese în special că, pe de o parte, nici o dată nu permitea, la acel moment, să se considere că întreprinderile stabilite în Statele Unite care aderaseră la Scutul de confidențialitate adoptaseră decizii complet automatizate și, pe de altă parte, Statele Unite ale Americii puseseră în aplicare legislații sectoriale în domenii precum creditul de consum, ocuparea forței de muncă, locuințele, asigurările și sănătatea, în care era mai probabil să fie adoptate decizii complet automatizate.

184

În această privință, în primul rând, trebuie să se observe că studiul din 2018 nu este citat în Decizia privind caracterul adecvat al Scutului de confidențialitate și a fost comandat de Comisie după intrarea în vigoare a deciziei menționate. Faptul că această decizie a fost anulată de Curte în Hotărârea Schrems II este, așadar, lipsit de relevanță în speță. În plus, în Hotărârea Schrems II, Curtea nu a anulat decizia menționată pe baza elementelor indicate în studiul menționat.

185

În al doilea rând, este adevărat, studiul din 2018 nu a luat în considerare situația de fapt și de drept prezentă în Statele Unite în anul 2023, la data adoptării deciziei atacate, ci pe cea prezentă în anul 2018, atunci când a fost realizat. Cu toate acestea, natura reziduală a cazurilor în care organizații stabilite în Statele Unite care au aderat la Scutul de confidențialitate adoptaseră decizii complet automatizate a fost confirmată de Raportul COM(2019) 495 final al Comisiei către Parlamentul European și Consiliu din 23 octombrie 2019 privind cea de a treia evaluare anuală a Scutului de confidențialitate. Astfel, în acest raport se arăta printre altele că numărul de organizații stabilite în Statele Unite ale Americii participante la Scutul de confidențialitate care adoptaseră decizii complet automatizate era limitat și că deciziile adoptate de aceste organizații nu aveau în general efecte juridice și nu produceau alte efecte față de persoanele vizate.

186

În al treilea rând, trebuie să se observe că, în înscrisurile sale, reclamantul nu a furnizat niciun element de probă care să permită să se considere că, după realizarea studiului din 2018, unele organizații stabilite în Statele Unite au adoptat decizii complet automatizate și nu a explicat corespunzător cerințelor legale motivul pentru care evoluția inteligenței artificiale ar lipsi de relevanță studiul menționat.

187

În acest context, este necesar să se respingă a doua critică a celui de al patrulea motiv și, prin urmare, motivul menționat în totalitate.

188

Prin intermediul celui de al cincilea motiv, reclamantul susține că Comisia a încălcat articolul 32 din RGPD coroborat cu articolul 45 alineatul (2) din același regulament, în măsura în care aceasta a considerat în decizia atacată că Statele Unite ale Americii ofereau un nivel de protecție în esență echivalent cu cel care este garantat în Uniune în ceea ce privește instituirea de către operatorii și persoanele împuternicite de operatori stabiliți în Statele Unite ale Americii a unor măsuri tehnice și organizatorice adecvate pentru a asigura securitatea prelucrării datelor cu caracter personal transferate din Uniune către această țară.

189

În această privință, în primul rând, reclamantul arată că punctul II.4 litera a din anexa I la decizia atacată se limitează să prevadă că organizațiile CCD trebuie să ia măsuri de securitate rezonabile și adecvate numai atunci când creează, mențin, utilizează sau diseminează date cu caracter personal. Astfel, nu ar fi necesară nicio măsură de securitate atunci când aceste organizații consultă date cu caracter personal care provin din Uniune. Reclamantul susține că consultarea face totuși parte dintre operațiunile incluse în noțiunea de „prelucrare” a datelor cu caracter personal care figurează la articolul 4 punctul 2 din RGPD.

190

În al doilea rând, reclamantul susține că punctul III.6 litera f din anexa I la decizia atacată prevede obligația organizațiilor stabilite în Statele Unite care ies din CCD de a continua să respecte principiile care figurează în această decizie, inclusiv pe cele referitoare la securitatea prelucrării, atât timp cât acestea păstrează, utilizează sau divulgă date cu caracter personal transferate din Uniune către Statele Unite, dar nu prevede o astfel de obligație atunci când aceleași organizații consultă date cu caracter personal.

191

Comisia, susținută de Irlanda și de Statele Unite ale Americii, contestă argumentația reclamantului.

192

Cu titlu introductiv, mai întâi, trebuie amintit că modul de redactare a articolului 32 din RGPD este următorul:

„(1)   Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

(2)   La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într‑un alt mod.”

193

În continuare, termenul „prelucrare” ce figurează la articolul 32 din RGPD este definit la articolul 4 punctul 2 din același regulament drept „orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.

194

Potrivit jurisprudenței, reiese în special din expresia „orice operațiune” care figurează la articolul 4 punctul 2 din RGPD că legiuitorul Uniunii a intenționat să confere noțiunii de „prelucrare” un domeniu de aplicare larg, ceea ce este confirmat de caracterul neexhaustiv, exprimat prin locuțiunea „cum ar fi”, al operațiunilor enumerate la dispoziția menționată (a se vedea Hotărârea din 7 martie 2024, Endemol Shine Finland, C‑740/22, EU:C:2024:216, punctul 29 și jurisprudența citată).

195

În sfârșit, este necesar să se arate că, printre elementele pe care Comisia trebuie să le ia în considerare atunci când evaluează, în temeiul articolului 45 alineatul (2) litera (a) din RGPD, nivelul de protecție oferit de o țară terță, figurează măsurile de securitate privind datele cu caracter personal instituite de această țară.

196

Acesta este contextul în care trebuie analizate, împreună, cele două argumente invocate de reclamant în susținerea prezentului motiv.

197

În această privință, trebuie amintit că modul de redactare a punctului II.4 litera a din anexa I la decizia atacată este următorul:

„Organizațiile care creează, gestionează, utilizează sau diseminează informații cu caracter personal trebuie să ia măsuri rezonabile și adecvate pentru a preveni pierderea, utilizarea abuzivă, accesul neautorizat, divulgarea, modificarea și distrugerea acestor informații, ținând seama în mod corespunzător de riscurile pe care le presupune prelucrarea și natura datelor cu caracter personal în cauză.”

198

În plus, modul de redactare a punctului III.6 litera f din anexa I la decizia atacată este următorul:

„O organizație trebuie să supună principiilor toate datele cu caracter personal primite din UE în baza [CCD]. Angajamentul de aderare la principii nu este limitat în timp în ceea ce privește datele cu caracter personal primite în perioada în care organizația beneficiază de [CCD]; angajamentul luat de o organizație înseamnă că aceasta va continua să aplice principiile în ceea ce privește datele respective pe toată perioada în care organizația le păstrează, le utilizează sau le divulgă, chiar dacă aceasta părăsește ulterior, dintr‑un motiv sau altul, [CCD].”

199

Rezultă că punctul II.4 litera a și punctul III.6 litera f din anexa I la decizia atacată nu privesc orice formă de prelucrare a datelor cu caracter personal, în sensul articolului 4 punctul 2 din RGPD. Dimpotrivă, pe de o parte, primul dintre punctele menționate limitează obligația organizațiilor CCD de a adopta măsuri de securitate numai la ipotezele în care acestea creează, gestionează, utilizează sau diseminează date cu caracter personal. Pe de altă parte, al doilea punct citat prevede că organizațiile care părăsesc CCD trebuie să continue să aplice principiile care figurează în decizia atacată atât timp cât păstrează, utilizează sau divulgă date cu caracter personal transferate din Uniune către Statele Unite.

200

Or, în primul rând, trebuie amintit că, în Hotărârile Schrems I și Schrems II, Curtea a considerat că nu era necesar ca țara terță să asigure o protecție juridică identică cu cea care este garantată în ordinea juridică a Uniunii (a se vedea punctele 19 și 20 de mai sus). Rezultă că, deși Comisia apreciază în decizia atacată că dreptul Statelor Unite în vigoare la momentul adoptării acestei decizii garantează un nivel de protecție în esență echivalent cu cel prevăzut în dreptul Uniunii, nu este necesar ca decizia menționată să conțină exact aceiași termeni precum cei care figurează în RGPD.

201

În al doilea rând, principiile care figurează la punctul II.4 litera a din anexa I la decizia atacată trebuie interpretate în lumina elementelor care figurează în considerentul (23) al deciziei menționate, care, în mod similar articolului 32 din RGPD, enunță următoarele:

„De asemenea, datele cu caracter personal ar trebui prelucrate într‑un mod care să le asigure securitatea, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale. În acest scop, operatorii și persoanele împuternicite de operatori ar trebui să ia măsurile tehnice sau organizatorice adecvate pentru a proteja datele cu caracter personal împotriva eventualelor amenințări. Aceste măsuri ar trebui evaluate luând în considerare stadiul actual al tehnologiei, costurile aferente și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile la adresa drepturilor persoanelor.”

202

În al treilea rând, este necesar să se arate că termenii „a crea”, „a gestiona”, „a utiliza” și „a disemina” care figurează la punctul II.4 litera a din anexa I la decizia atacată, precum și termenii „a păstra”, „a utiliza” și „a divulga” care figurează la punctul III.6 litera f din aceeași anexă constituie manifestări specifice ale operațiunii care constă în „prelucrare[a]” datelor cu caracter personal în sensul articolului 32 din RGPD și că, la fel ca acesta, ele urmăresc să acopere o gamă largă de operațiuni privind datele cu caracter personal.

203

În al patrulea rând, termenul „a utiliza”, care figurează atât la punctul II.4 litera a din anexa I la decizia atacată, cât și la punctul III.6 litera f din aceeași anexă, se definește drept faptul de a recurge la ceva pentru un scop sau pentru o utilizare precisă. Din această perspectivă, utilizarea datelor cu caracter personal include consultarea acestora, în măsura în care, prin definiție, pentru a putea recurge la date, este necesar în prealabil să existe accesul la acestea și, prin urmare, să fie consultate. Rezultă că argumentul reclamantului potrivit căruia nicio măsură de securitate nu este impusă în decizia atacată atunci când organizațiile CCD consultă date cu caracter personal care provin din Uniune nu este întemeiat.

204

Având în vedere toate aceste elemente, este necesar să se respingă al cincilea motiv și, prin urmare, acțiunea în totalitate.

205

Potrivit articolului 134 alineatul (1) din Regulamentul de procedură, partea care cade în pretenții este obligată, la cerere, la plata cheltuielilor de judecată.

206

Întrucât Comisia a solicitat obligarea reclamantului la plata cheltuielilor de judecată, iar acesta a căzut în pretenții, se impune obligarea acestuia să suporte, pe lângă propriile cheltuieli de judecată, pe cele efectuate de Comisie, inclusiv pe cele aferente procedurii măsurilor provizorii.

207

Pe de altă parte, potrivit articolului 138 alineatul (1) din Regulamentul de procedură, statele membre și instituțiile care au intervenit în litigiu suportă propriile cheltuieli de judecată. În consecință, Irlanda va suporta propriile cheltuieli de judecată.

208

Potrivit articolului 138 alineatul (3) din Regulamentul de procedură, Tribunalul poate decide ca un intervenient, altul decât cei menționați la alineatele (1) și (2) ale acestui articol, să suporte propriile cheltuieli de judecată. În speță, este necesar să se decidă ca Statele Unite ale Americii să suporte propriile cheltuieli de judecată.

Pentru aceste motive,

TRIBUNALUL (Camera a zecea extinsă)

declară și hotărăște: