I. Introducere

II. Cadrul juridic

A. Directiva 95/46/CE

B. RGPD

C. Decizia 2010/87

D. Decizia privind Scutul de confidențialitate

III. Litigiul principal, întrebările preliminare și procedura în fața Curții

IV. Analiză

A. Considerații introductive

B. Cu privire la admisibilitatea trimiterii preliminare

1. Cu privire la aplicabilitatea ratione temporis a Directivei 95/46

2. Cu privire la caracterul provizoriu al îndoielilor exprimate de DPC

3. Cu privire la incertitudinile legate de definirea situației de fapt

C. Cu privire la aplicabilitatea dreptului Uniunii în cazul transferurilor în scopuri comerciale de date cu caracter personal către un stat terț susceptibil să le prelucreze în scopuri de securitate națională (prima întrebare)

D. Cu privire la nivelul de protecție impus în cadrul unui transfer întemeiat pe clauze contractuale standard (prima parte a celei de a șasea întrebări)

E. Cu privire la validitatea Deciziei 2010/87 în raport cu articolele 7, 8 și 47 din cartă (a șaptea, a opta și a unsprezecea întrebare)

1. Cu privire la obligațiile care revin operatorilor

2. Cu privire la obligațiile care revin autorităților de supraveghere

F. Cu privire la lipsa necesității de a răspunde la celelalte întrebări preliminare și de a examina validitatea Deciziei privind Scutul de confidențialitate

1. Cu privire la lipsa necesității răspunsurilor Curții în raport cu obiectul litigiului principal

2. Cu privire la motivele care pledează în defavoarea unei examinări de către Curte în raport cu obiectul procedurii pendinte în fața DPC

G. Observații subsidiare referitoare la efectele și la validitatea Deciziei privind Scutul de confidențialitate

1. Cu privire la incidența Deciziei privind Scutul de confidențialitate în cadrul examinării de către o autoritate de supraveghere a unei plângeri referitoare la legalitatea unui transfer întemeiat pe garanții contractuale

2. Cu privire la validitatea Deciziei privind Scutul de confidențialitate

a) Precizări privind conținutul examinării validității unei decizii privind caracterul adecvat al nivelului de protecție

1) Cu privire la termenii comparației care permite evaluarea „echivalenței substanțiale” a nivelului de protecție

2) Cu privire la necesitatea de a asigura un nivel adecvat de protecție în cursul etapei de tranzit al datelor

3) Cu privire la luarea în considerare a constatărilor de fapt efectuate de Comisie și de instanța de trimitere în legătură cu dreptul Statelor Unite

4) Cu privire la domeniul de aplicare al standardului „echivalenței substanțiale”

b) Cu privire la validitatea Deciziei privind Scutul de confidențialitate în raport cu drepturile la respectarea vieții private și la protecția datelor cu caracter personal

1) Cu privire la existența unor ingerințe

2) Cu privire la caracterul „prevăzut de lege” al ingerințelor

3) Cu privire la lipsa unei atingeri aduse substanței drepturilor fundamentale

4) Cu privire la urmărirea unui obiectiv legitim

5) Cu privire la caracterul necesar și proporțional al ingerințelor

c) Cu privire la validitatea Deciziei privind Scutul de confidențialitate în raport cu dreptul la o cale de atac efectivă

1) Cu privire la efectivitatea acțiunilor în justiție prevăzute de dreptul american

2) Cu privire la incidența mecanismului de tip Ombudsman asupra nivelului de protecție a dreptului la o cale de atac efectivă

V. Concluzie

1.

În lipsa unor garanții comune în domeniul protecției datelor cu caracter personal la nivel mondial, fluxurile transfrontaliere ale unor astfel de date sunt însoțite de un risc de întrerupere a continuității nivelului de protecție asigurat în cadrul Uniunii Europene. Preocupat să faciliteze aceste fluxuri, cu limitarea în același timp a riscului respectiv, legiuitorul Uniunii a instituit trei mecanisme în temeiul cărora datele cu caracter personal pot fi transferate din Uniune către un stat terț.

2.

În primul rând, un asemenea transfer poate fi efectuat în temeiul unei decizii prin care Comisia Europeană constată că statul terț în cauză asigură un „nivel de protecție adecvat” cu privire la datele care sunt transferate în acesta ( 2 ). În al doilea rând, în lipsa unei asemenea decizii, se permite transferul atunci când este însoțit de „garanții adecvate” ( 3 ). Aceste garanții pot lua forma unui contract încheiat între exportatorul și importatorul de date care include clauze de protecție standard adoptate de Comisie. RGPD prevede, în al treilea rând, anumite derogări, întemeiate în special pe acordul persoanei vizate, care permit transferul către o țară terță chiar și în lipsa unei decizii privind caracterul adecvat al nivelului de protecție sau a unor garanții adecvate ( 4 ).

3.

Cererea de decizie preliminară formulată de High Court (Înalta Curte, Irlanda) privește al doilea dintre aceste mecanisme. Mai precis, aceasta se referă la validitatea Deciziei 2010/87/UE ( 5 ), prin care Comisia a stabilit clauze contractuale standard pentru anumite categorii de transferuri, în raport cu articolele 7, 8 și 47 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”).

4.

Această cerere a fost formulată în cadrul unui litigiu între Data Protection Commissioner (Comisarul pentru protecția datelor, Irlanda, denumit în continuare „DPC”), pe de o parte, și Facebook Ireland Ltd și domnul Maximillian Schrems, pe de altă parte. Acesta din urmă a introdus la DPC o plângere referitoare la transferul de date cu caracter personal care îl privesc de Facebook Ireland către Facebook Inc., societatea‑mamă a acesteia stabilită în Statele Unite ale Americii (denumite în continuare „Statele Unite”). DPC consideră că examinarea acestei plângeri depinde de aspectul dacă Decizia 2010/87 este validă. În acest context, el a sesizat instanța de trimitere și i‑a cerut să solicite Curții să se pronunțe cu privire la acest subiect.

5.

Precizăm de la bun început că examinarea întrebărilor preliminare nu a evidențiat, în opinia noastră, niciun element de natură să afecteze validitatea Deciziei 2010/87.

6.

Pe de altă parte, instanța de trimitere a evidențiat anumite îndoieli privind, în esență, caracterul adecvat al nivelului de protecție asigurat de Statele Unite în raport cu ingerințele pe care activitățile autorităților de informații americane le generează în exercitarea drepturilor fundamentale ale persoanelor ale căror date sunt transferate către țara terță respectivă. Aceste îndoieli pun în discuție în mod indirect aprecierile efectuate de Comisie cu privire la subiectul în cauză în Decizia de punere în aplicare (UE) 2016/1250 ( 6 ). Deși soluționarea litigiului principal nu impune Curții să se pronunțe cu privire la această problemă și, deși îi propunem, așadar, să se abțină să o facă, vom prezenta cu titlu subsidiar motivele care ne determină să ridicăm problema validității acestei decizii.

7.

Ansamblul analizei noastre va fi orientat de căutarea unui echilibru între, pe de o parte, necesitatea de a face dovada unui „nivel de pragmatism rezonabil pentru a permite o interacțiune cu restul lumii” ( 7 ) și, pe de altă parte, necesitatea de a afirma valorile fundamentale recunoscute în ordinile juridice ale Uniunii și ale statelor sale membre, în special de cartă.

8.

Articolul 3 alineatul (2) din Directiva 95/46/CE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date ( 8 ) prevedea:

„Prezenta directivă nu se aplică prelucrării datelor cu caracter personal:

[…]”

9.

Articolul 13 alineatul (1) din această directivă avea următorul cuprins:

„Statele membre pot adopta măsuri legislative pentru a restrânge domeniul obligațiilor și drepturilor prevăzute la articolul 6 alineatul (1), articolul 10, articolul 11 alineatul (1), articolul 12 și articolul 21, dacă o astfel de restricție constituie o măsură necesară pentru a proteja:

10.

Articolul 25 din directiva menționată prevedea:

„(1)   Statele membre prevăd că transferul către o țară terță a datelor cu caracter personal care fac obiectul prelucrării sau sunt destinate prelucrării după transfer nu poate avea loc decât dacă, sub rezerva respectării dispozițiilor de drept intern adoptate în temeiul celorlalte dispoziții ale prezentei directive, țara terță în cauză asigură un nivel de protecție adecvat.

(2)   Caracterul adecvat al nivelului de protecție oferit de o țară terță se evaluează având în vedere toate circumstanțele referitoare la un transfer sau la o categorie de transferuri de date; în special sunt luate în considerare natura datelor, scopul și durata prelucrării sau prelucrărilor propuse, țările de origine și țările de destinație, normele de drept atât generale, cât și sectoriale în vigoare în țara terță în cauză, precum și normele profesionale și măsurile de securitate respectate în țara respectivă.

[…]

(6)   Comisia poate constata, în conformitate cu procedura prevăzută în articolul 31 alineatul (2), că o țară terță asigură un nivel de protecție adecvat în sensul alineatului (2) din prezentul articol, în temeiul legislației interne sau al angajamentelor sale internaționale, luate în special la încheierea negocierilor menționate la alineatul (5), în vederea protejării vieții private și a libertăților și drepturilor fundamentale ale persoanelor.

Statele membre iau măsurile necesare pentru a se conforma deciziei Comisiei.”

11.

Articolul 26 alineatele (2) și (4) din aceeași directivă prevedea:

„(2)   Fără a aduce atingere alineatului (1), un stat membru poate autoriza un transfer sau o serie de transferuri de date cu caracter personal către o țară terță care nu asigură un nivel de protecție adecvat în sensul articolului 25 alineatul (2), atunci când operatorul oferă garanții suficiente privind atât protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor, cât și exercitarea drepturilor corespunzătoare; aceste garanții pot rezulta în special din clauze contractuale adecvate.

[…]

(4)   În cazul în care Comisia decide […] că anumite clauze contractuale standard oferă garanții suficiente în sensul alineatului (2), statele membre iau măsurile necesare pentru a se conforma deciziei Comisiei.”

12.

Articolul 28 alineatul (3) din Directiva 95/46 avea următorul conținut:

„Fiecare autoritate este, în special, investită cu:

[…]

[…]”

13.

În temeiul articolului 94 alineatul (1), RGPD a abrogat Directiva 95/46 cu efect de la 25 mai 2018, dată la care acest regulament a început să se aplice în conformitate cu articolul 99 alineatul (2).

14.

Articolul 2 alineatul (2) din regulamentul menționat prevede:

„Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:

[…]

15.

Articolul 4 punctul 2 din același regulament definește „prelucrare[a]” ca fiind „orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.

16.

Articolul 23 din RGPD prevede:

„(1)   Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr‑o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 12-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într‑o societate democratică, pentru a asigura:

[…]

(2)   În special, orice măsură legislativă menționată la alineatul (1) conține dispoziții specifice cel puțin, dacă este cazul, în ceea ce privește:

17.

Articolul 44 din acest regulament, intitulat „Principiul general al transferurilor”, prevede:

„Orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într‑o țară terță sau către o organizație internațională pot fi transferate doar dacă, sub rezerva celorlalte dispoziții ale prezentului regulament, condițiile prevăzute în prezentul capitol sunt respectate de operator și de persoana împuternicită de operator, inclusiv în ceea ce privește transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională către o altă țară terță sau către o altă organizație internațională. Toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulament nu este subminat.”

18.

În conformitate cu articolul 45 din regulamentul menționat, intitulat „Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecție”:

„(1)   Transferul de date cu caracter personal către o țară terță sau o organizație internațională se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori unul sau mai multe sectoare specificate din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită autorizări speciale.

(2)   Atunci când evaluează caracterul adecvat al nivelului de protecție, Comisia ține seama, în special, de următoarele elemente:

(3)   Comisia, după ce evaluează caracterul adecvat al nivelului de protecție, poate decide, printr‑un act de punere în aplicare, că o țară terță, un teritoriu sau unul sau mai multe sectoare specificate dintr‑o țară terță sau o organizație internațională asigură un nivel de protecție adecvat în sensul alineatului (2) din prezentul articol. Actul de punere în aplicare prevede un mecanism de revizuire periodică, cel puțin o dată la patru ani, care ia în considerare toate evoluțiile relevante din țara terță sau organizația internațională. […]

(4)   Comisia monitorizează continuu evoluțiile din țările terțe și de la nivelul organizațiilor internaționale care ar putea afecta funcționarea deciziilor adoptate în temeiul alineatului (3) din prezentul articol și a deciziilor adoptate în temeiul articolului 25 alineatul (6) din [Directiva 95/46].

(5)   În cazul în care informațiile disponibile dezvăluie, în special în urma revizuirii menționate la alineatul (3) din prezentul articol, că o țară terță, un teritoriu sau un sector specificat din acea țară terță sau o organizație internațională nu mai asigură un nivel de protecție adecvat în sensul alineatului (2) din prezentul articol, Comisia, dacă este necesar, abrogă, modifică sau suspendă, prin intermediul unui act de punere în aplicare, decizia menționată la alineatul (3) din prezentul articol fără efect retroactiv. […]

(6)   Comisia inițiază consultări cu țara terță sau organizația internațională în vederea remedierii situației care a stat la baza deciziei luate în conformitate cu alineatul (5).

[…]

(9)   Deciziile adoptate de Comisie în temeiul articolului 25 alineatul (6) din [Directiva 95/46] rămân în vigoare până când sunt modificate, înlocuite sau abrogate de o decizie a Comisiei adoptată în conformitate cu alineatul (3) sau (5) din prezentul articol.”

19.

Articolul 46 din același regulament, intitulat „Transferuri în baza unor garanții adecvate”, are următorul conținut:

„(1)   În absența unei decizii în temeiul articolului 45 alineatul (3), operatorul sau persoana împuternicită de operator poate transfera date cu caracter personal către o țară terță sau o organizație internațională numai dacă operatorul sau persoana împuternicită de operator a oferit garanții adecvate și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate.

(2)   Garanțiile adecvate menționate la alineatul 1 pot fi furnizate fără să fie nevoie de nicio autorizație specifică din partea unei autorități de supraveghere, prin:

[…]

[…]

(5)   Autorizațiile acordate de un stat membru sau de o autoritate de supraveghere în temeiul articolului 26 alineatul (2) din [Directiva 95/46] sunt valabile până la data la care sunt modificate, înlocuite sau abrogate, dacă este necesar, de respectiva autoritate de supraveghere. Deciziile adoptate de Comisie în temeiul articolului 26 alineatul (4) din [Directiva 95/46] rămân în vigoare până când sunt modificate, înlocuite sau abrogate, dacă este necesar, de o decizie a Comisiei adoptată în conformitate cu alineatul (2) din prezentul articol.”

20.

Potrivit articolului 58 alineatele (2), (4) și (5) din RGPD:

„(2)   Fiecare autoritate de supraveghere are toate următoarele competențe corective:

[…]

[…]

(4)   Exercitarea competențelor conferite autorității de supraveghere în temeiul prezentului articol face obiectul unor garanții adecvate, inclusiv căi de atac judiciare eficiente și procese echitabile, prevăzute în dreptul Uniunii și în dreptul intern în conformitate cu carta.

(5)   Fiecare stat membru prevede, pe cale legislativă, faptul că autoritatea sa de supraveghere are competența de a aduce în fața autorităților judiciare cazurile de încălcare a prezentului regulament și, după caz, de a iniția sau de a se implica într‑un alt mod în proceduri judiciare, în scopul de a asigura aplicarea dispozițiilor prezentului regulament.”

21.

Articolul 26 alineatul (4) din Directiva 95/46 a condus la adoptarea de către Comisie a trei decizii prin care aceasta a constatat că clauzele contractuale tip prevăzute de articolul menționat oferă garanții suficiente în raport cu protecția vieții private și a libertăților și drepturilor fundamentale ale persoanelor, precum și cu exercitarea drepturilor corespunzătoare (denumite în continuare „Deciziile SCC”) ( 9 ).

22.

Printre acestea figurează Decizia 2010/87, al cărei articol 1 prevede că „[s]e consideră că clauzele contractuale tip prevăzute în anexă oferă garanții corespunzătoare în ceea ce privește protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor și cu privire la exercitarea drepturilor corespunzătoare în temeiul articolului 26 alineatul (2) din [Directiva 95/46]”.

23.

În temeiul articolului 3 din această decizie:

„În sensul prezentei decizii, se aplică următoarele definiții:

[…]

[…]

[…]”

24.

În versiunea sa inițială, articolul 4 din decizia menționată prevedea la alineatul (1):

„Fără a aduce atingere competențelor lor de a lua măsuri pentru a asigura respectarea dispozițiilor naționale adoptate în temeiul capitolelor II, III, V și VI din [Directiva 95/46], autoritățile competente ale statelor membre își pot exercita competențele existente de interzicere sau suspendare a fluxului de date către țările terțe pentru a proteja persoanele fizice în legătură cu prelucrarea datelor cu caracter personal ale acestora, în cazurile în care:

25.

În versiunea actuală, astfel cum rezultă din modificarea Deciziei 2010/87 prin Decizia de punerea în aplicare (UE) 2016/2297 ( 10 ), articolul 4 din Decizia 2010/87 prevede că „[o]ri de câte ori autoritățile competente din statele membre își exercită competențele prevăzute la articolul 28 alineatul (3) din [Directiva 95/46], antrenând suspendarea sau interdicția definitivă a fluxurilor de date către țări terțe în vederea asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, statul membru în cauză informează fără întârziere Comisia, care va transmite mai departe informațiile respective celorlalte state membre”.

26.

Anexa la Decizia 2010/87 conține un ansamblu de clauze contractuale tip. În special, clauza 3 din această anexă, intitulată „Clauza terțului beneficiar”, prevede:

„(1) Persoana vizată poate invoca în fața exportatorului de date prezenta clauză, clauza 4 literele (b)-(i), clauza 5 literele (a)-(e) și (g)-(j), clauza 6 alineatele (1) și (2), clauza 7, clauza 8 alineatul (2), precum și clauzele 9-12 în calitate de terți beneficiari.

(2) Persoana vizată poate invoca în fața importatorului de date prezenta clauză, clauza 5 literele (a)-(e) și (g), clauza 6, clauza 7, clauza 8 alineatul (2) și clauzele 9-12, în situația în care exportatorul de date a dispărut în fapt sau și‑a încetat existența de drept, cu excepția cazului în care vreo entitate succesoare și‑a asumat toate obligațiile juridice ale exportatorului de date prin contract sau prin efectul legii și, ca rezultat, preia drepturile și obligațiile exportatorului de date, caz în care persoana vizată poate invoca clauzele menționate în fața acestei entități.

[…]”

27.

Clauza 4 enunțată în anexa respectivă, intitulată „Obligațiile exportatorului de date”, prevede:

„Exportatorul de date este de acord și garantează că:

28.

Clauza 5 enunțată în aceeași anexă, intitulată „Obligațiile importatorului de date (1)”, prevede:

„Importatorul de date este de acord și garantează că:

[…]”

29.

Potrivit notei de subsol 1, la care se referă titlul clauzei 5 care figurează în anexa la Decizia 2010/87:

„Cerințele imperative ale legislației naționale aplicabile importatorului de date care nu depășesc ceea ce este necesar într‑o societate democratică pe baza unuia dintre interesele enumerate la articolul 13 alineatul (1) din Directiva [95/46], adică dacă reprezintă o măsură necesară salvgardării siguranței naționale, apărării, securității publice, prevenirii, cercetării, identificării și urmăririi în justiție a infracțiunilor sau a încălcării deontologiei în cazul profesiilor reglementate, unui interes economic sau financiar important al statului sau protecției persoanei vizate sau a drepturilor și libertăților celorlalți, nu sunt în contradicție cu clauzele contractuale tip. Câteva exemple de astfel de cerințe imperative care nu depășesc ceea ce este necesar într‑o societate democratică sunt, printre altele, sancțiunile recunoscute la nivel internațional, obligațiile de declarație fiscală sau obligațiile de declarație în cadrul luptei contra spălării banilor.”

30.

Clauza 6 din această anexă, intitulată „Răspundere”, are următorul cuprins:

„(1) Părțile convin că orice persoană vizată care a suferit un prejudiciu în urma încălcării obligațiilor prevăzute de clauza 3 sau clauza 11 de către oricare dintre părți sau de către subcontractant are dreptul de a primi despăgubiri din partea exportatorului de date pentru prejudiciul suferit.

(2) În cazul în care persoana vizată nu poate introduce împotriva exportatorului de date o acțiune în despăgubiri menționată la alineatul (1), în urma încălcării de către importatorul de date sau subcontractantul acestuia a oricăreia dintre obligațiile prevăzute de clauza 3 sau clauza 11 din motiv că exportatorul de date a dispărut în fapt, și‑a încetat existența de drept sau a devenit insolvabil, importatorul de date este de acord ca persoana vizată să poată formula o cerere de despăgubire împotriva importatorului de date, în locul exportatorului de date, cu excepția cazului în care vreo entitate succesoare și‑a asumat toate obligațiile juridice ale exportatorului de date prin contract sau prin efectul legii, caz în care persoana vizată își poate cere drepturile de la o astfel de entitate.

[…]”

31.

Clauza 7 enunțată în anexa respectivă, intitulată „Mediere și jurisdicție”, prevede:

„(1) Importatorul de date este de acord ca, în cazul în care persoana vizată invocă împotriva sa drepturile terțului beneficiar și/sau cere despăgubiri pentru prejudiciile suferite, în temeiul clauzelor, importatorul de date va accepta decizia persoanei vizate:

(2) Părțile convin că opțiunea aleasă de persoana vizată nu va aduce atingere drepturilor materiale sau procedurale ale acestuia de a introduce acțiuni în conformitate cu alte dispoziții din legislația națională sau internațională.”

32.

Clauza 9 care figurează în aceeași anexă, intitulată „Legea aplicabilă”, prevede că clauzele contractuale standard sunt guvernate de legea statului membru în care este stabilit exportatorul de date.

33.

Articolul 25 alineatul (6) din Directiva 95/46 a constituit temeiul adoptării de către Comisie a două decizii succesive prin care aceasta a constatat că Statele Unite asigură un nivel de protecție adecvat al datelor cu caracter personal transferate către întreprinderi stabilite în Statele Unite, care au declarat că aderă, prin intermediul unei proceduri de autocertificare, la principiile formulate în aceste decizii.

34.

Într‑o primă etapă, Comisia a adoptat Decizia 2000/520/CE privind caracterul adecvat al protecției oferite de principiile „sferei de siguranță” privind protecția vieții private și întrebările de bază aferente, publicate de Departamentul Comerțului al [Statelor Unite] ( 11 ). În Hotărârea din 6 octombrie 2015, Schrems ( 12 ), Curtea a declarat această decizie nevalidă.

35.

Ca urmare a hotărârii menționate, Comisia a adoptat, într‑o a doua etapă, Decizia privind Scutul de confidențialitate.

36.

Articolul 1 din această decizie prevede:

„(1)   În sensul articolului 25 alineatul (2) din [Directiva 95/46], Statele Unite garantează un nivel adecvat de protecție a datelor cu caracter personal transferate din Uniune către organizații din Statele Unite în temeiul Scutului de confidențialitate UE‑SUA.

(2)   Scutul de confidențialitate UE‑SUA este constituit din principiile publicate de Departamentul Comerțului al SUA la 7 iulie 2016, prezentate în anexa II, precum și din declarațiile și angajamentele oficiale cuprinse în documentele enumerate în anexele I și III‑VII.

(3)   În sensul alineatului (1), datele cu caracter personal sunt transferate în temeiul Scutului de confidențialitate UE‑SUA în cazul în care acestea sunt transferate dinspre Uniune către organizații din Statele Unite ale Americii care fac parte din «lista Scutului de confidențialitate», menținută și pusă la dispoziția publicului de către Departamentul Comerțului al SUA, în conformitate cu secțiunile I și III din principiile prevăzute în anexa II.”

37.

Anexa III A la această decizie, intitulată „Un mecanism al Ombudsmanului pentru Scutul de confidențialitate UE‑SUA [privind colectarea de informații pe baza semnalelor electromagnetice]”, anexată la o scrisoare a domnului John Kerry, pe atunci Secretary of State (Secretar de Stat, Statele Unite), din data de 7 iulie 2016, conține un memorandum de înțelegere care descrie o nouă procedură de mediere la un „coordonator principal pentru diplomația internațională privind tehnologia informației” (denumit în continuare „Ombudsmanul”) desemnat de Secretarul de Stat.

38.

Potrivit acestui memorandum, procedura respectivă a fost instituită pentru a „facilit[a] tratarea cererilor legate de accesul în scopul securității naționale la informații trimise din [Uniune] către Statele Unite în temeiul Scutului de confidențialitate, al clauzelor contractuale standard (CCS), al regulilor corporatiste obligatorii (RCO), al «derogărilor» sau al «posibilelor derogări viitoare», prin căi consacrate în temeiul legilor și politicii Statelor Unite, precum și răspunsul la astfel de cereri”.

39.

Domnul Schrems, resortisant austriac cu reședința în Austria, este un utilizator al rețelei sociale Facebook. Toți utilizatorii acestei rețele sociale care au reședința pe teritoriul Uniunii au obligația de a încheia, în momentul înscrierii lor, un contract cu Facebook Ireland, filială a Facebook Inc., ea însăși stabilită în Statele Unite. Datele cu caracter personal ale acestor utilizatori sunt, în tot sau în parte, transferate către servere care aparțin Facebook Inc., situate pe teritoriul Statelor Unite, unde fac obiectul unor prelucrări.

40.

La 25 iunie 2013, domnul Schrems a sesizat DPC cu o plângere prin care îi solicita, în esență, să interzică Facebook Ireland să transfere datele cu caracter personal care îl privesc către Statele Unite. În cadrul plângerii, acesta susținea că dreptul și practicile în vigoare în țara terță respectivă nu garantau o protecție suficientă a datelor cu caracter personal stocate pe teritoriul său împotriva intruziunilor care decurg din activitățile de supraveghere practicate de autoritățile publice. Domnul Schrems se referea în acest sens la dezvăluirile făcute de domnul Edward Snowden cu privire la activitățile serviciilor de informații din Statele Unite, în special cele ale National Security Agency (NSA) (Agenția de Securitate Națională, Statele Unite).

41.

Această plângere a fost respinsă în special pentru motivul că orice problemă referitoare la caracterul adecvat al protecției asigurate în Statele Unite trebuia soluționată în conformitate cu Decizia privind sfera de siguranță. În această decizie, Comisia constatase că țara terță respectivă oferea un nivel adecvat de protecție a datelor cu caracter personal transferate către întreprinderi situate pe teritoriul său care aderă la principiile enunțate în decizia menționată.

42.

Domnul Schrems a introdus o acțiune împotriva deciziei de respingere a plângerii sale la High Court (Înalta Curte). Această instanță a apreciat că, deși domnul Schrems nu a contestat în mod formal validitatea Deciziei privind sfera de siguranță, plângerea sa denunța în realitate legalitatea regimului instituit prin decizia menționată. În aceste condiții, instanța respectivă a adresat Curții întrebări privind, în esență, aspectul dacă autoritățile din statele membre responsabile cu protecția datelor (denumite în continuare „autoritățile de supraveghere”), atunci când sunt sesizate cu o plângere referitoare la protecția drepturilor și libertăților unei persoane în ceea ce privește prelucrarea datelor cu caracter personal care o privesc și care au fost transferate către un stat terț, sunt ținute de constatările referitoare la caracterul adecvat al nivelului de protecție oferit de acest stat terț, efectuate de Comisie în temeiul articolului 25 alineatul (6) din Directiva 95/46, chiar dacă reclamantul contestă aceste constatări.

43.

După ce a statuat, la punctele 51 și 52 din Hotărârea Schrems, că o decizie privind caracterul adecvat al nivelului de protecție este obligatorie pentru autoritățile de supraveghere atât timp cât nu a fost declarată nevalidă, Curtea a statuat, la punctele 63 și 65 din această hotărâre, următoarele:

„(63) […] [A]tunci când o persoană ale cărei date cu caracter personal au fost sau ar putea să fie transferate către o țară terță care a făcut obiectul unei decizii a Comisiei în temeiul articolului 25 alineatul (6) din Directiva 95/46 sesizează o autoritate națională de supraveghere cu o cerere de protecție a drepturilor și libertăților sale în ceea ce privește prelucrarea acestor date și contestă, cu ocazia acestei cereri, […] compatibilitatea acestei decizii cu protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor, revine acestei autorități sarcina de a examina cererea menționată cu toată diligența necesară.

[…]

(65) În ipoteza […], în care autoritatea menționată consideră întemeiate motivele invocate de [această persoană], aceeași autoritate trebuie, conform articolului 28 alineatul (3) primul paragraf a treia liniuță din Directiva 95/46 interpretat în lumina în special a articolului 8 alineatul (3) din cartă, să aibă competența de a acționa în justiție. În această privință, revine legiuitorului național sarcina de a prevedea căi de atac care să permită autorității naționale de supraveghere în cauză să invoce motivele pe care le consideră întemeiate în fața instanțelor naționale, astfel încât acestea din urmă să efectueze, dacă împărtășesc îndoielile acestei autorități în ceea ce privește validitatea deciziei Comisiei, o trimitere preliminară în vederea examinării validității acestei decizii.”

44.

Curtea a examinat de asemenea, în hotărârea menționată, validitatea Deciziei privind sfera de siguranță în raport cu cerințele care decurg din Directiva 95/46, coroborată cu carta. La finalul acestei examinări, ea a declarat decizia respectivă ca fiind nevalidă ( 13 ).

45.

În urma pronunțării Hotărârii Schrems, instanța de trimitere a anulat decizia prin care DPC a respins plângerea formulată de domnul Schrems și a trimis‑o DPC pentru examinare. Acesta din urmă a deschis o anchetă și l‑a invitat pe domnul Schrems să își reformuleze plângerea ținând seama de declararea nevalidității Deciziei privind sfera de siguranță.

46.

În acest scop, domnul Schrems a solicitat Facebook Ireland să identifice temeiurile juridice pe care se întemeiază transferurile de date cu caracter personal ale utilizatorilor rețelei sociale Facebook din Uniune către Statele Unite. Fără a identifica toate temeiurile juridice pe care aceasta se întemeiază, Facebook Ireland a făcut referire la un acord de transfer și de prelucrare a datelor (data transfer processing agreement) încheiat între ea și Facebook Inc., care se aplică începând cu 20 noiembrie 2015, și a invocat Decizia 2010/87.

47.

În plângerea reformulată, domnul Schrems arată, pe de o parte, că clauzele conținute în acest acord nu sunt conforme cu clauzele contractuale standard care figurează în anexa la Decizia 2010/87. Pe de altă parte, domnul Schrems susține că aceste clauze contractuale standard nu ar putea, în orice caz, constitui temeiul transferului de date cu caracter personal care îl privesc către Statele Unite. Aceasta ar fi situația întrucât legislația americană impune Facebook Inc. să pună datele cu caracter personal ale utilizatorilor la dispoziția autorităților americane, precum NSA și Federal Bureau of Investigation (FBI) (Biroul Federal de Investigații, Statele Unite), în cadrul programelor de supraveghere care ar împiedica exercitarea drepturilor garantate la articolele 7, 8 și 47 din cartă. Domnul Schrems afirmă că nicio cale de atac nu permite persoanelor vizate să își valorifice drepturile la respectarea vieții private și la protecția datelor cu caracter personal. În aceste condiții, domnul Schrems solicită DPC suspendarea transferului respectiv în temeiul articolului 4 din Decizia 2010/87.

48.

Facebook Ireland a recunoscut, în cadrul anchetei DPC, că ea continuă să transfere datele cu caracter personal ale utilizatorilor rețelei sociale Facebook care au reședința în Uniune către Statele Unite și se întemeiază, în acest scop, în mare parte pe clauzele contractuale standard care figurează în anexa la Decizia 2010/87.

49.

Ancheta efectuată de DPC urmărea să stabilească, pe de o parte, dacă Statele Unite asigură o protecție adecvată a datelor cu caracter personal ale cetățenilor Uniunii și, pe de altă parte, în cazul unui răspuns negativ, dacă Deciziile SCC prezintă garanții suficiente în ceea ce privește protecția libertăților și a drepturilor fundamentale ale acestora din urmă.

50.

În această privință, într‑un proiect de decizie (draft decision), DPC a considerat cu titlu provizoriu că dreptul american nu oferă căi de atac eficiente în sensul articolului 47 din cartă cetățenilor Uniunii ale căror date sunt transferate în Statele Unite, unde sunt susceptibile să fie prelucrate de agențiile americane în scopuri de securitate națională în mod incompatibil cu articolele 7 și 8 din cartă. Garanțiile prevăzute de clauzele care figurează în anexa la Deciziile SCC nu ar remedia această deficiență, din moment ce nu sunt obligatorii pentru autoritățile sau agențiile Statelor Unite și conferă persoanelor vizate doar drepturi contractuale împotriva exportatorului și/sau importatorului de date.

51.

În aceste condiții, DPC a apreciat că nu se putea pronunța cu privire la plângerea domnului Schrems, fără ca Curtea să examineze validitatea Deciziilor SCC. Conform celor prevăzute la punctul 65 din Hotărârea Schrems, DPC a inițiat, în consecință, o procedură în fața instanței de trimitere privind sesizarea Curții de către aceasta din urmă, în cazul în care împărtășește îndoielile DPC, cu o trimitere preliminară privind validitatea acestor decizii.

52.

Au fost admise cererile de intervenție formulate de guvernul Statelor Unite, Electronic Privacy Information Centre (EPIC), Business Software Alliance (BSA) și Digitaleurope în fața instanței de trimitere.

53.

Pentru a stabili dacă împărtășește îndoielile exprimate de DPC cu privire la validitatea Deciziilor SCC, High Court (Înalta Curte) a primit dovezile depuse de părțile în litigiu și a ascultat argumentele prezentate de acestea din urmă, precum și de interveniente. În special, dispozițiile dreptului Statelor Unite au făcut obiectul prezentării unor probe de către experți. În dreptul irlandez, se consideră că dreptul străin este un aspect de fapt care trebuie stabilit prin dovezi în același mod în care se stabilește orice alt fapt. Pe baza acestor probe, instanța de trimitere a apreciat dispozițiile dreptului Statelor Unite care autorizează supravegherea de către autoritățile și agențiile guvernamentale, funcționarea a două programe de supraveghere recunoscute public („PRISM” și „Upstream”), diferitele căi de atac oferite particularilor ale căror drepturi au fost încălcate prin măsuri de supraveghere, precum și garanțiile sistemice și mecanismele de control. Această instanță a consemnat rezultatele aprecierii respective într‑o hotărâre din 3 octombrie 2017, anexată la ordonanța sa de trimitere [denumită în continuare „hotărârea High Court (Înalta Curte) din 3 octombrie 2017”].

54.

În această hotărâre, instanța de trimitere a făcut referire, printre temeiurile juridice care permit interceptarea comunicațiilor străine de către serviciile de informații americane, la articolul 702 din Foreign Intelligence Surveillance Act (FISA) (Legea privind Supravegherea Activităților Străine de Spionaj) și la Executive Order 12333 (Decretul prezidențial nr. 12333, denumit în continuare „EO 12333”).

55.

Conform constatărilor efectuate în hotărârea respectivă, articolul 702 din FISA permite Attorney General (procurorul general, Statele Unite) și Director of National Intelligence (DNI) (directorul serviciilor naționale de informații, Statele Unite) să autorizeze de comun acord, pentru o perioadă de un an, pentru a dobândi informații operative străine, supravegherea persoanelor care nu sunt cetățeni americani și care nu au reședința permanentă în Statele Unite (așa numite „persoane care nu sunt cetățeni americani”) atunci când este rezonabil să se creadă că ele se află în afara teritoriului Statelor Unite ( 14 ). Potrivit FISA, noțiunea de „informații externe” desemnează informațiile referitoare la capacitatea guvernului de a se proteja împotriva atacurilor străine, la terorism, la proliferarea armelor de distrugere în masă, precum și la desfășurarea afacerilor externe ale Statelor Unite ( 15 ).

56.

Aceste autorizații anuale, precum și procedurile care guvernează monitorizarea persoanelor care urmează să fie supravegheate și prelucrarea („reducerea la minimum”) a informațiilor colectate ( 16 ), trebuie să fie aprobate de Foreign Intelligence Surveillance Court (FISC) (Curtea de Supraveghere a Activităților Străine de Spionaj, Statele Unite). În timp ce supravegherea „tradițională” efectuată în temeiul altor dispoziții ale FISA impune stabilirea unei „cauze probabile” care să permită să se suspecteze că persoanele supravegheate aparțin unei puteri străine sau sunt agenți ai acesteia, activitățile de supraveghere desfășurate în temeiul articolului 702 din FISA nu sunt subordonate nici stabilirii unei asemenea „cauze probabile”, nici aprobării de către FISC a monitorizării anumitor persoane. În plus, tot potrivit constatărilor instanței de trimitere, procedurile de reducere la minimum nu se aplică persoanelor care nu sunt cetățeni americani situate în afara Statelor Unite.

57.

În practică, odată cu acordarea autorizației de FISC, NSA trimite furnizorilor de servicii de comunicații electronice cu sediul în Statele Unite directive care conțin criteriile de căutare, denumite „selectoare”, asociate persoanelor vizate (cum ar fi numere de telefon sau adrese de e‑mail). Furnizorii respectivi sunt în acest caz obligați să transmită datele care corespund selectoarelor către NSA și trebuie să păstreze secretul cu privire la directivele care le sunt adresate. Aceștia pot introduce la FISC o cerere prin care să solicite modificarea sau înlăturarea unei directive a NSA. Decizia FISC poate face obiectul unui apel la Foreign Intelligence Surveillance Court of Review (FISCR) (Curtea de Supraveghere a Activităților Străine de Spionaj însărcinată cu reexaminarea deciziilor în materie, Statele Unite).

58.

High Court (Înalta Curte) a constatat că articolul 702 din FISA constituie temeiul juridic pentru programele PRISM și Upstream.

59.

În cadrul programului PRISM, furnizorii de servicii de comunicații electronice sunt obligați să prezinte NSA toate comunicațiile „de la” sau „către” selectorul comunicat de aceasta din urmă. O parte dintre comunicațiile respective ar fi transmise FBI și Central Intelligence Agency (CIA) (Agenția Centrală de Informații, Statele Unite). În anul 2015, 94386 de persoane ar fi fost supravegheate și, în anul 2011, guvernul Statelor Unite ar fi obținut peste 250 de milioane de comunicații în cadrul acestui program.

60.

Programul Upstream are la bază asistența obligatorie oferită întreprinderilor care exploatează „coloana vertebrală” – și anume rețeaua de cabluri, comutatoarele și ruterele – prin care tranzitează comunicațiile telefonice și comunicațiile Internet. Aceste întreprinderi sunt obligate să permită NSA să copieze și să filtreze fluxurile de trafic de internet pentru a dobândi comunicații „de la”, „către” sau „cu privire la” un selector menționat într‑o directivă a acestei agenții. Comunicațiile „cu privire la” un selector le desemnează pe cele care fac referire la selectorul respectiv, fără ca persoana care nu este cetățean american asociată respectivului selector să participe în mod necesar la acestea. Deși dintr‑un aviz al FISC din 26 aprilie 2017 rezultă că, de la această dată, guvernul american nu mai colectează și nu mai dobândește comunicații „cu privire la” un selector, acest aviz nu indică faptul că NSA ar fi încetat să mai copieze și să filtreze fluxurile de comunicații care tranzitează dispozitivul său de supraveghere. Programul Upstream ar implica astfel accesul NSA atât la metadate, cât și la conținutul comunicațiilor. Începând cu anul 2011, NSA ar fi colectat aproximativ 26,5 milioane de comunicații pe an în cadrul programului Upstream, ceea ce ar reprezenta însă doar o mică parte din comunicațiile supuse procesului de filtrare efectuat în temeiul acestui program.

61.

Pe de altă parte, potrivit constatărilor efectuate de High Court (Înalta Curte), EO 12333 permite supravegherea comunicațiilor electronice în afara teritoriului Statelor Unite, permițând accesul, în scopuri legate de informații externe, la date care fie „se află în tranzit” către acest teritoriu, fie „tranzitează” acest teritoriu fără a fi destinate să fie supuse unei prelucrări în statul respectiv, precum și colectarea și păstrarea acestor date. EO 12333 definește noțiunea de „informații externe” ca incluzând informațiile referitoare la capacitățile, intențiile sau activitățile guvernelor străine, ale organizațiilor străine sau ale persoanelor străine ( 17 ).

62.

EO 12333 ar abilita NSA să aibă acces la cablurile submarine situate pe fundul Oceanului Atlantic prin intermediul cărora datele sunt transferate din Uniune către Statele Unite, înainte ca aceste date să ajungă în Statele Unite și să fie astfel supuse dispozițiilor FISA. Nu există totuși nicio dovadă cu privire la un anumit program pus în aplicare în temeiul acestui decret prezidențial.

63.

Deși EO 12333 prevede limite privind colectarea, păstrarea și diseminarea de informații, aceste limite nu se aplică persoanelor care nu sunt cetățeni americani. Acestea din urmă beneficiază numai de garanțiile prevăzute de Presidential Policy Directiva 28 (Directiva strategică prezidențială nr. 28, denumită în continuare „PPD 28”), care se aplică tuturor activităților de colectare și de utilizare a informațiilor operative străine pe baza semnalelor electromagnetice. PPD 28 prevede că respectarea vieții private face parte integrantă din considerațiile care trebuie luate în considerare la planificarea acestor activități, colectarea trebuie să aibă ca scop unic dobândirea de informații operative străine, precum și de contrainformații, iar activitățile respective trebuie să fie „cât mai adaptate posibil”.

64.

Potrivit instanței de trimitere, activitățile NSA întemeiate pe EO 12333, care poate fi modificat sau revocat în orice moment de Președintele Statelor Unite, nu sunt reglementate de lege, nu fac obiectul unei supravegheri judiciare și nu sunt supuse căilor de atac jurisdicționale.

65.

Pe baza acestor constatări, instanța menționată consideră că Statele Unite efectuează prelucrări masive și nediscriminatorii ale datelor cu caracter personal care ar putea expune persoanele vizate unui risc de încălcare a drepturilor pe care le au în temeiul articolelor 7 și 8 din cartă.

66.

În plus, instanța respectivă precizează că cetățenii Uniunii nu au acces la aceleași căi de atac jurisdicționale împotriva prelucrărilor nelegale ale datelor lor cu caracter personal de către autoritățile americane ca și resortisanții americani. Al patrulea amendament al Constituției Statelor Unite, care ar constitui protecția cea mai importantă împotriva supravegherii ilegale, nu s‑ar aplica cetățenilor Uniunii care nu au o legătură voluntară semnificativă cu Statele Unite. În cazul în care aceștia din urmă ar dispune totuși de alte căi de atac, ei s‑ar confrunta cu obstacole importante.

67.

În special, articolul III din Constituția Statelor Unite condiționează orice acțiune introdusă la instanțele federale de dovedirea de către persoana în cauză a calității sale procesuale active (standing). Calitatea procesuală activă presupune, printre altele, ca această persoană să demonstreze că a suferit un prejudiciu real care să fie, pe de o parte, concret și specific, și, pe de altă parte, actual sau iminent. Referindu‑se, între altele, la Hotărârea Supreme Court of the United States (Curtea Supremă a Statelor Unite), Clapper v. Amnesty International US ( 18 ), instanța de trimitere consideră că această condiție este, în practică, excesiv de dificil de îndeplinit, având în vedere în special lipsa oricărei obligații de informare a persoanelor vizate cu privire la măsurile de supraveghere luate împotriva lor ( 19 ). O parte din căile de atac puse la dispoziția cetățenilor Uniunii ar fi, în plus, supusă respectării altor condiții restrictive, precum necesitatea de a dovedi un prejudiciu pecuniar. Imunitatea suverană recunoscută agențiilor de informații și clasificarea informațiilor în cauză ar împiedica de asemenea exercitarea anumitor căi de atac ( 20 ).

68.

În plus, High Court (Înalta Curte) menționează diverse mecanisme de control și de supraveghere a activităților agențiilor de informații.

69.

Printre acestea figurează, pe de o parte, mecanismul de certificare anuală de către FISC a programelor întemeiate pe articolul 702 din FISA, în cadrul căruia FISC nu aprobă totuși selectoarele individuale. Pe de altă parte, niciun control judiciar prealabil nu reglementează colectarea de informații operative străine în temeiul EO 12333.

70.

Pe de altă parte, instanța de trimitere se referă la mai multe mecanisme de supraveghere extrajudiciară a activităților de informare. Aceasta menționează în special rolul Inspectors General (inspectori generali, Statele Unite), care, în cadrul fiecărei agenții de informații, sunt însărcinați cu supervizarea activităților de supraveghere. În plus, Privacy and Civil Liberties Oversight Board (PCLOB) (Consiliul de supraveghere a vieții private și a libertăților civile, Statele Unite), o agenție independentă în cadrul puterii executive, primește rapoartele persoanelor desemnate în cadrul fiecărei agenții în calitate de agenți pentru libertățile civile sau pentru viața privată (civil liberties or privacy officers). PCLOB întocmește în mod regulat rapoarte pentru comisiile parlamentare și pentru Președinte. Agențiile respective trebuie să supună în special atenției DNI incidentele referitoare la nerespectarea normelor și a procedurilor privind colectarea de informații externe. De asemenea, aceste incidente sunt raportate FISC. Congresul Statelor Unite, prin intermediul comisiilor pentru informații ale Camerei și Senatului, este de asemenea învestit cu responsabilitatea controlării activităților privind informațiile externe.

71.

Cu toate acestea, High Court (Înalta Curte) subliniază diferența fundamentală dintre, pe de o parte, normele care urmăresc să asigure ca datele să fie obținute în mod legal și ca, după ce au fost obținute, să nu fie utilizate în mod abuziv și, pe de altă parte, căile de atac disponibile atunci când aceste norme sunt încălcate. Protecția drepturilor fundamentale ale persoanelor vizate ar fi asigurată numai în cazul în care căile de atac efective le permit să își valorifice drepturile în cazul nerespectării normelor respective.

72.

În aceste condiții, instanța de trimitere consideră fondate argumentele invocate de DPC, potrivit cărora limitările impuse de dreptul american dreptului la o cale de atac al persoanelor ale căror date sunt transferate din Uniune nu respectă substanța dreptului garantat la articolul 47 din cartă și, în orice caz, constituie ingerințe disproporționate în exercitarea acestui drept.

73.

Potrivit High Court (Înalta Curte), introducerea de către guvernul Statelor Unite a mecanismului de tip Ombudsman descris în Decizia privind Scutul de confidențialitate nu repune în discuție această apreciere. După ce a subliniat că mecanismul respectiv este accesibil cetățenilor Uniunii care consideră în mod rezonabil că datele lor au fost transferate în conformitate cu Deciziile SCC ( 21 ), această instanță a observat că Ombudsmanul nu constituie o instanță care îndeplinește cerințele articolului 47 din cartă și, în special, nu este independent față de puterea executivă ( 22 ). De asemenea, instanța respectivă are îndoieli că intervenția Ombudsmanului, ale cărui decizii nu pot face obiectul unui control jurisdicțional, reprezintă o cale de atac efectivă. Astfel, această intervenție nu permite persoanelor ale căror date personale au fost colectate, prelucrate sau partajate în mod nelegal să obțină o despăgubire sau un ordin de încetare a actelor ilegale, din moment ce Ombudsmanul nu confirmă și nici nu infirmă că un reclamant a făcut obiectul unei măsuri de supraveghere electronică.

74.

Expunându‑și astfel preocupările cu privire la echivalența substanțială dintre garanțiile prevăzute de dreptul american și cerințele care decurg din articolele 7, 8 și 47 din cartă, instanța de trimitere a adresat întrebări cu privire la aspectul dacă clauzele contractuale standard prevăzute în Deciziile SCC – care, prin natura lor, nu sunt obligatorii pentru autoritățile americane – sunt totuși susceptibile să asigure protecția drepturilor fundamentale ale persoanelor vizate. Instanța respectivă a concluzionat că împărtășește îndoielile DPC cu privire la validitatea deciziilor menționate.

75.

În acest sens, instanța de trimitere consideră în special că articolul 28 alineatul (3) din Directiva 95/46, la care face trimitere articolul 4 din Decizia 2010/87, întrucât recunoaște autorităților de supraveghere competența de a suspenda sau de a interzice transferurile pe baza clauzelor contractuale standard prevăzute de această decizie, nu este suficient pentru a înlătura aceste îndoieli. Pe lângă faptul că, în opinia sa, această competență nu are decât o natură discreționară, instanța de trimitere ridică, în lumina considerentului (11) al Deciziei 2010/87, problema posibilității de a o exercita atunci când deficiențele constatate nu privesc un caz particular și excepțional, ci au un caracter general și sistemic ( 23 ). De asemenea, aceasta apreciază că riscul pronunțării unor decizii divergente în diferite state membre s‑ar putea opune încredințării constatării unor asemenea deficiențe autorităților de supraveghere.

76.

În aceste condiții, High Court (Înalte Curte) a hotărât, prin decizia din 4 mai 2018 ( 24 ), primită de Curte la 9 mai 2018, să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

77.

DPC, Facebook Ireland, domnul Schrems, guvernul Statelor Unite, EPIC, BSA, Digitaleurope, Irlanda, guvernele belgian, ceh, german, neerlandez, austriac, polonez, portughez și al Regatului Unit, Parlamentul European, precum și Comisia au depus observații scrise în fața Curții. DPC, Facebook Ireland, domnul Schrems, guvernul Statelor Unite, EPIC, BSA, Digitaleurope, Irlanda, guvernele german, francez, neerlandez, austriac și al Regatului Unit, Parlamentul, Comisia, precum și Comitetul european pentru protecția datelor (European Data Protection Board, EDPB) au fost reprezentate la ședința de audiere a pledoariilor din 9 iulie 2019.

78.

În urma declarării nevalidității Deciziei privind sfera de siguranță de către Curte în Hotărârea Schrems, transferurile de date cu caracter personal către Statele Unite au continuat pe baza altor temeiuri juridice. În special, societățile exportatoare de date au putut recurge la contracte cu importatorii de date care includ clauze standard elaborate de Comisie. Aceste clauze constituie de asemenea temeiul juridic pentru transferurile către mai multe alte țări terțe în legătură cu care Comisia nu a adoptat o decizie privind caracterul adecvat al nivelului de protecție ( 25 ). Decizia privind Scutul de confidențialitate permite în prezent întreprinderilor care și‑au autocertificat adeziunea la principiile enunțate în aceasta transferarea datelor cu caracter personal către Statele Unite, fără alte formalități.

79.

Astfel cum precizează în mod expres decizia de trimitere și după cum au subliniat BSA, Digitaleurope, Irlanda, guvernele austriac și francez, Parlamentul, precum și Comisia, litigiul principal, pendinte în fața High Court (Înalta Curte), are drept miză unică să stabilească dacă decizia prin care Comisia a instituit clauzele contractuale standard invocate în susținerea transferurilor vizate în plângerea domnului Schrems, și anume Decizia 2010/87 ( 26 ), este validă.

80.

Acest litigiu își are originea într‑o plângere prin care DPC a solicitat instanței de trimitere să adreseze Curții o întrebare preliminară referitoare la validitatea Deciziei 2010/87. Potrivit acestei instanțe, litigiul principal privește, astfel, exercitarea căii de atac a cărei instituire a fost impusă de Curte statelor membre la punctul 65 din Hotărârea Schrems.

81.

Amintim că, la punctul 63 din această hotărâre, Curtea a statuat că o autoritate de supraveghere este obligată să examineze cu toată diligența necesară o plângere în cadrul căreia o persoană ale cărei date cu caracter personal au fost sau ar putea să fie transferate către o țară terță care a făcut obiectul unei decizii privind caracterul adecvat al nivelului de protecție, contestă compatibilitatea acestei decizii cu drepturile fundamentale consacrate de cartă. Potrivit punctului 65 din hotărârea menționată, în ipoteza în care această autoritate consideră întemeiate motivele invocate în plângerea respectivă, ea trebuie, conform articolului 28 alineatul (3) primul paragraf a treia liniuță din Directiva 95/46 [căruia îi corespunde articolul 58 alineatul (5) din RGPD], interpretat în lumina articolului 8 alineatul (3) din cartă, să aibă competența de a acționa în justiție. În această privință, legiuitorul național trebuie să stabilească căi de atac care să îi permită să invoce aceste motive în fața instanțelor naționale, astfel încât acestea din urmă să efectueze, dacă împărtășesc îndoielile autorității menționate, o trimitere preliminară privind validitatea deciziei în cauză.

82.

Asemenea instanței de trimitere, apreciem că aceste concluzii se aplică prin analogie atunci când, cu ocazia examinării unei plângeri formulate în fața sa, o autoritate de supraveghere are îndoieli nu cu privire la validitatea unei decizii privind caracterul adecvat al nivelului de protecție, ci a unei decizii, precum Decizia 2010/87, care prevede clauze contractuale standard pentru transferul de date personale către țări terțe. Contrar celor susținute de guvernul german, nu este relevant că aceste îndoieli corespund motivelor supuse atenției sale de reclamant sau că această autoritate pune în discuție din proprie inițiativă validitatea deciziei în cauză. Astfel, cerințele care rezultă din articolul 58 alineatul (5) din RGPD și din articolul 8 alineatul (3) din cartă, pe care se întemeiază motivarea Curții, se aplică indiferent de temeiul juridic al transferului avut în vedere în plângerea depusă la autoritatea de supraveghere și de motivele care au determinat această autoritate să aibă îndoieli cu privire la validitatea deciziei în cauză în cadrul examinării plângerii respective.

83.

În aceste condiții, dacă DPC a adresat instanței de trimitere rugămintea de a solicita Curții să se pronunțe cu privire la validitatea Deciziei 2010/87, aceasta se datorează faptului că o clarificare a Curții cu privire la acest subiect îi pare necesară pentru examinarea plângerii prin care domnul Schrems îi solicită să își exercite competența cu care era învestit în temeiul articolului 28 alineatul (3) a doua liniuță din Directiva 95/46 – conferită în prezent de articolul 58 alineatul (2) litera (f) din RGPD – de suspendare a transferului de date personale care îl privesc de Facebook Ireland către Facebook Inc..

84.

Astfel, în timp ce litigiul principal privește numai validitatea in abstracto a Deciziei 2010/87, procedura subiacentă în curs în fața DPC vizează exercitarea de către acesta din urmă a competenței sale de a adopta măsuri corective într‑un caz specific. Vom propune Curții să se limiteze la examinarea întrebărilor adresate în măsura necesară pentru a se pronunța cu privire la validitatea Deciziei 2010/87, din moment ce o asemenea examinare va fi suficientă pentru a permite instanței de trimitere să soluționeze litigiul aflat pe rolul său ( 27 ).

85.

Înainte de a aprecia validitatea acestei decizii, trebuie să se înlăture anumite obiecții ridicate împotriva admisibilității cererii de decizie preliminară.

86.

Admisibilitatea cererii de decizie preliminară a fost contestată pentru diferite motive care privesc în esență inaplicabilitatea ratione temporis a Directivei 95/46, avută în vedere în întrebările preliminare (secțiunea 1), faptul că procedura în fața DPC nu ar fi atins un stadiu suficient de avansat pentru a justifica utilitatea acestei cereri (secțiunea 2) și existența unor incertitudini legate de situația de fapt descrisă de instanța de trimitere (secțiunea 3).

87.

Vom răspunde la aceste cauze de inadmisibilitate ținând seama de prezumția de pertinență de care beneficiază întrebările adresate Curții în temeiul articolului 267 TFUE. Potrivit unei jurisprudențe constante, Curtea poate refuza să se pronunțe asupra unei cereri de decizie preliminară numai dacă este evident că interpretarea solicitată a dreptului Uniunii nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când problema este de natură ipotetică sau atunci când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util la întrebările care i‑au fost adresate ( 28 ).

88.

Facebook Ireland invocă inadmisibilitatea întrebărilor preliminare pentru motivul că ele fac trimitere la Directiva 95/46, deși această directivă a fost abrogată și înlocuită prin RGPD de la 25 mai 2018 ( 29 ).

89.

Împărtășim punctul de vedere potrivit căruia validitatea Deciziei 2010/87 trebuie examinată din perspectiva dispozițiilor din RGPD.

90.

În conformitate cu articolul 94 alineatul (2) din acest regulament, „[t]rimiterile la directiva abrogată se interpretează ca trimiteri la […] regulament[ul respectiv]”. Rezultă din aceasta, în opinia noastră, că Decizia 2010/87, întrucât menționează ca temei juridic articolul 26 alineatul (4) din Directiva 95/46, trebuie interpretată ca referindu‑se la articolul 46 alineatul (2) litera (c) din RGPD, care reia în esență conținutul acestuia ( 30 ). În consecință, deciziile de punere în aplicare adoptate de Comisie în temeiul articolului 26 alineatul (4) din Directiva 95/46, înainte de intrarea în vigoare a RGPD, trebuie interpretate în lumina acestui regulament. Tot din perspectiva regulamentului menționat, trebuie evaluată, dacă este cazul, și validitatea lor.

91.

Această concluzie nu este repusă în discuție de jurisprudența potrivit căreia legalitatea unui act al Uniunii trebuie apreciată în funcție de elementele de fapt și de drept existente la data adoptării actului respectiv. Astfel, această jurisprudență privește examinarea validității unui act al Uniunii din perspectiva împrejurărilor de fapt relevante în momentul adoptării sale ( 31 ) sau a normelor de procedură care guvernează adoptarea acestuia ( 32 ). În schimb, Curtea a examinat în mod repetat validitatea unor acte de drept derivat din perspectiva unor norme materiale de rang superior intrate în vigoare după adoptarea acestor acte ( 33 ).

92.

Totuși, desemnarea în textul întrebărilor preliminare a unui act care nu mai este aplicabil ratione temporis, chiar dacă justifică reformularea întrebărilor respective, nu poate conduce la inadmisibilitatea acestora ( 34 ). Astfel cum au arătat DPC și domnul Schrems, trimiterile la Directiva 95/46 din textul întrebărilor preliminare se pot explica, de altfel, din perspectiva calendarului procedural al prezentei cauze, aceste întrebări fiind adresate Curții înainte de intrarea în vigoare a RGPD.

93.

În orice caz, dispozițiile din RGPD care vor fi abordate în scopul examinării întrebărilor preliminare – și anume, în special, articolele 45, 46 și 58 din acesta – reiau în esență, dezvoltându‑l în același timp, cu anumite nuanțe, conținutul articolelor 25, 26 și 28 din Directiva 95/46. În ceea ce privește aspectele lor relevante în vederea pronunțării asupra validității Deciziei 2010/87, nu vedem niciun motiv să atribuim acestor dispoziții din RGPD un domeniu de aplicare distinct de cel al dispozițiilor corespunzătoare din Directiva 95/46 ( 35 ).

94.

Potrivit guvernului german, cererea de decizie preliminară este inadmisibilă pentru motivul că procedura căilor de atac, evocată la punctul 65 din Hotărârea Schrems, presupune ca autoritatea de supraveghere să își fi format o opinie definitivă în ceea ce privește temeinicia motivelor invocate de reclamant împotriva validității deciziei în cauză. Această situație nu s‑ar regăsi în speță în măsura în care DPC și‑a exprimat îndoielile cu privire la validitatea Deciziei 2010/87, pe care domnul Schrems nu o contestă de altfel, într‑un proiect de decizie adoptat cu titlu provizoriu fără a aduce atingere eventualei depuneri a unor observații suplimentare din partea Facebook Ireland și a domnului Schrems.

95.

În opinia noastră, caracterul provizoriu al îndoielilor exprimate de DPC nu are niciun impact asupra admisibilității trimiterii preliminare. Astfel, criteriile de admisibilitate a unei întrebări preliminare trebuie apreciate în raport cu obiectul litigiului, astfel cum a fost definit de instanța de trimitere ( 36 ). Or, este cert că acesta privește validitatea Deciziei 2010/87. Potrivit deciziei de trimitere și hotărârii anexate la aceasta, instanța respectivă a apreciat că îndoielile exprimate de DPC – fără să prezinte importanță dacă acestea au fost exprimate cu titlu provizoriu sau definitiv – sunt întemeiate și, în consecință, a solicitat Curții să se pronunțe cu privire la validitatea deciziei respective. În aceste condiții, clarificarea de către Curte a acestui aspect este, fără nicio îndoială, pertinentă pentru a‑i permite să soluționeze litigiul cu care este sesizată.

96.

Guvernul Regatului Unit susține că situația de fapt descrisă de instanța de trimitere prezintă mai multe lacune care compromit admisibilitatea întrebărilor preliminare. Această instanță nu ar fi clarificat dacă datele cu caracter personal care îl privesc pe domnul Schrems au fost transferate efectiv către Statele Unite, nici, în cazul unui răspuns afirmativ, dacă acestea au fost colectate de autoritățile americane. Nici temeiul juridic al acestor transferuri eventuale nu ar fi fost identificat cu certitudine, decizia de trimitere limitându‑se la a menționa că datele utilizatorilor europeni ai rețelei sociale Facebook sunt transferate „în mare parte” pe baza clauzelor contractuale standard prevăzute de Decizia 2010/87. În orice caz, nu s‑ar fi stabilit că contractul dintre Facebook Ireland și Facebook Inc., invocat în susținerea transferului în litigiu, include în mod fidel aceste clauze. Guvernul german contestă de asemenea admisibilitatea trimiterii preliminare pentru motivul că instanța de trimitere nu a examinat dacă domnul Schrems și‑a dat consimțământul ferm la transferurile în discuție, caz în care acestea ar fi fost în mod valabil întemeiate pe articolul 26 alineatul (1) din Directiva 95/46 [al cărui conținut este reluat în esență la articolul 49 alineatul (1) litera (a) din RGPD].

97.

Aceste argumente nu repun în niciun fel în discuție pertinența trimiterii preliminare în raport cu obiectul litigiului principal. Întrucât acest litigiu își are originea în exercitarea de către DPC a căii de atac prevăzute la punctul 65 din Hotărârea Schrems, însuși obiectul său constă în obținerea din partea instanței naționale a unei trimiteri preliminare privind validitatea Deciziei 2010/87. Guvernele german și al Regatului Unit contestă, în realitate, necesitatea întrebărilor preliminare nu pentru a stabili dacă această decizie este validă, ci mai degrabă pentru a oferi DPC posibilitatea de a se pronunța in concreto cu privire la plângerea formulată de domnul Schrems.

98.

În orice caz, chiar și din perspectiva acestei proceduri subiacente litigiului principal, întrebările preliminare privind validitatea Deciziei 2010/87 nu ne par lipsite de pertinență. Astfel, instanța de trimitere a stabilit că Facebook Ireland a continuat să transfere datele utilizatorilor săi în Statele Unite după declararea nevalidității Deciziei privind sfera de siguranță și că aceste transferuri sunt întemeiate, cel puțin în parte, pe Decizia 2010/87. În plus, deși poate fi avantajos ca ansamblul faptelor pertinente să fie stabilite înainte ca ea să își exercite competența în temeiul articolului 267 TFUE, numai instanța de trimitere are competența să aprecieze în ce stadiu al procedurii are nevoie de o decizie preliminară a Curții ( 37 ).

99.

Ținând seama de toate considerațiile care precedă, apreciem că cererea de decizie preliminară este admisibilă.

100.

Prin intermediul primei întrebări, instanța de trimitere urmărește să afle dacă dreptul Uniunii se aplică unui transfer de date cu caracter personal efectuat de o societate situată într‑un stat membru către o societate stabilită într‑o țară terță, pentru motive comerciale, atunci când, după inițierea transferului, datele sunt susceptibile să fie prelucrate de autoritățile publice din această țară terță în scopuri care includ protecția securității naționale.

101.

Implicațiile acestei întrebări pentru soluționarea litigiului principal constau în faptul că, în cazul în care un asemenea transfer ar fi în afara domeniului de aplicare al dreptului Uniunii, toate obiecțiile ridicate împotriva validității Deciziei 2010/87 în prezenta cauză ar fi lipsite de temei.

102.

Astfel cum a observat instanța de trimitere, prelucrările de date personale care au ca obiect securitatea națională erau excluse din domeniul de aplicare al Directivei 95/46 în temeiul articolului 3 alineatul (2) din această directivă. Articolul 2 alineatul (2) din RGPD precizează în prezent că regulamentul menționat nu se aplică, printre altele, prelucrării datelor în cadrul unei activități care nu intră sub incidența dreptului Uniunii sau de către autoritățile competente în scopul protecției securității publice. Aceste dispoziții reflectă rezerva de competență pe care articolul 4 alineatul (2) TUE o recunoaște statelor membre în domeniul protecției securității naționale.

103.

DPC, domnul Schrems, Irlanda, guvernele german, austriac, belgian, ceh, neerlandez, polonez și portughez, precum și Parlamentul și Comisia arată că transferuri precum cele vizate în plângerea domnului Schrems nu sunt acoperite de aceste dispoziții și, prin urmare, intră în domeniul de aplicare al dreptului Uniunii. Facebook Ireland susține teza contrară. Ne alăturăm punctului de vedere al celor dintâi.

104.

În această privință, trebuie subliniat că transferul de date cu caracter personal dintr‑un stat membru către o țară terță constituie, ca atare, o „prelucrare” în sensul articolului 4 punctul 2 din RGPD, efectuată pe teritoriul unui stat membru ( 38 ). Prima întrebare preliminară are ca obiect tocmai să stabilească dacă dreptul Uniunii se aplică prelucrării pe care o constituie transferul însuși. Această întrebare nu privește aplicabilitatea dreptului Uniunii în cazul eventualelor prelucrări ulterioare, de către autoritățile americane în scopuri de securitate națională, ale datelor transferate către Statele Unite, care nu intră în domeniul de aplicare teritorial al RGPD ( 39 ).

105.

Din această perspectivă, trebuie luată în considerare, pentru a se stabili dacă dreptul Uniunii se aplică transferului de date în cauză, numai activitatea în cadrul căreia se înscrie acest transfer, indiferent de obiectul eventualelor prelucrări ulterioare la care vor fi supuse datele transferate din partea autorităților publice din țara terță de destinație ( 40 ).

106.

Or, din decizia de trimitere reiese că transferul vizat în plângerea domnului Schrems face parte dintr‑o activitate comercială. De altfel, acest transfer nu are loc în scopul de a permite prelucrarea ulterioară a datelor în cauză de către autoritățile americane în scopuri de securitate națională.

107.

De altfel, abordarea propusă de Facebook Ireland ar lipsi de efect util dispozițiile din RGPD referitoare la transferurile către țări terțe, din moment ce nu se poate exclude niciodată că datele transferate în cadrul unei activități comerciale vor fi prelucrate în scopuri de securitate națională după transfer.

108.

Interpretarea pe care o preconizăm este confirmată de modul de redactare a articolului 45 alineatul (2) litera (a) din RGPD. Această dispoziție prevede că atunci când adoptă o decizie privind caracterul adecvat al nivelului de protecție, Comisia ține seama în special de legislația țării terțe vizate în materie de securitate națională. Se poate deduce de aici că posibilitatea ca datele să fie supuse, din partea autorităților din țara terță de destinație, unei prelucrări care are ca obiect protecția securității naționale nu determină inaplicabilitatea dreptului Uniunii în cazul prelucrării pe care o constituie transferul de date către această țară terță.

109.

Raționamentul și concluziile adoptate de Curte în Hotărârea Schrems se întemeiază de asemenea pe această premisă. În special, Curtea a examinat în această hotărâre validitatea Deciziei privind sfera de siguranță, în măsura în care privea transferurile de date cu caracter personal către Statele Unite unde puteau fi colectate și prelucrate în scopul protecției securității naționale, în raport cu articolul 25 alineatul (6) din Directiva 95/46, interpretat în lumina cartei ( 41 ).

110.

Având în vedere aceste considerații, apreciem că dreptul Uniunii se aplică în cazul unui transfer de date personale dintr‑un stat membru către o țară terță atunci când acest transfer se înscrie în cadrul unei activități comerciale, indiferent dacă datele transferate riscă să fie supuse unor prelucrări din partea autorităților publice din această țară terță prin care se urmărește protejarea securității naționale a acestei țări.

111.

Potrivit primei părți a celei de a șasea întrebări, instanța de trimitere urmărește să afle care este nivelul de protecție a drepturilor fundamentale ale persoanelor vizate care trebuie asigurat pentru ca datele cu caracter personal să poată fi transferate către o țară terță în temeiul clauzelor contractuale standard prevăzute în Decizia 2010/87.

112.

Această instanță subliniază că, în Hotărârea Schrems, Curtea a interpretat articolul 25 alineatul (6) din Directiva 95/46 [al cărui conținut este reluat în esență la articolul 45 alineatul (3) din RGPD], în măsura în care prevedea că Comisia poate adopta o decizie privind nivelul adecvat de protecție numai după ce s‑a asigurat că țara terță în cauză garantează un nivel de protecție adecvat, ca presupunând ca aceasta să stabilească faptul că țara respectivă asigură un nivel de protecție a drepturilor și libertăților fundamentale în esență echivalent cu cel garantat în cadrul Uniunii în temeiul directivei menționate, interpretată în lumina cartei ( 42 ).

113.

În acest context, prima parte a celei de a șasea întrebări preliminare invită Curtea să stabilească dacă aplicarea „clauzelor contractuale standard” adoptate de Comisie în conformitate cu articolul 26 alineatul (4) din Directiva 95/46 – care corespund „clauze[lor] standard de protecție” menționate în prezent la articolul 46 alineatul (2) litera (c) din RGPD – trebuie să permită atingerea unui nivel de protecție care corespunde aceluiași standard de „echivalență substanțială”.

114.

În această privință, articolul 46 alineatul (1) din RGPD prevede că operatorul poate, în lipsa unei decizii privind caracterul adecvat al nivelului de protecție, transfera date cu caracter personal către o țară terță „numai dacă operatorul sau persoana împuternicită de operator a oferit garanții adecvate și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate” (sublinierea noastră) ( 43 ). Potrivit articolului 46 alineatul (2) litera (c) din RGPD, aceste garanții pot rezulta în special din clauzele standard de protecție elaborate de Comisie.

115.

Asemenea DPC, domnului Schrems și Irlandei, apreciem că „garanțiile adecvate” furnizate de operator la care se referă articolul 46 alineatul (1) din RGPD trebuie să asigure că drepturile persoanelor ale căror date sunt transferate beneficiază, la fel ca în cadrul unui transfer bazat pe o decizie privind caracterul adecvat al nivelului de protecție, de un nivel de protecție în esență echivalent cu cel care rezultă din RGPD, interpretat în lumina cartei.

116.

Această concluzie decurge din obiectivul dispoziției menționate și din instrumentul din care face parte.

117.

Articolele 45 și 46 din RGPD au drept scop să asigure continuitatea nivelului ridicat de protecție a datelor cu caracter personal asigurat de acest regulament atunci când sunt transferate în afara Uniunii. Astfel, articolul 44 din RGPD, intitulat „Principiul general al transferurilor”, deschide capitolul V referitor la transferurile către țări terțe, prevăzând că toate dispozițiile din acest capitol se aplică pentru a se asigura că nivelul de protecție garantat prin RGDP nu este subminat în cazul unui transfer către un stat terț ( 44 ). Această normă urmărește să evite ca standardele de protecție care rezultă din dreptul Uniunii să fie eludate prin transferuri de date cu caracter personal către o țară terță în scopul prelucrării lor în țara respectivă ( 45 ). Având în vedere acest obiectiv, este indiferent dacă transferul se întemeiază pe o decizie privind caracterul adecvat al nivelului de protecție sau pe garanțiile oferite de operator în special prin intermediul clauzelor contractuale. Cerințele de protecție a drepturilor fundamentale garantate de cartă nu sunt diferențiate în funcție de temeiul juridic pe care se întemeiază un anumit transfer ( 46 ).

118.

În schimb, modul în care se menține continuitatea nivelului ridicat de protecție diferă în funcție de temeiul juridic al transferului.

119.

Pe de o parte, o decizie privind caracterul adecvat al nivelului de protecție are ca obiect să constate că țara terță în cauză asigură ea însăși un nivel de protecție în esență echivalent cu cel care trebuie atins în cadrul Uniunii. Adoptarea unei decizii privind caracterul adecvat al nivelului de protecție presupune evaluarea în prealabil de către Comisie, pentru o anumită țară terță, a nivelului de protecție garantat de dreptul și de practicile acestei țări terțe în lumina factorilor prevăzuți la articolul 45 alineatul (3) din RGPD. În acest caz, datele personale pot fi transferate către țara terță respectivă fără ca operatorul să obțină o autorizație specifică.

120.

Pe de altă parte, astfel cum se arată mai în detaliu în secțiunea următoare, garanțiile adecvate oferite de operator urmăresc să asigure un nivel ridicat de protecție în ipoteza unor garanții insuficiente disponibile în țara terță de destinație. Astfel, deși articolul 46 alineatul (1) din RGPD permite ca datele cu caracter personal să fie transferate către țări terțe care nu asigură un nivel de protecție adecvat, această dispoziție permite asemenea transferuri numai atunci când sunt furnizate garanții adecvate prin alte mijloace. Clauzele contractuale standard adoptate de Comisie reprezintă, în această privință, un mecanism general aplicabil transferurilor indiferent de țara terță de destinație și de nivelul de protecție care este asigurat în aceasta.

121.

Prin intermediul celei de a șaptea întrebări, instanța de trimitere solicită în esență să se stabilească dacă Decizia 2010/87 este nevalidă ca urmare a faptului că nu este obligatorie pentru autoritățile statelor terțe către care se transferă date în temeiul clauzelor contractuale standard prevăzute în anexa la această decizie și, în special, că nu le împiedică să impună importatorului să pună aceste date la dispoziția lor. Astfel, această întrebare pune în discuție însăși posibilitatea de a asigura un nivel adecvat de protecție a unor asemenea date prin intermediul unor mecanisme de natură exclusiv contractuală. A unsprezecea întrebare privește mai general validitatea Deciziei 2010/87 în raport cu articolele 7, 8 și 47 din cartă.

122.

Prin intermediul celei de a opta întrebări, Curții i se solicită să stabilească dacă o autoritate de supraveghere este obligată să utilizeze competențele pe care i le conferă articolul 58 alineatul (2) literele (f) și (j) din RGPD pentru a suspenda un transfer către o țară terță întemeiat pe clauzele contractuale standard prevăzute de Decizia 2010/87 atunci când aceasta apreciază că importatorul datelor este supus în această țară unor obligații care îl împiedică să onoreze aceste clauze și au ca efect faptul că nu se asigură o protecție adecvată a datelor transferate. În măsura în care răspunsul la această întrebare are, în opinia noastră, o incidență asupra validității Deciziei 2010/87 ( 47 ), o examinăm împreună cu a șaptea și cu a unsprezecea întrebare.

123.

Modul de redactare a articolului 46 alineatul (1) din RGPD, întrucât prevede că, „[î]n absența unei decizii în temeiul articolului 45 alineatul (3), operatorul sau persoana împuternicită de operator poate transfera date cu caracter personal către o țară terță […] numai dacă operatorul sau persoana împuternicită de operator a oferit garanții adecvate […]” (sublinierea noastră), evidențiază logica din care rezultă mecanismele contractuale precum cel prevăzut în Decizia 2010/87. Astfel cum subliniază considerentele (108) și (114) ale RGPD, aceste mecanisme au ca obiect să permită transferurile către țări terțe pentru care Comisia nu a adoptat o decizie privind caracterul adecvat al nivelului de protecție, o eventuală protecție insuficientă asigurată în ordinea juridică din această țară terță fiind, așadar, compensată de garanții pe care exportatorul și importatorul de date se angajează contractual să le respecte.

124.

Întrucât rațiunea de a fi a garanțiilor contractuale constă tocmai în atenuarea posibilelor lacune în protecția oferită de țările terțe de destinație, oricare ar fi acestea, validitatea unei decizii prin care Comisia constată că anumite clauze standard acoperă în mod adecvat aceste lacune nu poate depinde de nivelul de protecție asigurat în fiecare dintre țările terțe particulare către care ar putea fi transferate datele. Validitatea unei asemenea decizii este tributară solidității garanțiilor pe care le prevăd aceste clauze în vederea compensării eventualei insuficiențe a protecției în țara terță de destinație. Efectivitatea acestor garanții trebuie evaluată ținând seama și de barierele reprezentate de competențele autorităților de supraveghere în temeiul articolului 58 alineatul (2) din RGPD.

125.

În această privință, astfel cum au arătat, în esență, DPC, domnul Schrems, BSA, Irlanda, guvernele austriac, francez, polonez și portughez, precum și Comisia, garanțiile pe care le conțin clauzele contractuale standard pot fi reduse, chiar anulate, atunci când dreptul țării terțe de destinație impune importatorului obligații contrare celor impuse de aceste clauze. Astfel, contextul juridic existent în țara terță de destinație poate, în funcție de împrejurările concrete ale transferului ( 48 ), să facă imposibilă executarea obligațiilor prevăzute de clauzele respective.

126.

În aceste condiții, astfel cum au subliniat domnul Schrems și Comisia, mecanismul contractual prevăzut la articolul 46 alineatul (2) litera (c) din RGPD se întemeiază pe responsabilizarea exportatorului, precum și, cu titlu subsidiar, pe cea a autorităților de supraveghere. De la caz la caz, operatorul sau, în lipsa acestuia, autoritatea de supraveghere, va examina pentru fiecare transfer specific dacă dreptul țării terțe de destinație se opune executării clauzelor standard și, în consecință, unei protecții adecvate a datelor transferate, astfel încât transferurile trebuie să fie interzise sau suspendate.

127.

Având în vedere aceste observații, apreciem că, faptul că Decizia 2010/87 și clauzele contractuale standard pe care le prevede nu sunt obligatorii pentru autoritățile din țara terță de destinație nu determină, ca atare, nevaliditatea acestei decizii. Conformitatea Deciziei 2010/87 cu articolele 7, 8 și 47 din cartă depinde, în opinia noastră, de aspectul dacă există mecanisme suficient de solide care să permită să se asigure că transferurile care au la bază clauzele contractuale standard vor fi suspendate sau interzise în cazul încălcării acestor clauze sau al imposibilității de a le onora.

128.

În această privință, articolul 46 alineatul (1) din RGPD prevede că un transfer care are la bază garanții adecvate poate avea loc numai „cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate”. Va trebui să se verifice dacă garanțiile prevăzute de clauzele care figurează în anexa la Decizia 2010/87, completate de competențele autorităților de supraveghere, permit să se asigure respectarea condiției menționate. În opinia noastră, această situație se regăsește numai în măsura în care există o obligație – care revine operatorilor (secțiunea 1) și, în cazul inacțiunii acestora din urmă, autorităților de supraveghere (secțiunea 2) – de a suspenda sau de a interzice un transfer atunci când, dată fiind existența unui conflict între obligațiile care rezultă din clauzele standard și cele impuse de dreptul țării terțe de destinație, aceste clauze nu pot fi respectate.

129.

În primul rând, clauzele contractuale standard care figurează în anexa la Decizia 2010/87 impun ca, în caz de conflict între obligațiile pe care le prevăd și cerințele care decurg din dreptul țării terțe de destinație, aceste clauze să nu fie invocate în susținerea unui transfer către această țară terță sau, în cazul în care transferul a fost deja inițiat pe baza clauzelor respective, exportatorul să fie informat cu privire la acest conflict și să poată suspenda respectivul transfer.

130.

Astfel, în temeiul clauzei 5 litera (a), importatorul se angajează să prelucreze datele cu caracter personal transferate exclusiv în numele exportatorului de date și în conformitate cu instrucțiunile acestuia și cu clauzele contractuale standard. În cazul în care nu poate garanta conformitatea cu aceste clauze, importatorul este de acord să informeze fără întârziere exportatorul, caz în care acesta are dreptul să suspende transferul și/sau să rezilieze contractul ( 49 ).

131.

Nota de subsol 5 aferentă clauzei 5 precizează că clauzele standard nu sunt încălcate atunci când importatorul respectă cerințele imperative ale legislației naționale aplicabile în țara terță, în măsura în care aceste cerințe nu depășesc ceea ce este necesar într‑o societate democratică pentru a proteja unul dintre interesele prevăzute la articolul 13 alineatul (1) din Directiva 95/46 [al cărui conținut este reluat în esență la articolul 23 alineatul (1) din RGPD], printre care figurează siguranța publică și securitatea statului. Invers, nerespectarea acestor clauze pentru a se conforma unei obligații contradictorii întemeiate pe dreptul țării terțe de destinație, care depășește ceea ce este proporțional cu apărarea unui interes legitim recunoscut de Uniune, este considerată o încălcare a clauzelor respective.

132.

În opinia noastră, astfel cum au arătat domnul Schrems și Comisia, clauza 5 litera (a) nu poate fi interpretată în sensul că implică faptul că suspendarea transferului sau rezilierea contractului este doar opțională atunci când importatorul nu este în măsură să respecte clauzele standard. Deși această clauză nu evocă decât un drept în acest sens în favoarea exportatorului, un astfel de text trebuie înțeles în raport cu cadrul contractual în care se înscrie. Faptul că exportatorul are dreptul, în relațiile sale bilaterale cu importatorul, să suspende transferul sau să rezilieze contractul atunci când acesta din urmă se află în incapacitatea de a onora clauzele standard nu aduce atingere obligației care revine exportatorului de a proceda astfel în raport cu cerințele de protecție a drepturilor persoanelor vizate care decurg din RGPD. Orice altă interpretare ar determina nevaliditatea Deciziei 2010/87 întrucât clauzele contractuale standard pe care aceasta le prevede nu ar permite ca transferul să fie însoțit de „garanții adecvate”, după cum impune articolul 46 alineatul (1) din RGPD, interpretat în lumina dispozițiilor cartei ( 50 ).

133.

În plus, potrivit clauzei 5 litera (b), importatorul certifică faptul că nu are niciun motiv să creadă că legislația care i se aplică îl împiedică să îndeplinească instrucțiunile primite de la exportator și obligațiile ce îi revin în temeiul contractului. În cazul unei modificări în legislația respectivă, susceptibilă să aibă efecte negative asupra garanțiilor și obligațiilor prevăzute de clauzele standard, va notifica fără întârziere modificarea exportatorului, caz în care exportatorul de date are dreptul să suspende transferul de date și/sau să rezilieze contractul. În conformitate cu clauza 4 litera (g), exportatorul trebuie să transmită orice notificare primită de la importator către autoritatea de supraveghere competentă, în cazul în care exportatorul decide să continue transferul.

134.

Considerăm necesar să facem aici câteva precizări referitoare la conținutul examinării pe care trebuie să o efectueze părțile la contract pentru a stabili, în raport cu nota de subsol aferentă clauzei 5, dacă obligațiile pe care dreptul statului terț le impune importatorului determină o încălcare a clauzelor standard și, în consecință, împiedică posibilitatea ca transferul să fie însoțit de garanții adecvate. Această problematică a fost ridicată în esență în cadrul celei de a doua părți a celei de a șasea întrebări preliminare.

135.

O asemenea examinare implică, în opinia noastră, luarea în considerare a tuturor împrejurărilor care caracterizează fiecare transfer, printre care se pot număra natura datelor și eventualul lor caracter sensibil, mecanismele puse în aplicare de exportator și/sau de importator pentru a asigura securitatea acestora ( 51 ), natura și finalitatea prelucrărilor de către autoritățile publice din țara terță la care vor fi supuse datele, modalitățile acestor prelucrări, precum și limitările și garanțiile asigurate de această țară terță. Elementele care caracterizează activitățile de prelucrare de către autoritățile publice și garanțiile aplicabile în ordinea juridică a țării terțe respective pot coincide, în opinia noastră, cu cele prevăzute la articolul 45 alineatul (2) din RGPD.

136.

În al doilea rând, clauzele contractuale standard prevăzute în anexa la Decizia 2010/87 instituie în favoarea persoanelor vizate drepturi opozabile, precum și căi de atac împotriva exportatorului și, în subsidiar, împotriva importatorului.

137.

Astfel, clauza 3, intitulată „Clauza terțului beneficiar”, prevede la alineatul (1) un drept la o cale de atac al persoanei vizate împotriva exportatorului, în special în cazul încălcării clauzei 5 litera (a) sau litera (b). În conformitate cu clauza 3 alineatul (2), atunci când exportatorul de date a dispărut în fapt sau și‑a încetat existența de drept, persoana vizată poate invoca această clauză contra importatorului.

138.

Clauza 6 alineatul (1) acordă oricărei persoane vizate care a suferit un prejudiciu în urma încălcării obligațiilor prevăzute de clauza 3 dreptul de a primi despăgubiri din partea exportatorului pentru prejudiciul suferit. În temeiul clauzei 7 alineatul (1), importatorul este de acord ca, în cazul în care persoana vizată invocă împotriva sa drepturile terțului beneficiar și/sau cere despăgubiri pentru prejudiciile suferite, importatorul va accepta decizia persoanei vizate fie de a prezenta litigiul în vederea medierii, de către o persoană independentă sau, după caz, de către autoritatea de supraveghere, fie de a sesiza instanțele din statul membru în care este stabilit exportatorul.

139.

Pe lângă căile de atac de care dispun în temeiul clauzelor contractuale standard prevăzute în anexa la Decizia 2010/87, persoanele vizate pot, atunci când apreciază că aceste clauze au fost încălcate, să solicite autorităților de supraveghere adoptarea unor măsuri corective în temeiul articolului 58 alineatul (2) din RGPD, la care face trimitere articolul 4 din Decizia 2010/87 ( 52 ).

140.

Următoarele motive ne determină să considerăm, asemenea domnului Schrems, Irlandei, guvernelor german, austriac, belgian, neerlandez și portughez, precum și EDPB, că articolul 58 alineatul (2) din RGPD obligă autoritățile de supraveghere, atunci când acestea apreciază, la finalul unei examinări diligente, că datele transferate către o țară terță nu beneficiază de o protecție adecvată ca urmare a nerespectării clauzelor contractuale convenite, să ia măsurile adecvate pentru a remedia această nelegalitate, dacă este necesar dispunând suspendarea transferului.

141.

În primul rând, observăm că, contrar celor susținute de DPC, nicio dispoziție din Decizia 2010/87 nu limitează la cazuri excepționale exercitarea competențelor „de a impune o limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrării” și „de a dispune suspendarea fluxurilor de date către un destinatar dintr‑o țară terță”, pe care autoritățile de supraveghere le au în temeiul articolului 58 alineatul (2) literele (f) și (j) din RGPD.

142.

Versiunea inițială a articolului 4 din Decizia 2010/87 delimita, desigur, la alineatul (1) exercitarea de către autoritățile de supraveghere a competențelor lor de suspendare sau de interzicere a fluxului transfrontalier de date la anumite ipoteze în care s‑a stabilit că transferul pe bază de contract era susceptibil să aibă efecte negative asupra garanțiilor destinate să protejeze persoana vizată. Totuși, articolul 4 din această decizie, astfel cum a fost modificată de Comisie în 2016 pentru a se conforma Hotărârii Schrems ( 53 ), se limitează în prezent la a face referire la aceste competențe, fără a le restrânge în niciun fel. În orice caz, o decizie de punere în aplicare a Comisiei, precum Decizia 2010/87, nu poate restrânge în mod valabil competențele conferite autorităților de supraveghere în temeiul RGPD însuși ( 54 ).

143.

Această concluzie nu este repusă în discuție de considerentul (11) al Deciziei 2010/87, care enunță că competențele de suspendare și de interzicere a transferurilor pot fi exercitate de autoritățile de supraveghere numai în „cazuri excepționale”. Acest considerent, prezent deja în versiunea inițială a deciziei menționate, se raporta la fostul articol 4 alineatul (1) din decizia respectivă, care limita competențele autorităților de supraveghere. Cu ocazia revizuirii Deciziei 2010/87 prin Decizia 2016/2297, Comisia a omis să retragă sau să modifice considerentul respectiv pentru a adapta conținutul acestuia la prevederile noului articol 4. Considerentul (5) al Deciziei 2016/2297 a reafirmat însă competența autorităților de supraveghere de a suspenda sau de a interzice orice transfer pe care îl consideră contrar dreptului Uniunii, în special ca urmare a nerespectării de către importator a clauzelor contractuale standard. Considerentul (11) al Deciziei 2010/87, în măsura în care contrazice în prezent atât modul de redactare, cât și obiectivul unei dispoziții obligatorii din punct de vedere juridic din aceasta, trebuie să fie calificat drept caduc ( 55 ).

144.

În al doilea rând, contrar celor susținute tot de DPC, exercitarea competențelor de suspendare și de interdicție prevăzute la articolul 58 alineatul (2) literele (f) și (j) din RGPD nu constituie nici o simplă posibilitate lăsată la aprecierea autorităților de supraveghere. Această concluzie decurge, în opinia noastră, dintr‑o interpretare a articolului 58 alineatul (2) din RGPD în lumina altor dispoziții ale acestui regulament și ale cartei, precum și din economia generală și din obiectivele Deciziei 2010/87.

145.

În special, articolul 58 alineatul (2) din RGPD trebuie interpretat în lumina articolului 8 alineatul (3) din cartă și a articolului 16 alineatul (2) TFUE. În conformitate cu aceste dispoziții, respectarea cerințelor pe care le implică dreptul fundamental la protecția datelor cu caracter personal este supusă controlului unor autorități independente. Această misiune de supraveghere a respectării cerințelor referitoare la protecția datelor cu caracter personal, menționată de asemenea la articolul 57 alineatul (1) litera (a) din RGPD, implică o obligație a autorităților de supraveghere de a acționa astfel încât să asigure aplicarea corectă a acestui regulament.

146.

Astfel, o autoritate de supraveghere trebuie să examineze cu toată diligența necesară plângerea introdusă de o persoană fizică ale cărei date se pretinde că sunt transferate către un stat terț cu încălcarea clauzelor contractuale standard aplicabile transferului ( 56 ). Articolul 58 alineatul (1) din RGPD atribuie în acest scop autorităților de supraveghere competențe de investigare importante ( 57 ).

147.

Autoritatea de supraveghere competentă este de asemenea obligată să reacționeze în mod adecvat la eventualele încălcări ale drepturilor persoanei vizate pe care le‑ar fi constatat ca urmare a investigației. În această privință, fiecare autoritate de supraveghere are la dispoziție, în temeiul articolului 58 alineatul (2) din RGPD, o gamă largă de mijloace – diferitele competențe corective enumerate în această dispoziție – pentru a‑și îndeplini sarcina care i‑a fost atribuită ( 58 ).

148.

Deși alegerea celui mai eficient mijloc ține de aprecierea autorității de supraveghere competente având în vedere toate împrejurările în care are loc transferul în cauză, aceasta este obligată să își îndeplinească pe deplin misiunea de supraveghere care i‑a fost încredințată. Dacă este cazul, această autoritate trebuie să suspende transferul în cazul în care concluzionează că acele clauze contractuale standard nu sunt respectate și că o protecție adecvată a datelor transferate nu poate fi asigurată prin alte mijloace, în cazul în care exportatorul nu a încetat el însuși transferul.

149.

Această interpretare este confirmată de articolul 58 alineatul (4) din RGPD, care prevede că exercitarea competențelor conferite autorității de supraveghere în temeiul acestui articol face obiectul unor garanții adecvate, inclusiv căi de atac judiciare eficiente în conformitate cu articolul 47 din cartă. Pe de altă parte, articolul 78 alineatele (1) și (2) din RGPD recunoaște dreptul oricărei persoane de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează sau atunci când această autoritate omite să trateze plângerea sa ( 59 ).

150.

Aceste dispoziții implică, astfel cum susțin în esență domnul Schrems, BSA, Irlanda, guvernele polonez și al Regatului Unit, precum și Comisia, că o decizie prin care o autoritate de supraveghere se abține să interzică sau să suspende un transfer către o țară terță, la cererea unei persoane care invocă un risc ca datele care o privesc să fie prelucrate cu încălcarea drepturilor sale fundamentale, poate face obiectul unei căi de atac jurisdicționale. Or, recunoașterea unui drept la o cale de atac jurisdicțională presupune existența unei competențe nediscreționare, iar nu pur discreționară, a autorităților de supraveghere. În plus, domnul Schrems și Comisia au subliniat în mod întemeiat că exercitarea unui control jurisdicțional efectiv presupune ca autoritatea emitentă a actului contestat să îl motiveze în mod corespunzător ( 60 ). Această obligație de motivare se extinde, în opinia noastră, la alegerea efectuată de autoritățile de supraveghere de a utiliza oricare dintre competențele conferite lor de articolul 58 alineatul (2) din RGPD.

151.

Totuși, este necesar și să se răspundă la argumentele prin care DPC susține că deși autoritățile de supraveghere ar fi obligate să suspende sau să interzică un transfer atunci când protecția drepturilor persoanei vizate impune acest lucru, validitatea Deciziei 2010/87 nu ar fi totuși asigurată.

152.

Primo, DPC consideră că o asemenea obligație nu ar remedia problemele sistemice referitoare la lipsa unor garanții adecvate într‑o țară terță cum ar fi Statele Unite. Astfel, competențele autorităților de supraveghere pot fi exercitate numai de la caz la caz, chiar dacă lacunele care caracterizează dreptul american ar avea o natură generală și structurală. Din aceasta ar rezulta un risc de adoptare de către diferite autorități de supraveghere a unor decizii divergente privind transferuri comparabile.

153.

Nu putem ignora, cu privire la acest subiect, dificultățile practice legate de alegerea legislativă de a atribui autorităților de supraveghere responsabilitatea de a asigura respectarea drepturilor fundamentale ale persoanelor vizate în cadrul unor transferuri specifice sau al unui flux către un anumit destinatar. Aceste dificultăți nu ne par totuși să determine nevaliditatea Deciziei 2010/87.

154.

Astfel, dreptul Uniunii nu impune, în opinia noastră, să se aplice o soluție generală și preventivă pentru toate transferurile către o anumită țară terță susceptibile să determine aceleași riscuri de încălcare a drepturilor fundamentale.

155.

În plus, riscul unei fragmentări a abordărilor urmate de diferitele autorități de supraveghere este inerent arhitecturii de supraveghere descentralizată urmărită de legiuitor ( 61 ). De altfel, astfel cum a subliniat guvernul german, capitolul VII din RGPD, intitulat „Cooperare și coerență”, instituie mecanisme pentru evitarea acestui risc. Articolul 60 din regulamentul menționat prevede, în cazul unei prelucrări transfrontaliere de date, o procedură de cooperare între autoritățile de supraveghere vizate și autoritatea de supraveghere de la sediul operatorului, denumită „autoritate de supraveghere principală” ( 62 ). În caz de opinii divergente, dezacordul trebuie să fie soluționat de EDPB ( 63 ). Acesta din urmă este de asemenea competent să emită, la solicitarea unei autorități de supraveghere, avize cu privire la orice aspect al cărui interes se extinde la mai multe state membre ( 64 ).

156.

Secundo, DPC invocă nevaliditatea Deciziei 2010/87 în raport cu articolul 47 din cartă pentru motivul că autoritățile de supraveghere pot proteja drepturile persoanelor vizate numai pentru viitor, fără a oferi o soluție celor ale căror date au fost deja transferate. În special, DPC subliniază că articolul 58 alineatul (2) din RGPD nu prevede un drept de acces, de rectificare și de ștergere a datelor colectate de autoritățile publice din țara terță și nici posibilitatea de despăgubire a persoanelor vizate pentru prejudiciile suferite.

157.

În ceea ce privește pretinsa lipsă a unui drept de acces, de rectificare și de ștergere a datelor colectate, trebuie să se constate că atunci când nu există nicio cale de atac eficientă în țara terță de destinație, căile de atac prevăzute în cadrul Uniunii împotriva operatorului nu permit să se obțină, din partea autorităților publice din această țară terță, accesul la datele respective sau rectificarea ori ștergerea lor.

158.

În opinia noastră, această obiecție nu justifică însă incompatibilitatea Deciziei 2010/87 cu articolul 47 din cartă. Astfel, validitatea acestei decizii nu depinde de nivelul de protecție existent în fiecare țară terță către care ar putea fi transferate datele în temeiul clauzelor contractuale standard pe care le enunță. În cazul în care dreptul statului terț de destinație îl împiedică pe importator să respecte aceste clauze, impunându‑i să acorde autorităților publice un acces la date care nu este însoțit de posibilitatea unor căi de atac adecvate, autorităților de supraveghere le revine, în cazul în care exportatorul nu a suspendat transferul în temeiul clauzei 5 litera (a) sau (b), care figurează în anexa la Decizia 2010/87, obligația de a adopta măsuri corective.

159.

Pe de altă parte, astfel cum a subliniat domnul Schrems, persoanele ale căror drepturi au fost încălcate beneficiază în prezent, în temeiul articolului 82 din RGPD, de dreptul de a obține repararea prejudiciului material sau moral suferit ca urmare a unei încălcări a acestui regulament de la operator sau de la persoana împuternicită de operator ( 65 ).

160.

Astfel cum reiese din toate aceste considerații, analiza noastră nu a evidențiat niciun element de natură să afecteze validitatea Deciziei 2010/87 în raport cu articolele 7, 8 și 47 din cartă.

161.

În prezenta secțiune, expunem motivele care privesc în principal limitarea obiectului litigiului principal la validitatea Deciziei 2010/87, pentru care apreciem că nu este necesar să se răspundă la a doua‑a cincea, precum și la a noua și la a zecea întrebare preliminară și nici ca instanța să se pronunțe cu privire la validitatea Deciziei privind Scutul de confidențialitate.

162.

A doua întrebare preliminară se referă la identificarea standardelor de protecție pe care trebuie să le respecte o țară terță pentru ca datele să poată fi transferate în mod legal în țara respectivă în temeiul clauzelor contractuale standard atunci când aceste date, după transfer, pot fi prelucrate în scopuri de securitate națională de către autoritățile țării terțe respective. A treia întrebare adresată Curții privește determinarea elementelor care caracterizează regimul de protecție aplicabil în statul terț de destinație care trebuie luate în considerare pentru a se verifica dacă îndeplinește aceste standarde.

163.

Prin intermediul celei de a patra, celei de a cincea și celei de a zecea întrebări, instanța de trimitere urmărește să afle în esență dacă, având în vedere faptele pe care le‑a stabilit cu privire la dreptul Statelor Unite, în această țară sunt prevăzute garanții adecvate împotriva ingerințelor din partea autorităților de informații americane în exercitarea drepturilor fundamentale la respectarea vieții private, la protecția datelor cu caracter personal și la protecția jurisdicțională efectivă.

164.

Cea de a noua întrebare preliminară privește efectele pe care le produce, în cadrul examinării prin care o autoritate de supraveghere verifică dacă un transfer către Statele Unite întemeiat pe clauzele contractuale standard prevăzute în Decizia 2010/87 este însoțit de garanții adecvate, împrejurarea potrivit căreia, în Decizia privind Scutul de confidențialitate, Comisia a constatat că Statele Unite oferă un nivel de protecție adecvat drepturilor fundamentale ale persoanelor vizate împotriva unor asemenea ingerințe.

165.

În ceea ce privește problema validității Deciziei privind Scutul de confidențialitate, aceasta nu a fost formulată în mod explicit de instanța de trimitere – deși, astfel cum s‑a explicat mai jos ( 66 ), a patra, a cincea și a zecea întrebare preliminară pun în mod indirect la îndoială temeinicia constatării privind caracterul adecvat al nivelului de protecție pe care a făcut‑o Comisia în această decizie.

166.

În opinia noastră, având în vedere elementele care reies din analiza care precedă, clarificările Curții cu privire la aceste întrebări nu ar putea afecta concluzia sa referitoare la validitatea in abstracto a Deciziei 2010/87 și, așadar, nu ar putea influența nici soluționarea litigiului principal (secțiunea 1). Pe de altă parte, deși răspunsurile Curții la întrebările menționate s‑ar putea dovedi utile pentru DPC într‑o etapă ulterioară în scopul de a stabili, în cadrul procedurii subiacente acestui litigiu, dacă transferurile în cauză trebuie, in concreto, să fie suspendate ca urmare a pretinsei lipse a unor garanții adecvate, ar fi, în opinia noastră, prematur să le soluționăm în cadrul prezentei cauze (secțiunea 2).

167.

Amintim că litigiul principal rezultă din exercitarea de către DPC a căii de atac descrise la punctul 65 din Hotărârea Schrems, potrivit căruia fiecare stat membru trebuie să permită unei autorități de supraveghere, atunci când apreciază ca fiind necesar în vederea examinării unei plângeri cu care este sesizată, să solicite unei instanțe naționale să adreseze Curții o întrebare preliminară referitoare la validitatea unei decizii privind caracterul adecvat al nivelului de protecție – sau, prin analogie, a unei decizii de instituire a unor clauze contractuale standard.

168.

În această privință, High Court (Înalta Curte) a subliniat că dispunea, după ce a fost sesizată de DPC, doar de opțiunile de a introduce trimiterea preliminară privind validitatea Deciziei 2010/87, solicitată de DPC în ipoteza în care ar fi împărtășit îndoielile sale referitoare la validitatea acestei decizii, sau de a refuza accesul la cererea respectivă în ipoteza contrară. Această instanță consideră că, în cazul în care ar fi utilizat această a doua cale, ea ar fi trebuit să respingă acțiunea din moment ce plângerea formulată de DPC nu avea un alt obiect ( 67 ).

169.

Pe aceeași linie, Supreme Court (Curtea Supremă), sesizată cu un apel declarat de Facebook Ireland împotriva deciziei de trimitere, a descris litigiul principal ca fiind o procedură declaratorie prin care DPC a solicitat instanței de trimitere să adreseze Curții o întrebare preliminară privind validitatea Deciziei 2010/87. Potrivit instanței supreme irlandeze, singura problemă substanțială ridicată în fața instanței de trimitere și în fața Curții privește, prin urmare, validitatea acestei decizii ( 68 ).

170.

Având în vedere obiectul litigiului principal astfel delimitat, instanța de trimitere a adresat Curții primele sale zece întrebări în măsura în care considera că examinarea lor ar contribui la aprecierea de ansamblu necesară Curții pentru a se pronunța, în răspunsul la a unsprezecea întrebare, cu privire la validitatea Deciziei 2010/87 în raport cu articolele 7, 8 și 47 din cartă. Această întrebare reprezintă, potrivit deciziei de trimitere, consecința logică a întrebărilor care o precedă.

171.

Din această perspectivă, a doua‑a cincea, precum și a noua și a zecea întrebare sunt, în opinia noastră, susținute de premisa potrivit căreia validitatea Deciziei 2010/87 ar depinde de nivelul de protecție a drepturilor fundamentale prevăzut în fiecare dintre statele terțe în care pot fi transferate datele în temeiul clauzelor contractuale standard pe care aceasta le prevede. Or, astfel cum reiese din analiza noastră cu privire la cea de a șaptea întrebare ( 69 ), premisa amintită este, în opinia noastră, eronată. Examinarea dreptului țării terțe de destinație este relevantă numai atunci când Comisia adoptă o decizie privind caracterul adecvat al nivelului de protecție sau atunci când operatorul – sau, în lipsa acestuia, autoritatea de supraveghere competentă – verifică dacă, în cadrul unui transfer care are la bază garanții adecvate în sensul articolului 46 alineatul (1) din RGPD, obligațiile pe care dreptul acestei țări terțe le impune importatorului nu compromit efectivitatea protecției asigurate prin aceste garanții.

172.

În consecință, răspunsurile Curții la întrebările sus‑menționate nu sunt susceptibile să influențeze concluzia sa privind cea de a unsprezecea întrebare ( 70 ). Astfel, nu este necesar să se răspundă la aceasta din punctul de vedere al obiectului litigiului principal.

173.

Propunem Curții să se limiteze la examinarea prezentei cauze din perspectiva obiectului acestui litigiu. În opinia noastră, Curtea nu ar trebui să depășească ceea ce este necesar pentru soluționarea litigiului respectiv prin examinarea întrebărilor preliminare din punctul de vedere al procedurii subiacente în curs în fața DPC. Astfel cum vom arăta în continuare, această invitație la reținere rezultă, pe de o parte, dintr‑o preocupare de a nu scurtcircuita desfășurarea normală a procedurii care va trebui să continue în fața DPC după ce Curtea se va fi pronunțat cu privire la validitatea Deciziei 2010/87. Pe de altă parte, având în vedere faptele speței, ne‑ar părea oarecum precipitat, chiar din punctul de vedere al implicațiilor acestei proceduri, ca problemele ridicate de a doua‑a cincea, precum și de a noua și de a zecea întrebare să fie examinate de către Curte.

174.

În plângerea sa adresată DPC, domnul Schrems solicită acestei autorități de supraveghere să își exercite competențele pe care le are în temeiul articolului 58 alineatul (2) litera (f) din RGPD, dispunând ca Facebook Ireland să suspende transferul către Statele Unite, efectuat în temeiul unor clauze contractuale standard, de date personale care îl privesc. În susținerea cererii respective, domnul Schrems invocă în esență caracterul neadecvat al acestor garanții contractuale în raport cu ingerințele în exercitarea drepturilor sale fundamentale care decurg din activitățile serviciilor de informații americane.

175.

Argumentația domnului Schrems pune în discuție constatarea, efectuată de Comisie în Decizia privind Scutul de confidențialitate, potrivit căreia Statele Unite asigură un nivel de protecție adecvat al datelor transferate în temeiul acestei decizii în raport cu restricțiile aduse accesului la datele respective și utilizării lor de către autoritățile de informații americane, precum și cu protecția juridică oferită persoanelor vizate ( 71 ). Preocupările exprimate de DPC cu titlu provizoriu ( 72 ), precum și de instanța de trimitere în cadrul celei de a patra, celei de a cincea și celei de a zecea întrebări, ridică de asemenea, în mod indirect, îndoieli cu privire la temeinicia acestei constatări.

176.

Cu siguranță, Decizia privind Scutul de confidențialitate se limitează să constate caracterul adecvat al nivelului de protecție a datelor personale transferate, în conformitate cu principiile pe care le enunță, către o întreprindere stabilită în Statele Unite care și‑a autocertificat adeziunea la aceste principii ( 73 ). Totuși, considerațiile care figurează în decizia menționată depășesc contextul transferurilor acoperite de această decizie în măsura în care ele privesc dreptul și practicile în vigoare în țara terță respectivă în legătură cu prelucrarea, în scopuri de protecție a securității naționale, a datelor transferate. Astfel cum au observat în esență Facebook Ireland, domnul Schrems, guvernul Statelor Unite și Comisia, supravegherea exercitată de autoritățile de informații americane, precum și garanțiile împotriva riscurilor de abuz pe care le presupune și mecanismele prin care se urmărește controlarea respectării acestora se aplică indiferent care este, din punctul de vedere al dreptului Uniunii, temeiul juridic invocat în susținerea transferului.

177.

Din această perspectivă, problema dacă constatările efectuate cu privire la acest subiect în Decizia privind Scutul de confidențialitate sunt obligatorii pentru autoritățile de supraveghere atunci când examinează legalitatea unui transfer realizat în temeiul unor clauze contractuale standard s‑ar putea dovedi pertinentă în scopul examinării plângerii formulate de domnul Schrems de către DPC. În cazul unui răspuns afirmativ la această întrebare, s‑ar ridica problema dacă decizia menționată este într‑adevăr validă.

178.

Totuși, nu recomandăm Curții să se pronunțe cu privire la aceste întrebări doar în scopul ajutării DPC să examineze plângerea respectivă, în condițiile în care nici nu este necesar să se răspundă la ele pentru a permite instanței de trimitere să soluționeze litigiul principal. Întrucât procedura prevăzută la articolul 267 TFUE instituie un dialog între instanțe, Curtea nu este chemată să aducă o clarificare exclusiv în scopul unic de a asista o autoritate administrativă în cadrul unei proceduri subiacente acestui litigiu.

179.

Rezerva se impune, în opinia noastră, cu atât mai mult cu cât problema validității Deciziei privind Scutul de confidențialitate nu i‑a fost înaintată în mod expres – având în vedere că, pe de altă parte, această decizie face deja obiectul unei acțiuni în anulare la Tribunalul Uniunii Europene ( 74 ).

180.

În plus, pronunțându‑se asupra problematicilor descrise mai sus, Curtea ar perturba, în opinia noastră, cursul normal al procedurii care trebuie să se deruleze după ce va fi pronunțat hotărârea în prezenta cauză. În cadrul acestei proceduri, va reveni DPC obligația de a examina plângerea domnului Schrems, ținând seama de răspunsul pe care Curtea îl va da la a unsprezecea întrebare preliminară. În cazul în care Curtea ar considera, astfel cum propunem și contrar celor susținute de DPC în fața sa, că Decizia 2010/87 nu este nevalidă în raport cu articolele 7, 8 și 47 din cartă, DPC ar trebui, în opinia noastră, să aibă posibilitatea de a reexamina dosarul procedurii în curs în fața sa. În ipoteza în care DPC ar aprecia că nu este în măsură să se pronunțe cu privire la plângerea formulată de domnul Schrems, fără ca Curtea să stabilească în prealabil dacă Decizia privind Scutul de confidențialitate se opune exercitării competențelor sale de suspendare a transferului în cauză și ar confirma că are îndoieli cu privire la validitatea deciziei menționate, ar fi posibil ca acesta să sesizeze din nou instanțele naționale pentru ca acestea să solicite Curții să se pronunțe în această privință ( 75 ).

181.

În acest caz ar fi inițiată o procedură care să permită oricărei părți și oricărei persoane interesate menționate la articolul 23 al doilea paragraf din Statutul Curții să prezinte Curții observații în special cu privire la validitatea Deciziei privind Scutul de protecție, indicând, după caz, aprecierile specifice pe care le contestă, precum și motivele pentru care apreciază că Comisia și‑a depășit marja de apreciere redusă de care dispunea ( 76 ). În cadrul unei asemenea proceduri, Comisia ar avea oportunitatea de a răspunde cu precizie și în mod detaliat la fiecare dintre criticile eventuale îndreptate împotriva deciziei menționate. Cu toate că prezenta cauză a oferit părților și persoanelor interesate care au prezentat observații în fața Curții ocazia de a dezbate anumite aspecte relevante în vederea evaluării conformității Deciziei privind Scutul de confidențialitate cu articolele 7, 8 și 47 din cartă, această problemă necesită, având în vedere implicațiile sale, să i se consacre un schimb exhaustiv și aprofundat.

182.

În opinia noastră, prudența ne impune să așteptăm ca aceste etape procedurale să fie parcurse înainte ca Curtea să examineze impactul pe care Decizia privind Scutul de confidențialitate îl exercită asupra prelucrării de către o autoritate de supraveghere a unei cereri de suspendare a unui transfer efectuat către Statele Unite în temeiul articolului 46 alineatul (1) din RGPD și să se pronunțe asupra validității acestei decizii.

183.

Acest lucru este valabil cu atât mai mult în măsura în care dosarul prezentat Curții nu permite să se concluzioneze că examinarea de către DPC a plângerii domnului Schrems va depinde în mod necesar de aspectul dacă Decizia privind scutul de confidențialitate se opune exercitării de către autoritățile de supraveghere a competenței lor de a suspenda un transfer întemeiat pe clauze contractuale standard.

184.

În această privință, în primul rând, nu este exclus ca DPC să fie determinat să suspende transferul în cauză pentru alte motive decât cele referitoare la pretinsul caracter neadecvat al nivelului de protecție asigurat în Statele Unite împotriva atingerilor aduse drepturilor fundamentale ale persoanelor vizate care decurg din activitățile serviciilor de informații americane. În special, instanța de trimitere a precizat că domnul Schrems susține, în plângerea sa adresată DPC, că acele clauze contractuale invocate de Facebook Ireland în sprijinul acestui transfer nu le reflectă în mod fidel pe cele prevăzute în anexa la Decizia 2010/87. În plus, domnul Schrems susține că transferul respectiv intră nu în domeniul de aplicare al acestei decizii, ci în cel al celorlalte decizii SCC ( 77 ).

185.

În al doilea rând, DPC și instanța de trimitere au subliniat că Facebook Ireland nu a invocat, în sprijinul transferului avut în vedere în plângerea domnului Schrems, Decizia privind Scutul de confidențialitate ( 78 ), ceea ce această societate a confirmat în ședință. Deși Facebook Inc. și‑a autocertificat adeziunea la principiile Scutului de confidențialitate de la 30 septembrie 2016 ( 79 ), Facebook Ireland afirmă că această adeziune privește doar transferul anumitor categorii de date, și anume cele referitoare la partenerii comerciali ai Facebook Inc. Ni s‑ar părea neoportun ca Curtea să anticipeze întrebările care ar putea apărea cu privire la acest subiect examinând dacă, presupunând că Facebook Ireland nu ar putea invoca Decizia 2010/87 în susținerea transferului în cauză, acest transfer ar fi totuși acoperit de Decizia privind Scutul de confidențialitate, chiar dacă aceasta din urmă nu a invocat argumentul respectiv nici în fața instanței de trimitere, nici în fața DPC.

186.

Concluzionăm de aici că nu este necesar să se răspundă la a doua‑a cincea, precum și la a noua și la a zece întrebare preliminară, nici să se examineze validitatea Deciziei privind Scutul de confidențialitate.

187.

Deși analiza care precedă ne determină să propunem Curții, cu titlu principal, să se abțină de la a se pronunța cu privire la incidența Deciziei privind Scutul de confidențialitate asupra examinării unei plângeri precum cea formulată de domnul Schrems în fața DPC și asupra validității acestei decizii, este util, în opinia noastră, să dezvoltăm, cu titlu subsidiar și cu rezerve, câteva observații neexhaustive cu privire la acest subiect.

188.

A noua întrebare preliminară ridică problema dacă constatarea efectuată în Decizia privind Scutul de confidențialitate referitoare la caracterul adecvat, având în vedere limitările aduse accesului la datele transferate și utilizării lor de către autoritățile americane în scopuri de securitate națională, precum și protecția juridică a persoanelor vizate, al nivelului de protecție asigurat în Statele Unite se opune ca o autoritate de supraveghere să suspende un transfer către această țară terță executat în temeiul unor clauze contractuale standard.

189.

În opinia noastră, această problematică trebuie să fie abordată în raport cu punctele 51 și 52 din Hotărârea Schrems, din cuprinsul cărora reiese că o decizie privind caracterul adecvat al nivelului de protecție este obligatorie pentru autoritățile de supraveghere atât timp cât aceasta nu a fost declarată nevalidă. Prin urmare, o autoritate de supraveghere sesizată cu plângerea unei persoane ale cărei date sunt transferate către țara terță vizată de o decizie privind caracterul adecvat al nivelului de protecție nu poate suspenda transferul pentru motivul că nivelul de protecție din această țară este neadecvat, fără ca Curtea să fie declarat în prealabil această decizie nevalidă ( 80 ).

190.

Instanța de trimite urmărește în esență să se stabilească dacă, în ceea ce privește o decizie referitoare la caracterul adecvat al nivelului de protecție – cum ar fi Decizia privind Scutul de protecție sau, anterior acesteia, Decizia privind sfera de siguranță – care se întemeiază pe adeziunea voluntară a întreprinderilor la principiile pe care le prevede, această concluzie este valabilă numai în măsura în care transferul către țara terță în cauză este guvernat de această decizie, sau și în cazul în care se întemeiază pe un temei juridic distinct.

191.

Potrivit domnului Schrems, guvernelor german, neerlandez, polonez și portughez, precum și Comisiei, constatarea caracterului adecvat efectuată în Decizia privind Scutul de confidențialitate nu privează autoritățile de supraveghere de competența lor de a suspenda sau de a interzice un transfer către Statele Unite executat în temeiul unor clauze contractuale standard. Atunci când transferul către Statele Unite nu se întemeiază pe Decizia privind Scutul de confidențialitate, această decizie nu ar fi în mod formal obligatorie pentru autoritățile de supraveghere în cadrul exercitării competențelor pe care li le conferă articolul 58 alineatul (2) din RGPD. Cu alte cuvinte, aceste autorități ar putea să se distanțeze de constatările efectuate de Comisie cu privire la caracterul adecvat al nivelului de protecție împotriva ingerințelor autorităților publice americane în exercitarea drepturilor fundamentale ale persoanelor vizate. Guvernul neerlandez și Comisia precizează că autoritățile de supraveghere trebuie să țină totuși seama de ele atunci când exercită competențele respective. În opinia guvernului german, aceste autorități ar putea efectua aprecieri contrare numai la finalul unei examinări pe fond, care implică investigații relevante, a constatărilor efectuate de Comisie.

192.

În schimb, Facebook Ireland și guvernul Statelor Unite arată în esență că efectul obligatoriu al unei decizii privind caracterul adecvat al nivelului de protecție implică, în lumina cerințelor securității juridice și aplicării uniforme a dreptului Uniunii, că autoritățile de supraveghere nu sunt abilitate să repună în discuție, nici chiar în cadrul examinării unei plângeri care are ca obiect suspendarea transferurilor efectuate către țara terță în cauză pe un alt temei decât această decizie, constatările care figurează în decizia menționată.

193.

Subscriem la prima dintre aceste două abordări. Întrucât domeniul de aplicare al Deciziei privind Scutul de confidențialitate se limitează la transferurile efectuate către o întreprindere autocertificată în temeiul acestei decizii, decizia menționată nu poate obliga în mod formal autoritățile de supraveghere în legătură cu transferurile care nu intră în acest domeniu de aplicare. În mod corelativ, Decizia privind Scutul de confidențialitate urmărește să asigure securitatea juridică exclusiv în beneficiul exportatorilor care transferă date în cadrul pe care îl instituie. În opinia noastră, independența pe care articolul 52 din RGPD o recunoaște autorităților de supraveghere pare să se opună de asemenea ca acestea să fie ținute de constatările efectuate de Comisie într‑o decizie privind caracterul adecvat al nivelului de protecție dincolo de domeniul de aplicare al acesteia.

194.

În mod evident, constatările care figurează în Decizia privind Scutul de confidențialitate referitoare la caracterul adecvat al nivelului de protecție asigurat în Statele Unite împotriva ingerințelor legate de activitățile serviciilor lor de informații constituie punctul de plecare al analizei prin care o autoritate de supraveghere evaluează, de la caz la caz, dacă un transfer întemeiat pe clauze contractuale standard trebuie suspendat din cauza unor asemenea ingerințe. Totuși, în cazul în care aceasta apreciază, la finalul unei investigații detaliate, că nu poate fi de acord cu constatările respective în ceea ce privește transferul adus în atenția sa, autoritatea de supraveghere competentă își păstrează, în opinia noastră, posibilitatea de a exercita competențele pe care i le conferă articolul 58 alineatul (2) literele (f) și (j) din RGPD.

195.

În aceste condiții, în ipoteza în care Curtea ar rezerva problemei aici examinate un răspuns contrar celui pe care îl susținem, ar fi necesar să se examineze dacă aceste competențe nu ar trebui să fie totuși restabilite ca urmare a nevalidității Deciziei privind Scutul de confidențialitate.

196.

Observațiile care urmează vor ridica anumite întrebări cu privire la temeinicia aprecierilor care figurează în Decizia privind Scutul de confidențialitate în ceea ce privește caracterul adecvat, în sensul articolului 45 alineatul (1) din RGPD, al nivelului de protecție asigurat de Statele Unite în raport cu activitățile de supraveghere a comunicațiilor electronice desfășurate de autoritățile de informații americane. Aceste observații nu au vocația de a expune o poziție definitivă sau exhaustivă cu privire la validitatea deciziei menționate. Ele se vor limita să furnizeze anumite reflecții care s‑ar putea dovedi utile pentru Curte în ipoteza în care aceasta ar dori, contrar celor preconizate, să se pronunțe cu privire la acest aspect.

197.

În această privință, din considerentul (64) și din cuprinsul punctului I.5 din anexa II la Decizia privind Scutul de confidențialitate reiese că adeziunea întreprinderilor la principiile enunțate în această decizie poate fi limitată, printre altele, de cerințele referitoare la securitatea națională, la interesul public și la respectarea legislației sau de obligații contradictorii care decurg din dreptul american.

198.

Prin urmare, Comisia a evaluat garanțiile prevăzute în dreptul Statelor Unite în ceea ce privește accesul la datele transferate și utilizarea lor de autoritățile publice americane în special în scopuri de securitate națională ( 81 ). Aceasta a obținut din partea guvernului american anumite angajamente cu privire, pe de o parte, la limitările privind accesul și utilizarea de către autoritățile americane a datelor transferate, precum și, pe de altă parte, la protecția juridică oferită persoanelor vizate ( 82 ).

199.

În fața Curții, domnul Schrems invocă nevaliditatea Deciziei privind Scutul de confidențialitate pentru motivul că garanțiile astfel descrise nu sunt suficiente pentru a asigura un nivel adecvat de protecție a drepturilor fundamentale ale persoanelor ale căror date sunt transferate în Statele Unite. DPC, EPIC, precum și guvernele austriac, polonez și portughez, fără a pune în discuție în mod direct validitatea acestei decizii, contestă aprecierile efectuate de Comisie cu privire la caracterul adecvat al nivelului de protecție împotriva ingerințelor care decurg din activitățile serviciilor de informații americane. Aceste îndoieli perpetuează preocupările exprimate de Parlament ( 83 ), de EDPB ( 84 ) și de AEPD ( 85 ).

200.

Înainte de a examina temeinicia constatării caracterului adecvat efectuate în Decizia privind Scutul de confidențialitate, este necesar să se precizeze metodologia care trebuie să orienteze această examinare.

201.

În conformitate cu articolul 45 alineatul (3) din RGPD și cu jurisprudența Curții ( 86 ), Comisia poate constata că o țară terță asigură un nivel de protecție adecvat numai în măsura în care a concluzionat, motivând corespunzător, că nivelul de protecție al drepturilor fundamentale ale persoanelor vizate este „în esență echivalent” cu cel impus în cadrul Uniunii în temeiul acestui regulament interpretat în lumina cartei.

202.

Astfel, verificarea caracterului adecvat al nivelului de protecție asigurat într‑o țară terță implică în mod necesar o comparație între normele și practicile existente în această țară terță, pe de o parte, și standardele de protecție în vigoare în Uniune, pe de altă parte. Prin intermediul celei de a doua întrebări, instanța de trimitere solicită Curții să precizeze termenii acestei comparații ( 87 ).

203.

Mai concret, această instanță urmărește să afle dacă rezerva de competență pe care articolul 4 alineatul (2) TUE și articolul 2 alineatul (2) din RGPD o recunosc statelor membre în domeniul protecției securității naționale presupune că ordinea juridică a Uniunii nu cuprinde standarde de protecție cu care ar trebui comparate, în vederea evaluării caracterului lor adecvat, garanțiile care însoțesc într‑o țară terță prelucrarea de către autoritățile publice a datelor care sunt transferate în țara terță respectivă, în scopul protecției securității naționale. În cazul unui răspuns afirmativ, instanța respectivă dorește să afle modul în care trebuie să fie determinat cadrul de referință relevant.

204.

În această privință, trebuie să se aibă în vedere faptul că rațiunea de a fi a restricțiilor pe care dreptul Uniunii le prevede pentru transferurile internaționale de date cu caracter personal, impunând asigurarea continuității nivelului de protecție a drepturilor persoanelor vizate, urmărește evitarea riscului de eludare a standardelor aplicabile în cadrul Uniunii ( 88 ). Astfel cum a arătat în esență Facebook Ireland, nu ar fi nicidecum justificat, din perspectiva acestui obiectiv, să se aștepte din partea unei țări terțe respectarea unor cerințe care nu corespund unor obligații care revin statelor membre.

205.

Or, conform articolului 51 alineatul (1), carta se aplică statelor membre numai în cazul în care acestea pun în aplicare dreptul Uniunii. În consecință, validitatea unei decizii privind caracterul adecvat al nivelului de protecție în raport cu restricțiile privind exercitarea drepturilor fundamentale ale persoanelor vizate care decurg din reglementarea țării terțe de destinație depinde de o comparație între aceste restricții și cele pe care le‑ar autoriza din partea statelor membre dispozițiile cartei numai în măsura în care o reglementare similară a unui stat membru ar intra în domeniul de aplicare al dreptului Uniunii.

206.

Cu toate acestea, caracterul adecvat al nivelului de protecție asigurat în statul terț de destinație nu poate fi apreciat cu ignorarea eventualelor ingerințe în exercitarea drepturilor fundamentale ale persoanelor vizate care ar rezulta din măsuri de stat, în special în domeniul securității naționale, care, în cazul în care ar fi adoptate de un stat membru, ar fi în afara domeniului de aplicare al dreptului Uniunii. În vederea acestei aprecieri, articolul 45 alineatul (2) litera (a) din RGPD impune luarea în considerare, fără nicio restricție, a reglementărilor în materie de securitate națională în vigoare în acest stat terț.

207.

Evaluarea caracterului adecvat al nivelului de protecție în privința unor asemenea măsuri de stat implică, în opinia noastră, compararea garanțiilor de care sunt însoțite cu nivelul de protecție impus în cadrul Uniunii în temeiul dreptului statelor membre, inclusiv al angajamentelor lor în temeiul CEDO. Întrucât aderarea statelor membre la CEDO le obligă să asigure conformitatea ordinilor lor juridice interne cu dispozițiile acestei convenții și constituie astfel, după cum au subliniat în esență Facebook Ireland, guvernele german și ceh, precum și Comisia, un numitor comun pentru statele membre, vom considera aceste dispoziții ca fiind elementul de comparație pertinent în scopul efectuării evaluării respective.

208.

În speță, astfel cum am evocat mai sus ( 89 ), cerințele referitoare la securitatea națională a Statelor Unite prevalează în raport cu obligațiile întreprinderilor autocertificate în temeiul Deciziei privind Scutul de confidențialitate. Astfel, validitatea acestei decizii depinde de aspectul dacă cerințele respective sunt însoțite de garanții care oferă un nivel de protecție în esență echivalent cu cel care trebuie asigurat în Uniune.

209.

Răspunsul la această întrebare necesită, în prealabil, identificarea standardelor – și anume a celor întemeiate pe cartă sau chiar pe CEDO – cărora ar trebui să le corespundă, în cadrul Uniunii, reglementările în materie de supraveghere a comunicațiilor electronice similare celor pe care Comisia le‑a examinat în Decizia privind Scutul de confidențialitate. Stabilirea standardelor aplicabile depinde de aspectul dacă reglementări precum articolul 702 din FISA și EO 12333 ar intra sau nu, în cazul în care ar proveni de la un stat membru, sub incidența limitării aduse domeniului de aplicare al RGPD în temeiul articolului 2 alineatul (2) din acest regulament, interpretat în lumina articolului 4 alineatul (2) TUE.

210.

În această privință, din modul de redactare a articolului 4 alineatul (2) TUE și din jurisprudența constantă reiese că dreptul Uniunii și, în special, instrumentele de drept derivat privind protecția datelor cu caracter personal nu se aplică activităților în materie de protecție a securității naționale în măsura în care acestea constituie activități proprii statelor sau autorităților statale, străine de domeniile de activitate ale particularilor ( 90 ).

211.

Acest principiu implică, pe de o parte, că o reglementare din domeniul protecției securității naționale nu intră în domeniul de aplicare al dreptului Uniunii atunci când aceasta reglementează numai activități statale, fără a se aplica niciunei activități exercitate de particulari. În consecință, dreptul respectiv nu se aplică, în opinia noastră, unor măsuri naționale privind colectarea și utilizarea de date personale puse în aplicare în mod direct de stat în scopul protecției securității naționale, fără a impune obligații specifice operatorilor privați. În special, astfel cum a arătat Comisia în ședință, o măsură adoptată de un stat membru care, asemenea EO 12333, ar permite accesul direct al serviciilor sale de securitate la datele în tranzit, ar fi exclusă din domeniul de aplicare al dreptului Uniunii ( 91 ).

212.

Mult mai complex este aspectul dacă, pe de o parte, dispoziții naționale care, în același mod ca articolul 702 din FISA, obligă furnizorii de servicii de comunicații electronice să își ofere sprijinul autorităților competente în materie de securitate națională pentru a le permite accesul la anumite date cu caracter personal ar fi de asemenea în afara domeniului de aplicare al dreptului Uniunii.

213.

În timp ce Hotărârea PNR pledează în favoarea unui răspuns afirmativ la această întrebare, raționamentul adoptat în Hotărârile Tele2 Sverige și Ministerio Fiscal ar putea justifica un răspuns negativ la întrebarea respectivă.

214.

În Hotărârea PNR, Curtea a anulat decizia în care Comisia constatase caracterul adecvat al nivelului de protecție a datelor cu caracter personal conținute în dosarele pasagerilor aerieni (Passenger Name Records, PNR) transferate autorității americane competente în domeniul vamal și al protecției frontierelor ( 92 ). Curtea a statuat că prelucrarea la care se referea această decizie – și anume transferul de date PNR de către companiile aeriene către autoritatea în cauză – intra, având în vedere obiectul său, sub incidența excluderii din domeniul de aplicare al Directivei 95/46 prevăzute la articolul 3 alineatul (2). Potrivit Curții, această prelucrare era necesară nu pentru realizarea unei prestări de servicii, ci chiar pentru apărarea securității publice și în scopuri de aplicare a legii. Întrucât transferul în cauză se înscria într‑un cadru instituit de autoritățile publice și care privea securitatea publică, acesta era exclus din domeniul de aplicare al directivei menționate în pofida faptului că datele PNR erau colectate inițial de operatori privați în cadrul unei activități comerciale care intră în acest domeniu de aplicare și că transferul respectiv era organizat de aceștia din urmă ( 93 ).

215.

În Hotărârea subsecventă Tele2 Sverige ( 94 ), Curtea a statuat că dispozițiile naționale, întemeiate pe articolul 15 alineatul (1) din Directiva 2002/58/CE ( 95 ), care reglementează atât păstrarea, de către furnizorii de servicii de telecomunicații, a datelor de trafic și de localizare, cât și accesul autorităților publice la datele păstrate în scopurile menționate de această dispoziție – care includ sancționarea penală și protecția securității naționale – intră în domeniul de aplicare al acestei directive și, în consecință, al cartei. Potrivit Curții, nici dispozițiile referitoare la păstrarea datelor, nici cele privind accesul la datele păstrate nu sunt acoperite de excluderea din domeniul de aplicare al acestei directive, prevăzută la articolul 1 alineatul (3) din aceasta, care face referire, printre altele, la activitățile statului în materie de sancționare și de protecție a securității naționale ( 96 ). Curtea a confirmat această jurisprudență în Hotărârea Ministerio Fiscal ( 97 ).

216.

Articolul 702 din FISA diferă însă de o asemenea reglementare în sensul că această dispoziție nu impune furnizorilor de servicii de comunicații electronice nicio obligație de păstrare a datelor, nici de efectuare a unei alte prelucrări în lipsa unei cereri de acces la date din partea autorităților de informații.

217.

Prin urmare, se ridică problema dacă intră în domeniul de aplicare al RGPD și, în consecință, al cartei, măsuri naționale care impun acestor furnizori o obligație de a pune datele la dispoziția unor autorități publice în scopuri de securitate națională, independent de orice obligație de păstrare ( 98 ).

218.

O primă abordare ar putea consta în concilierea, în măsura în care este posibil, a celor două linii jurisprudențiale sus‑menționate prin interpretarea concluziei deduse de Curte în Hotărârile Tele2 Sverige și Ministerio Fiscal, referitoare la aplicabilitatea dreptului Uniunii în cazul măsurilor care reglementează accesul la date al autorităților naționale în special în scopul protecției securității naționale ( 99 ), ca fiind limitată la situațiile în care datele au fost păstrate în temeiul unei obligații legale instituite în temeiul articolului 15 alineatul (1) din Directiva 2002/58. În schimb, această concluzie nu s‑ar aplica situației de fapt diferite din Hotărârea PNR, care privea transferul către o autoritate americană competentă în materie de securitate internă al datelor păstrate de companiile aeriene, în scop comercial, din proprie inițiativă.

219.

Potrivit unei a doua abordări, pe care Comisia o preconizează și pe care o considerăm mai convingătoare, raționamentul adoptat în Hotărârile Tele2 Sverige și Ministerio Fiscal ar justifica aplicabilitatea dreptului Uniunii în cazul unor norme naționale care impun furnizorilor de servicii de comunicații electronice să le acorde asistență autorităților responsabile cu securitatea națională pentru ca acestea să poată avea acces la anumite date, indiferent dacă aceste norme însoțesc sau nu o obligație prealabilă de păstrare a datelor.

220.

Esența acestui raționament se întemeiază, astfel, nu pe obiectul dispozițiilor în cauză ca în Hotărârea PNR, ci pe faptul că dispozițiile respective reglementau activitățile furnizorilor, impunându‑le să efectueze o prelucrare a datelor. Aceste activități nu constituiau activități ale statului în domeniile menționate la articolul 1 alineatul (3) din Directiva 2002/58 și la articolul 3 alineatul (2) din Directiva 95/46, al cărui conținut este reluat în esență la articolul 2 alineatul (2) din RGDP.

221.

Astfel, în Hotărârea Tele2 Sverige, Curtea a observat că „accesul la datele păstrate de […] furnizori privește prelucrări ale unor date cu caracter personal de către aceștia din urmă, prelucrări care intră în domeniul de aplicare al directivei menționate” ( 100 ). În același mod, aceasta a statuat în Hotărârea Ministerio Fiscal că măsurile legislative care impun furnizorilor să acorde autorităților competente accesul la datele păstrate „implică în mod necesar o prelucrare, de către acești furnizori, a [acestor] date[…]” ( 101 ).

222.

Or, punerea la dispoziție a unor date de către operator în favoarea unei autorități publice corespunde definiției „prelucrării” prevăzute la articolul 4 punctul 2 din RGPD ( 102 ). Aceasta este și situația filtrării prealabile a datelor prin intermediul unor criterii de căutare în vederea izolării celor la care autoritățile publice au solicitat accesul ( 103 ).

223.

Concluzionăm de aici că, urmând raționamentul adoptat de Curte în Hotărârile Tele2 Sverige și Ministerio Fiscal, RGPD și, în consecință, carta se aplică unei reglementări naționale care obligă un furnizor de servicii de comunicații electronice să ofere asistență autorităților responsabile cu securitatea națională punând la dispoziția lor date, eventual după filtrare, chiar independent de orice obligație legală de păstrare a datelor respective.

224.

În plus, această interpretare pare să rezulte, cel puțin implicit, din Hotărârea Schrems. Astfel cum au subliniat DPC, guvernele austriac și polonez, precum și Comisia, în cadrul examinării validității Deciziei privind sfera de siguranță, Curtea a statuat în această hotărâre că dreptul țării terțe vizate de o decizie privind caracterul adecvat al nivelului de protecție trebuie să prevadă, împotriva ingerințelor autorităților sale publice în drepturile fundamentale ale persoanelor vizate în scopuri de securitate națională, garanții în esență echivalente cu cele care decurg în special din articolele 7, 8 și 47 din cartă ( 104 ).

225.

Rezultă, în mod mai specific, că o măsură națională care impune furnizorilor de servicii de comunicații electronice să răspundă la o cerere de acces, care provine de la autoritățile competente în materie de securitate națională, la anumite date păstrate de acești furnizori în cadrul activităților lor comerciale independent de orice obligație legală, identificând în prealabil datele solicitate prin aplicarea unor selectoare (ca în cadrul programului PRISM), nu ar intra sub incidența articolului 2 alineatul (2) din RGPD. Această situație s‑ar regăsi și în cazul unei măsuri naționale care impune întreprinderilor care exploatează „coloana vertebrală” a telecomunicațiilor să acorde acces autorităților responsabile cu securitatea națională la date care tranzitează infrastructuri pe care ele le exploatează (ca în cadrul programului Upstream).

226.

În schimb, odată cu primirea datelor în cauză de către autoritățile statului, păstrarea și utilizarea lor ulterioară de către aceste autorități în scopuri de securitate națională sunt, în opinia noastră, pentru aceleași motive cu cele menționate la punctul 211 din prezentele concluzii, acoperite de derogarea prevăzută la articolul 2 alineatul (2) din RGPD, astfel că nu intră în domeniul de aplicare al acestui regulament și, în consecință, nici în cel al cartei.

227.

Având în vedere toate considerațiile care precedă, apreciem că controlul validității Deciziei privind Scutul de confidențialitate în raport cu limitările principiilor enunțate în aceasta, care sunt susceptibile să decurgă din activitățile autorităților de informații americane, implică o dublă verificare.

228.

Va trebui, în primul rând, să se examineze dacă Statele Unite asigură un nivel de protecție în esență echivalent cu cel care decurge din dispozițiile RGPD și ale cartei împotriva limitărilor care rezultă din aplicarea articolului 702 din FISA, întrucât această dispoziție permite NSA să impună furnizorilor să pună date personale la dispoziția sa.

229.

În al doilea rând, dispozițiile CEDO vor constitui cadrul de referință relevant pentru a se evalua dacă limitările pe care le‑ar putea determina punerea în aplicare a EO 12333, în măsura în care permite autorităților de informații să colecteze ele însele, fără contribuția unor operatori privați, date cu caracter personal, pun în discuție caracterul adecvat al nivelului de protecție asigurat în Statele Unite. Dispozițiile menționate vor furniza de asemenea standardele de comparație care permit să se aprecieze caracterul adecvat al acestui nivel de protecție în ceea ce privește păstrarea și utilizarea datelor obținute de autoritățile respective în scopuri de securitate națională.

230.

Cu toate acestea, trebuie să se stabilească și dacă o constatare a caracterului adecvat presupune ca colectarea de date în temeiul EO 12333 să fie însoțită de un nivel de protecție în esență echivalent cu cel care trebuie asigurat în cadrul Uniunii, chiar și în măsura în care această colectare ar avea loc în afara teritoriului Statelor Unite, în cursul etapei de tranzit al datelor din Uniune către această țară terță.

231.

În fața Curții au fost susținute trei poziții distincte în ceea ce privește necesitatea sau nu pentru Comisie de a ține seama, în vederea evaluării caracterului adecvat al nivelului de protecție asigurat într‑o țară terță, de măsurile naționale referitoare la accesul la date al autorităților acestei țări terțe, în afara teritoriului său, în cursul etapei de tranzit al datelor din Uniune către acest teritoriu.

232.

În primul rând, Facebook Ireland, precum și guvernele Statelor Unite și al Regatului Unit susțin în esență că existența unor asemenea măsuri este irelevantă în cadrul unei constatări a caracterului adecvat. Acestea din urmă se prevalează, în susținerea abordării amintite, de imposibilitatea unui stat terț de a controla toate căile de comunicații situate în afara teritoriului său prin care tranzitează datele provenite din Uniune, astfel că prin ipoteză nu s‑ar putea garanta niciodată că un alt stat terț nu colectează date în secret în timpul tranzitului lor.

233.

În al doilea rând, DPC, domnul Schrems, EPIC, guvernele austriac și neerlandez, Parlamentul și EDPB susțin că cerința continuității nivelului de protecție, prevăzută la articolul 44 din RGPD, presupune că acest nivel trebuie să fie adecvat pe tot parcursul transferului, inclusiv atunci când datele tranzitează prin cabluri submarine înainte de a ajunge pe teritoriul țării terțe de destinație.

234.

Recunoscând totodată acest principiu, Comisia susține, în al treilea rând, că obiectul unei constatări privind caracterul adecvat este limitat la protecția asigurată de țara terță vizată în interiorul frontierelor sale, astfel încât împrejurarea potrivit căreia un nivel adecvat de protecție nu este garantat în timpul tranzitului către această țară terță nu repune în discuție validitatea unei decizii privind caracterul adecvat al nivelului de protecție. În conformitate cu articolul 32 din RGPD, operatorului i‑ar reveni totuși sarcina de a asigura securitatea transferului prin protejarea, pe cât posibil, a datelor cu caracter personal în cursul etapei de tranzit către țara terță respectivă.

235.

În această privință, observăm că articolul 44 din RGPD subordonează un transfer către o țară terță respectării condițiilor prevăzute de dispozițiile capitolului V din acest regulament, în măsura în care datele sunt susceptibile să facă obiectul unei prelucrări „după ce sunt transferate”. Acești termeni ar putea fi interpretați în sensul că fie, astfel cum a susținut guvernul Statelor Unite în răspunsul său scris la întrebările Curții, aceste condiții trebuie să fie respectate odată ce datele au ajuns la destinație, fie se impun după ce transferul a fost inițiat (inclusiv în cursul etapei de tranzit).

236.

Întrucât modul de redactare a articolului 44 din RGPD nu este concludent, o interpretare teleologică ne determină să ne însușim cea de a doua dintre aceste interpretări și, prin urmare, să ne alăturăm celei de a doua dintre abordările sus‑menționate. Astfel, în cazul în care s‑ar considera că cerința continuității nivelului de protecție prevăzută de această dispoziție acoperă doar măsurile de supraveghere puse în aplicare în interiorul teritoriului țării terțe de destinație, aceasta ar putea fi eludată atunci când țara terță respectivă aplică asemenea măsuri în afara teritoriului său în cursul etapei de tranzit al datelor. Pentru a evita acest risc, evaluarea caracterului adecvat al nivelului de protecție asigurat de o țară terță trebuie să privească toate dispozițiile, în special în materie de securitate națională, ale ordinii juridice a acestei țări terțe ( 105 ), printre care figurează atât cele referitoare la supravegherea pusă în aplicare pe teritoriul său, cât și cele care permit supravegherea datelor aflate în tranzit către teritoriul respectiv ( 106 ).

237.

În aceste condiții, nimeni nu contestă că, astfel cum a subliniat EDPB, evaluarea caracterului adecvat al nivelului de protecție privește, astfel cum reiese din articolul 45 alineatul (1) din RGPD, numai dispozițiile din ordinea juridică a țării terțe de destinație a datelor. Imposibilitatea invocată de Facebook Ireland, precum și de guvernele Statelor Unite și Regatului Unit, de a garanta ca un alt stat terț să nu colecteze în secret aceste date în cursul tranzitului lor nu afectează evaluarea respectivă. De altfel, un asemenea risc nu poate fi exclus chiar după ce datele au ajuns pe teritoriul statului terț de destinație.

238.

Pe de altă parte, este de asemenea adevărat că, atunci când apreciază caracterul adecvat al nivelului de protecție garantat de o țară terță, Comisia s‑ar putea confrunta eventual cu omisiunea țării terțe respective de a dezvălui acesteia din urmă existența anumitor programe de supraveghere secrete. Totuși, nu rezultă de aici că, atunci când astfel de programe sunt aduse la cunoștința sa, Comisia se poate abține de la a ține seama de ele în cadrul examinării caracterului adecvat al nivelului de protecție asigurat de această țară terță. De asemenea, în cazul în care, după adoptarea unei decizii privind caracterul adecvat al nivelului de protecție, i s‑a dezvăluit existența anumitor programe de supraveghere secrete, puse în aplicare de țara terță respectivă pe teritoriul său sau în cursul tranzitului către acesta, Comisia este obligată să reexamineze constatarea sa referitoare la caracterul adecvat al nivelului de protecție asigurat de această țară terță în cazul în care o asemenea dezvăluire dă naștere unei îndoieli cu privire la acest subiect ( 107 ).

239.

Deși este cert că Curtea nu este competentă să efectueze o interpretare a dreptului unei țări terțe care s‑ar impune în ordinea juridică a acesteia, validitatea Deciziei privind Scutul de confidențialitate depinde de temeinicia aprecierilor efectuate de Comisie cu privire la nivelul de protecție, asigurat de dreptul și de practicile Statelor Unite, al drepturilor fundamentale ale persoanelor ale căror date sunt transferate către această țară terță. Astfel, Comisia era obligată să își motiveze constatarea caracterului adecvat în raport cu elementele, care privesc în special conținutul dreptului țării terțe respective, menționate la articolul 45 alineatul (2) din RGPD ( 108 ).

240.

High Court (Înalta Curte) a prezentat, în hotărârea din 3 octombrie 2017, constatări detaliate prin care descrie aspectele pertinente ale dreptului american în urma evaluării probelor prezentate de părțile din litigiu ( 109 ). Această prezentare coincide în mare măsură cu constatările efectuate de Comisie în Decizia privind Scutul de confidențialitate, referitoare la conținutul normelor care însoțesc colectarea și accesul autorităților de informații americane la datele transferate, precum și la căile de atac și la mecanismele de supraveghere aferente acestor activități.

241.

Instanța de trimitere, precum și mai multe părți și persoane interesate care au prezentat observații în fața Curții, pun în discuție mai mult consecințele juridice pe care Comisia le‑a desprins din aceste constatări – și anume concluzia potrivit căreia Statele Unite asigură un nivel adecvat de protecție a drepturilor fundamentale ale persoanelor ale căror date sunt transferate în temeiul acestei decizii – decât descrierea pe care ea a prezentat‑o cu privire la conținutul dreptului american.

242.

În aceste condiții, vom evalua în esență validitatea Deciziei privind Scutul de confidențialitate în lumina constatărilor efectuate de Comisie însăși cu privire la conținutul dreptului american, examinând dacă acestea justificau adoptarea deciziei privind caracterul adecvat al nivelului de protecție.

243.

În această privință, nu suntem de acord cu punctul de vedere, susținut de DPC și de domnul Schrems, potrivit căruia constatările efectuate de High Court (Înalta Curte) cu privire la dreptul Statelor Unite ar fi obligatorii pentru Curte în cadrul examinării validității Deciziei privind Scutul de confidențialitate. Acestea din urmă arată că, întrucât dreptul străin reprezintă o chestiune de fapt în temeiul dreptului procedural irlandez, instanța de trimitere este singura competentă să stabilească conținutul acestuia.

244.

Jurisprudența constantă recunoaște, desigur, instanței naționale competența exclusivă pentru a stabili elementele de fapt relevante, precum și pentru a interpreta și aplica dreptul unui stat membru în litigiul cu care este sesizată ( 110 ). Această jurisprudență reflectă repartizarea funcțiilor între Curte și instanța de trimitere în cadrul procedurii instituite la articolul 267 TFUE. Deși Curtea este singura competentă să interpreteze dreptul Uniunii și să se pronunțe cu privire la validitatea dreptului derivat, este de competența instanței naționale, chemată să soluționeze un litigiu concret pendinte în fața sa, să stabilească contextul factual și normativ al acestuia, astfel încât Curtea să îi poată furniza un răspuns util.

245.

Rațiunea de a fi a acestei competențe exclusive a instanței de trimitere nu ne pare a putea fi transpusă în cazul stabilirii dreptului unei țări terțe ca element de natură să influențeze concluzia Curții privind validitatea unui act de drept derivat ( 111 ). Întrucât o declarație de nevaliditate a unui asemenea act se impune erga omnes în ordinea juridică a Uniunii ( 112 ), concluzia Curții nu poate depinde de originea trimiterii preliminare. Or, astfel cum au subliniat Facebook Ireland și guvernul Statelor Unite, aceasta ar depinde de originea trimiterii preliminare în cazul în care Curtea ar fi ținută de constatările efectuate de instanța de trimitere referitoare la dreptul unui stat terț, acestea fiind susceptibile să varieze în funcție de instanța națională care le efectuează.

246.

Având în vedere aceste considerații, apreciem că atunci când răspunsul la o întrebare preliminară privind validitatea unui act al Uniunii presupune evaluarea conținutului dreptului unui stat terț, Curtea, deși poate ține seama de aceasta, nu este ținută de constatările efectuate de instanța de trimitere referitoare la dreptul acestui stat terț. După caz, Curtea se poate îndepărta de ele sau le poate completa luând în considerare, cu respectarea principiului contradictorialității, alte surse pentru a stabili elementele necesare pentru evaluarea validității actului în cauză ( 113 ).

247.

Amintim că validitatea Deciziei privind Scutul de confidențialitate depinde de aspectul dacă ordinea juridică a Statelor Unite asigură, în beneficiul persoanelor ale căror date sunt transferate din Uniune către această țară terță, un nivel de protecție care să fie „în esență echivalent” cu cel garantat în cadrul statelor membre în temeiul RGDP și al cartei, precum și, în domeniile excluse din domeniul de aplicare al dreptului Uniunii, al angajamentelor lor potrivit CEDO.

248.

Astfel cum a subliniat Curtea în Hotărârea Schrems ( 114 ), acest standard nu înseamnă că nivelul de protecție trebuie să fie „identic” cu cel impus în Uniune. Deși mijloacele la care o țară terță a recurs pentru a proteja drepturile persoanelor vizate pot fi diferite de cele prevăzute de RGPD, interpretat în lumina cartei, „aceste mijloace trebuie […] să se dovedească în practică efective în scopul de a asigura o protecție în esență echivalentă cu cea garantată în cadrul Uniunii”.

249.

Rezultă de asemenea, în opinia noastră, că dreptul statului terț de destinație poate reflecta propria scară de valori în funcție de care ponderea respectivă a diverselor interese existente poate fi diferită de cea care le este atribuită în ordinea juridică a Uniunii. De altfel, protecția datelor personale care prevalează în cadrul Uniunii răspunde unui standard deosebit de ridicat în comparație cu nivelul de protecție în vigoare în restul lumii. Prin urmare, criteriul „echivalenței substanțiale” ar trebui, în opinia noastră, să fie aplicat astfel încât să se mențină o anumită flexibilitate pentru a ține seama de diversele tradiții juridice și culturale. Totuși, acest criteriu implică, cu excepția cazului în care este golit de substanță, ca anumite garanții minime și cerințe generale de protecție a drepturilor fundamentale care decurg din cartă și din CEDO să își găsească echivalentul în ordinea juridică a țării terțe de destinație ( 115 ).

250.

În această privință, în conformitate cu articolul 52 alineatul (1) din cartă, orice restrângere a exercițiului drepturilor și libertăților consacrate de aceasta trebuie să fie prevăzută de lege, să respecte substanța lor și, prin respectarea principiului proporționalității, să fie necesară și să răspundă efectiv unui obiectiv de interes general recunoscut de Uniune sau necesității protejării drepturilor și libertăților celorlalți. Aceste cerințe corespund, în esență, celor prevăzute la articolul 8 paragraful 2 din CEDO ( 116 ).

251.

În conformitate cu articolul 52 alineatul (3) din cartă, în măsura în care drepturile garantate la articolele 7, 8 și 47 din aceasta corespund celor consacrate la articolele 8 și 13 din CEDO, înțelesul și întinderea lor sunt aceleași, subînțelegându‑se că dreptul Uniunii le poate totuși conferi o protecție mai largă. Din această perspectivă, după cum va rezulta din expunerea noastră, standardele care rezultă din articolele 7, 8 și 47 din cartă, astfel cum au fost interpretate de Curtea noastră, sunt în anumite privințe mai stricte decât cele care decurg din articolul 8 din CEDO, potrivit interpretării date de Curtea Europeană a Drepturilor Omului (denumită în continuare „Curtea Europeană a Drepturilor Omului”).

252.

Observăm de asemenea că cauzele pendinte în fața fiecăreia dintre instanțele respective le invită pe acestea să reconsidere anumite aspecte ale jurisprudențelor respective. Astfel, pe de o parte, două hotărâri recente ale Curții Europene a Drepturilor Omului în materie de supraveghere a comunicațiilor electronice – și anume Hotărârile Centrüm för Rättvisa împotriva Suediei ( 117 ) și Big Brother Watch împotriva Regatului Unit ( 118 ) – au făcut obiectul unei trimiteri pentru reexaminare în Marea Cameră. Pe de altă parte, trei instanțe naționale au sesizat Curtea noastră cu trimiteri preliminare care deschid dezbaterea privind necesitatea sau nu a unei modificări a orientării jurisprudenței sale rezultate din Hotărârea Tele2 Sverige ( 119 ).

253.

Aceste precizări fiind aduse, examinăm în prezent validitatea Deciziei privind Scutul de confidențialitate în raport cu articolul 45 alineatul (1) din RGPD, interpretat în lumina cartei și a CEDO, în măsura în care garantează drepturile, pe de o parte, la respectarea vieții private, precum și la protecția datelor cu caracter personal [secțiunea (b)], și, pe de altă parte, la o protecție jurisdicțională efectivă [secțiunea (c)].

254.

În cadrul celei de a patra întrebări, instanța de trimitere pune în esență în discuție echivalența substanțială dintre nivelul de protecție asigurat de Statele Unite și cel pe care persoanele în cauză îl obțin în cadrul Uniunii cu privire la drepturile lor fundamentale la respectarea vieții private și protecția datelor cu caracter personal.

255.

În considerentele (67)-(124) ale Deciziei privind Scutul de confidențialitate, Comisia menționează posibilitatea ca autoritățile publice americane să aibă acces la datele transferate din Uniune și să le utilizeze în scopuri de securitate națională în cadrul unor programe întemeiate în special pe articolul 702 din FISA sau pe EO 12333.

256.

Punerea în aplicare a acestor programe conduce la intruziuni din partea serviciilor de informații americane care, în cazul în care ar proveni de la autoritățile unui stat membru, ar fi considerate ingerințe în exercitarea dreptului la respectarea vieții private garantat la articolul 7 din cartă și la articolul 8 din CEDO. De asemenea, expune persoanele în cauză unui risc ca datele lor cu caracter personal să fie supuse unor tratamente care nu îndeplinesc cerințele prevăzute la articolul 8 din cartă ( 120 ).

257.

Precizăm de la bun început că drepturile la respectarea vieții private și la protecția datelor cu caracter personal includ nu numai protecția conținutului comunicațiilor, ci și datele de trafic ( 121 ) și de localizare (desemnate, împreună, prin termenul „metadate”). Atât Curtea noastră, cât și Curtea Europeană a Drepturilor Omului au recunoscut astfel că metadatele, la fel ca datele referitoare la conținut, sunt susceptibile să dezvăluie informații foarte precise cu privire la viața privată a unui individ ( 122 ).

258.

Potrivit jurisprudenței Curții, pentru a stabili existența unei ingerințe în exercitarea dreptului garantat la articolul 7 din cartă, nu este relevant dacă datele vizate prezintă sau nu un caracter sensibil sau dacă persoanele interesate au suferit sau nu eventuale dezavantaje ca urmare a măsurii de supraveghere în cauză ( 123 ).

259.

Acestea fiind amintite, programele de supraveghere întemeiate pe articolul 702 din FISA determină, în primul rând, ingerințe în exercitarea drepturilor fundamentale ale persoanelor ale căror comunicații respectă selectoarele alese de NSA și sunt, în consecință, transmise acesteia din urmă de furnizorii de servicii de comunicații electronice ( 124 ). Mai precis, obligația care revine furnizorilor de a pune datele la dispoziția NSA, în măsura în care aceasta derogă de la principiul confidențialității comunicațiilor ( 125 ), implică în sine o ingerință chiar dacă aceste date nu ar fi ulterior consultate și utilizate de autoritățile de informații ( 126 ). Conservarea și accesul efectiv al acestor autorități la metadate și la conținutul comunicațiilor puse la dispoziția lor, precum și la utilizarea acestor date, constituie tot atâtea ingerințe suplimentare ( 127 ).

260.

În plus, potrivit constatărilor instanței de trimitere ( 128 ) și ale altor surse precum raportul PCLOB privind programele puse în aplicare în temeiul articolului 702 din FISA adus în atenția Curții de către guvernul american ( 129 ), NSA ar avea, în cadrul programului Upstream, deja acces în vederea filtrării lor la conținuturi vaste („pachete”) de date care contribuie la fluxurile de comunicații care traversează „coloana vertebrală” a telecomunicațiilor și care includ comunicații care nu conțin selectoarele identificate de NSA. NSA ar putea examina aceste pachete de date numai pentru a stabili rapid, în mod automat, dacă ele conțin selectoarele respective. Numai comunicațiile filtrate astfel ar fi salvate în acest caz în bazele de date ale NSA. Acest acces la date în vederea filtrării lor ar constitui de asemenea, în opinia noastră, o ingerință în exercitarea dreptului la respectarea vieții private a persoanelor în cauză, indiferent de utilizarea ulterioară a datelor reținute ( 130 ).

261.

Pe de altă parte, punerea la dispoziție și filtrarea datelor în cauză ( 131 ), accesul autorităților de informații la aceste date, precum și păstrarea, analiza și utilizarea eventuale ale datelor respective intră în domeniul de aplicare al noțiunii de „prelucrare” în sensul articolului 4 punctul 2 din RGPD și al articolului 8 alineatul (2) din cartă. În consecință, prelucrările respective trebuie să îndeplinească cerințele prevăzute de această din urmă dispoziție ( 132 ).

262.

În ceea ce privește supravegherea în temeiul EO 12333, aceasta ar putea să implice accesul direct al autorităților de informații la datele în tranzit care implică o ingerință în exercitarea dreptului garantat la articolul 8 din CEDO. Acestei ingerințe i s‑ar adăuga cea care constă în utilizarea ulterioară eventuală a acelor date.

263.

În temeiul jurisprudenței Curții noastre ( 133 ) și a Curții Europene a Drepturilor Omului ( 134 ), cerința potrivit căreia orice ingerință în exercitarea drepturilor fundamentale trebuie să fie „prevăzută de lege”, în sensul articolului 52 alineatul (1) din cartă și al articolului 8 paragraful 2 din CEDO presupune nu numai că măsura care prevede ingerința trebuie să aibă un temei juridic în dreptul intern, ci și că acest temei juridic trebuie să aibă anumite calități de accesibilitate și de previzibilitate astfel încât să evite riscul de arbitrariu.

264.

În această privință, părțile și persoanele interesate care au prezentat observații Curții au în esență opinii diferite cu privire la aspectul dacă articolul 702 din FISA și EO 12333 îndeplinesc condiția referitoare la previzibilitatea legii.

265.

Această condiție, astfel cum a fost interpretată de Curte ( 135 ) și de Curtea Europeană a Drepturilor Omului ( 136 ), impune ca o reglementare care implică o ingerință în exercitarea dreptului la respectarea vieții private să instituie norme clare și precise care să reglementeze conținutul și aplicarea măsurii în cauză și care să impună o serie de cerințe minime, astfel încât să furnizeze persoanelor în cauză garanții suficiente care să permită protejarea datelor lor împotriva riscurilor de abuz, precum și împotriva oricărei accesări și a oricărei utilizări ilicite a acestor date. În special, asemenea norme trebuie să indice împrejurările și condițiile în care autoritățile publice pot să păstreze datele personale, să le acceseze și să le utilizeze ( 137 ). Pe de altă parte, temeiul juridic care permite ingerința trebuie să definească el însuși întinderea restrângerii exercitării dreptului la respectarea vieții private ( 138 ).

266.

Avem îndoieli, la fel ca domnul Schrems și EPIC, că EO 12333, precum și PPD 28 care prevede garanții care însoțesc ansamblul activităților de colectare de informații privind transmisiunile prin semnale electromagnetice ( 139 ), sunt suficient de previzibile pentru a avea „calitatea de lege”.

267.

Aceste instrumente menționează în mod expres că nu conferă drepturi executorii din punct de vedere juridic persoanelor vizate ( 140 ). Prin urmare, acestea nu pot invoca garanții prevăzute de PPD 28 în fața instanțelor ( 141 ). Comisia a considerat de altfel, în Decizia privind Scutul de confidențialitate că garanțiile prevăzute de această directivă prezidențială, deși sunt obligatorii pentru serviciile de informații ( 142 ), „nu sunt formulate în termeni juridici” ( 143 ). EO 12333 și PPD 28 se aseamănă mai mult cu instrucțiuni administrative interne care pot fi revocate sau modificate de Președintele Statelor Unite. Or, Curtea Europeană a Drepturilor Omului a statuat deja că directivele administrative interne nu au calitatea de „lege” ( 144 ).

268.

În ceea ce privește articolul 702 din FISA, caracterul previzibil al acestei dispoziții este pus în discuție de domnul Schrems pentru motivul că nu ar delimita alegerea criteriilor de selecție utilizate pentru filtrarea datelor prin garanții suficiente împotriva riscurilor de abuz. În măsura în care această problematică are de asemenea legătură cu caracterul strict necesar al ingerințelor prevăzute la articolul 702 din FISA, o vom examina în continuare în prezentarea noastră ( 145 ).

269.

A treia întrebare preliminară se suprapune cu tematica respectării condiției privind „calitatea legii”. Prin intermediul acestei întrebări, instanța de trimitere urmărește să afle în esență dacă caracterul adecvat al nivelului de protecție asigurat într‑o țară terță trebuie să fie examinat exclusiv în raport cu normele obligatorii din punct de vedere juridic, în vigoare în respectiva țară terță, și cu practicile care urmăresc să asigure respectarea acestora, sau de asemenea cu diverse instrumente neobligatorii și mecanisme de control extrajudiciare care le sunt aplicate.

270.

Cu privire la acest subiect, articolul 45 alineatul (2) litera (a) din RGPD prevede o listă neexhaustivă de împrejurări de care Comisia trebuie să țină seama pentru a evalua caracterul adecvat al nivelului de protecție oferit de o țară terță. Printre aceste împrejurări se numără legislația aplicabilă, precum și modul în care este pusă în aplicare. Dispoziția respectivă menționează de asemenea incidența altor tipuri de norme, cum ar fi normele profesionale și măsurile de securitate. Aceasta impune în plus luarea în considerare a „unor drepturi efective și opozabile” și „a unor reparații efective pe cale administrativă și judiciară pentru persoanele vizate ale căror date cu caracter personal sunt transferate” ( 146 ).

271.

Interpretată global și în raport cu caracterul nelimitativ al listei pe care o conține, dispoziția menționată implică în opinia noastră că practicile sau instrumentele nefondate pe un temei juridic accesibil și previzibil pot fi luate în considerare în cadrul evaluării de ansamblu a nivelului de protecție asigurat de țara terță în cauză, astfel încât să confirme garanții care au ele însele un temei juridic ce prezintă aceste caracteristici. În schimb, astfel cum au susținut în esență DPC, domnul Schrems, guvernul austriac și EDPB, asemenea instrumente și practici nu se pot substitui unor asemenea garanții, nici, în consecință, nu pot asigura, prin ele însele, nivelul de protecție impus.

272.

Cerința, prevăzută la articolul 52 alineatul (1) din cartă, potrivit căreia orice restrângere a drepturilor sau a libertăților garantate de cartă trebuie să respecte substanța acestora implică faptul că, atunci când o ingerință aduce atingere drepturilor omului și libertăților fundamentale, niciun obiectiv legitim nu o poate justifica. Ingerința este, așadar, considerată contrară cartei, fără să se examineze dacă aceasta este aptă și necesară pentru realizarea obiectivului urmărit.

273.

În această privință, Curtea a statuat că o reglementare națională care permite autorităților publice un acces generalizat la conținutul comunicărilor electronice aduce atingere substanței înseși a dreptului la respectarea vieții private, garantat la articolul 7 din cartă ( 147 ). În schimb, subliniind totodată riscurile asociate accesului și analizei datelor de transfer și de localizare ( 148 ), Curtea a considerat că substanța acestui drept nu este afectată atunci când o reglementare națională permite un acces generalizat al autorităților statale la aceste date ( 149 ).

274.

În opinia noastră, nu se poate considera că articolul 702 din FISA permite autorităților de informații americane să acceadă în mod generalizat la conținutul comunicațiilor electronice.

275.

Astfel, pe de o parte, accesul la date al autorităților de informații, în temeiul articolului 702 din FISA, în scopul analizei și utilizării lor eventuale, este limitat la datele care îndeplinesc criteriile de selecție asociate unor ținte individuale.

276.

Pe de o parte, programul Upstream ar putea, desigur, implica un acces generalizat la conținutul comunicațiilor electronice în vederea filtrării lor automatizate în ipoteza în care ar fi aplicate selectoare nu numai rubricilor „de la” și „către”, ci și întregului conținut al fluxului de comunicații (căutare „privind” selectorul) ( 150 ). Cu toate acestea, astfel cum susțin Comisia și contrar celor arătate de domnul Schrems și de EPIC, accesul temporar al autorităților de informații la întreg conținutul comunicațiilor electronice exclusiv în scopul filtrării lor prin aplicarea unor criterii de selecție nu poate fi asimilat unui acces generalizat la acest conținut ( 151 ). În opinia noastră, gravitatea ingerinței care decurge din acest acces limitat în timp în scopuri de filtrare automatizată nu atinge gravitatea ingerinței care rezultă dintr‑un acces generalizat al autorităților publice la conținutul respectiv în vederea analizării și eventualei sale utilizări ( 152 ). Accesul temporar în vederea filtrării nu permite acestor autorități să păstreze metadatele sau conținutul comunicațiilor care nu îndeplinesc criteriile de selecție și nici, în special, astfel cum a observat guvernul american, să stabilească profiluri cu privire la persoane care nu sunt vizate prin criteriile respective.

277.

În aceste condiții, problema dacă direcționarea prin intermediul selectoarelor în cadrul programelor întemeiate pe articolul 702 din FISA limitează în mod efectiv puterile autorităților de informații depinde de cadrul alegerii selectoarelor ( 153 ). Cu privire la acest subiect, Domnul Schrems susține că în lipsa unui control suficient în acest scop dreptul american nu prevede o garanție împotriva unui acces generalizat la conținutul comunicațiilor încă din stadiul filtrării, astfel încât aduce atingere esenței înseși a dreptului la respectarea vieții private a persoanelor vizate.

278.

Astfel cum vom arăta într‑un mod mai detaliat în continuare ( 154 ), tindem să împărtășim aceste îndoieli în ceea ce privește caracterul suficient al cadrului alegerii selectoarelor pentru a răspunde criteriilor previzibilității și proporționalității ingerințelor. Totuși, existența acestui cadru, chiar imperfect, se opune concluziei potrivit căreia articolul 702 din FISA permite un acces generalizat al autorităților publice la conținutul comunicațiilor electronice și, în consecință, echivalează cu o atingere adusă înseși esenței dreptului consacrat la articolul 7 din cartă.

279.

Subliniem de asemenea că, în Avizul 1/15, Curtea a considerat că substanța dreptului la protecția datelor cu caracter personal, garantat la articolul 8 din cartă, este protejată atunci când finalitățile prelucrării sunt stabilite concret, iar prelucrarea este însoțită de norme destinate să asigure, printre altele, securitatea, confidențialitatea și integritatea datelor, precum și să le protejeze împotriva accesului și a prelucrărilor nelegale ( 155 ).

280.

În Decizia privind Scutul de confidențialitate, Comisia a constatat că atât articolul 702 din FISA, cât și PPD 28 delimitează finalitățile pentru care datele pot fi colectate în cadrul programelor puse în aplicare în temeiul articolului 702 din FISA ( 156 ). Comisia a arătat de asemenea că PPD 28 prevede norme care delimitează accesul la date, precum și stocarea și difuzarea lor pentru a asigura securitatea acestora și a le proteja împotriva accesului neautorizat ( 157 ). Astfel cum vom arăta în continuarea expunerii noastre ( 158 ), avem îndoieli în special cu privire la aspectul dacă finalitățile prelucrărilor în cauză sunt definite cu destulă claritate și precizie încât să asigure un nivel de protecție în esență echivalent cu cel care prevalează în ordinea juridică a Uniunii. Totuși, eventualele deficiențe nu ar fi suficiente, în opinia noastră, pentru a permite constatarea potrivit căreia astfel de programe ar încălca, în cazul în care ar fi realizate în cadrul Uniunii, substanța dreptului la protecția datelor cu caracter personal.

281.

Pe de altă parte, caracterul adecvat al nivelului de protecție asigurat în cadrul activităților de supraveghere în temeiul EO 12333 trebuie evaluat, reamintim, în raport cu dispozițiile CEDO. În această privință, din Decizia privind Scutul de confidențialitate reiese că doar restricțiile privind punerea în aplicare a măsurilor întemeiate pe EO 12333 pentru colectarea datelor care privesc persoane care nu sunt cetățeni americani sunt cele prevăzute de PPD 28 ( 159 ). Directiva prezidențială respectivă prevede că utilizarea informațiilor externe trebuie să fie „cât mai adaptată posibil”. Aceasta menționează totuși, în mod expres, posibilitatea de a colecta date „în masă”, în afara teritoriului american, în vederea urmăririi anumitor obiective de securitate națională specifice ( 160 ). În opinia domnului Schrems, dispozițiile PPD 28, care nu creează de altfel drepturi pentru particulari, nu protejează persoanele vizate împotriva riscului unui acces generalizat la conținutul comunicațiilor electronice ale acestora.

282.

Ne vom limita să observăm cu privire la acest subiect că, în jurisprudența referitoare la articolul 8 din CEDO, Curtea Europeană a Drepturilor Omului nu a recurs la conceptul de atingere adusă substanței sau chiar esenței dreptului la respectarea vieții private ( 161 ). Aceasta din urmă nu a considerat până în prezent că sistemele care permit interceptarea comunicațiilor electronice, chiar și masivă, depășeau ca atare marja de apreciere a statelor membre. Curtea Europeană a Drepturilor Omului consideră că asemenea sisteme sunt compatibile cu articolul 8 paragraful 2 din CEDO, în măsura în care sunt însoțite de o serie de garanții minime ( 162 ). În aceste condiții, nu ne pare adecvat să concluzionăm că un sistem de supraveghere precum cel prevăzut de EO 12333 ar depăși marja de apreciere a statelor membre fără a efectua nicio examinare a eventualelor garanții care îl însoțesc.

283.

Potrivit articolului 52 alineatul (1) din cartă, orice restrângere a exercițiului drepturilor pe care le consacră trebuie să răspundă efectiv unui obiectiv de interes general recunoscut de Uniune. Articolul 8 alineatul (2) din cartă prevede de asemenea că orice prelucrare de date cu caracter personal care nu are la bază consimțământul persoanei interesate trebuie să se întemeieze pe un „motiv legitim prevăzut de lege”. În ceea ce privește articolul 8 paragraful 2 din CEDO, acesta enumeră scopurile de natură să justifice amestecul în exercitarea dreptului la respectarea vieții private.

284.

În temeiul Deciziei privind Scutul de confidențialitate, adeziunea la principiile pe care le enunță poate fi limitată pentru îndeplinirea obligațiilor referitoare la securitatea națională, la interesul public și la respectarea legislației ( 163 ). Considerentele (67)-(124) ale acestei decizii examinează mai precis limitările care decurg din accesul la date și din utilizarea lor de către autoritățile publice americane în scopuri de securitate națională.

285.

Este cert că protecția securității naționale constituie un obiectiv legitim susceptibil să justifice derogări de la cerințele întemeiate pe RGPD ( 164 ), de la drepturile fundamentale consacrate la articolele 7 și 8 din cartă ( 165 ), precum și de la articolul 8 paragraful 2 din CEDO. Cu toate acestea, domnul Schrems, guvernul austriac și EPIC au observat că obiectivele urmărite în cadrul programelor de supraveghere întemeiate pe articolul 702 din FISA și pe EO 12333 depășesc doar securitatea națională. Astfel, aceste instrumente au ca obiect obținerea de „informații operative străine”, noțiunea respectivă acoperind diverse tipuri de informații care le includ pe cele referitoare la securitatea națională, fără a fi limitate neapărat la aceasta ( 166 ). Intră astfel în domeniul de aplicare al noțiunii de „informații externe”, în sensul articolului 702 din FISA, datele privind desfășurarea afacerilor externe ( 167 ). În ceea ce privește EO 12333, acesta definește noțiunea respectivă ca incluzând informațiile referitoare la capacitățile, intențiile sau activitățile guvernelor străine, ale organizațiilor străine sau ale persoanelor străine ( 168 ). Domnul Schrems pune în discuție caracterul legitim al obiectivului urmărit astfel întrucât ar depăși securitatea națională.

286.

În opinia noastră, perimetrul securității naționale poate include, într‑o anumită măsură, protecția unor interese referitoare la desfășurarea afacerilor externe ( 169 ). Pe de altă parte, se poate preconiza că unele dintre finalități, altele decât protecția securității naționale acoperite de noțiunea „informații externe”, astfel cum a fost definită la articolul 702 din FISA și de EO 12333, corespund unor obiective importante de interes general care pot justifica o ingerință în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal. Aceste obiective ar avea, în orice caz, o pondere mai mică decât protecția securității naționale în cadrul unei puneri în balanță între drepturile fundamentale ale persoanelor vizate și scopul urmărit prin ingerință ( 170 ).

287.

Cu toate acestea, în conformitate cu articolul 52 alineatul (1) din cartă, este necesar și ca securitatea națională sau un alt obiectiv legitim să fie efectiv urmărit de măsurile care prevăd ingerințele în cauză ( 171 ). În plus, finalitățile ingerințelor trebuie să fie definite astfel încât să îndeplinească cerințele de claritate și de precizie ( 172 ).

288.

Or, potrivit domnului Schrems, finalitatea măsurilor de supraveghere prevăzute la articolul 702 din FISA și de EO 12333 nu este enunțată cu o precizie suficientă pentru a respecta garanțiile de previzibilitate și de proporționalitate. Aceasta ar fi situația în special în măsura în care instrumentele respective definesc noțiunea de „informații externe” într‑un mod deosebit de larg. În plus, Comisia a constatat în considerentul (109) al Deciziei privind Scutul de confidențialitate că articolul 702 din FISA impune ca colectarea de informații operative străine să constituie „un scop important” al colectării, dat fiind că această formulare nu exclude, la prima vedere și astfel cum a arătat EPIC, urmărirea altor obiective nedeterminate.

289.

Pentru aceste motive, fără a fi exclus ca măsurile de supraveghere în temeiul articolului 702 din FISA sau al EO 12333 să răspundă unor obiective legitime, este permis să se ridice problema dacă acestea sunt definite într‑un mod suficient de clar și de precis pentru a preveni riscurile de abuz și pentru a permite un control al proporționalității ingerințelor care decurg de aici ( 173 ).

290.

Curtea a subliniat în mod repetat că drepturile consacrate la articolele 7 și 8 din cartă nu constituie prerogative absolute, ci trebuie luate în considerare în raport cu funcția pe care o îndeplinesc în societate și trebuie echilibrate cu alte drepturi fundamentale, în conformitate cu principiul proporționalității ( 174 ). Astfel cum a subliniat Facebook Ireland, printre aceste alte drepturi figurează dreptul la siguranță garantat la articolul 6 din cartă.

291.

În această privință, tot potrivit unei jurisprudențe constante, orice ingerință în exercitarea drepturilor garantate la articolele 7 și 8 din cartă trebuie să facă obiectul unui control strict de proporționalitate ( 175 ).

292.

În special, din Hotărârea Schrems reiese că „nu este limitată la strictul necesar o reglementare care autorizează în mod generalizat stocarea integralității datelor […], fără a se face vreo diferențiere, limitare sau excepție în funcție de obiectivul urmărit și fără a se prevedea un criteriu obiectiv care să permită delimitarea accesului autorităților publice la date și utilizarea lor ulterioară în scopuri precise, strict restrânse și susceptibile să justifice ingerința pe care o implică atât accesarea, cât și utilizarea acestor date” ( 176 ).

293.

Curtea a statuat de asemenea că, cu excepția unor situații de urgență justificate corespunzător, accesul trebuie să fie condiționat de un control prealabil efectuat fie de o instanță, fie de o entitate administrativă independentă a cărei decizie urmărește să limiteze accesul la date și utilizarea acestora la ceea ce este strict necesar pentru realizarea obiectivului urmărit ( 177 ).

294.

Articolul 23 alineatul (2) din RGPD stabilește în prezent o serie de garanții pe care un stat membru trebuie să le prevadă atunci când derogă de la dispozițiile acestui regulament. Reglementarea care permite o asemenea derogare trebuie să cuprindă dispoziții referitoare, printre altele, la scopul prelucrării, la întinderea derogării, la garanțiile destinate prevenirii abuzurilor, la duratele de păstrare, precum și la dreptul persoanelor vizate de a fi informate cu privire la derogare, cu excepția cazului în care riscă să afecteze finalitatea derogării respective.

295.

În speță, domnul Schrems susține că articolul 702 din FISA nu este însoțit de garanții suficiente împotriva riscurilor de abuz și de acces ilicit la date. În special, alegerea criteriilor de selecție nu ar fi suficient de limitată, astfel că această dispoziție nu ar oferi asigurări împotriva unui acces generalizat la conținutul comunicărilor.

296.

Guvernul Statelor Unite și Comisia arată, dimpotrivă, că articolul 702 din FISA limitează prin criterii obiective alegerea selectoarelor întrucât această dispoziție permite numai colectarea datelor cu privire la comunicațiile electronice ale unor persoane care nu au cetățenie americană situate în afara Statelor Unite, în vederea obținerii de informații operative străine.

297.

În opinia noastră, este permis să avem îndoieli cu privire la caracterul suficient de clar și de precis al acestor criterii, precum și cu privire la existența unor garanții suficiente pentru a preveni riscurile de abuz.

298.

Mai întâi, considerentul (109) al Deciziei privind Scutul de confidențialitate precizează că selectoarele nu sunt aprobate individual de FISC, nici de un alt organ judiciar sau administrativ independent în prealabil aplicării acestora. Comisia a constatat în considerentul amintit că „FISC nu autorizează măsuri individuale de supraveghere; dimpotrivă, aceasta autorizează programe de supraveghere, […] pe baza unor certificări anuale”, ceea ce guvernul Statelor Unite a confirmat în fața Curții. Acest considerent precizează că „certificările care trebuie să fie aprobate de către FISC nu conțin informații despre persoanele fizice care urmează să fie vizate, ci, mai degrabă, prezintă categoriile de informații operative străine” care pot fi colectate. În același considerent, Comisia a constatat și că „FISC nu evaluează – în temeiul unei suspiciuni rezonabile sau al oricărui alt criteriu – dacă persoanele sunt vizate în mod corespunzător pentru a dobândi informații operative străine”, deși controlează condiția potrivit căreia „un scop important al achiziției de date este de a obține informații operative străine”.

299.

În continuare, potrivit considerentului respectiv, articolul 702 din FISA permite NSA să colecteze comunicații „doar în cazul în care se poate considera în mod rezonabil că un anumit mijloc de comunicare este utilizat pentru a comunica informații operative străine”. Considerentul (70) al Deciziei privind Scutul de confidențialitate adaugă că stabilirea selectoarelor are loc în baza „Cadrului național de priorități ale serviciilor de informații” (National Intelligence Priorities Framework, NIPF). Această decizie nu menționează cerințe de motivare sau de justificare mai precise cu privire la alegerea selectoarelor în raport cu aceste priorități administrative care s‑ar impune NSA ( 178 ).

300.

În sfârșit, considerentul (71) al Deciziei privind Scutul de confidențialitate face referire la cerința prevăzută în PPD 28, potrivit căreia colectarea de informații externe trebuie să fie „cât mai adaptată posibil”. Pe lângă faptul că această directivă prezidențială nu creează drepturi pentru particulari, echivalența substanțială dintre criteriul unei activități „cât mai adaptată posibil” și cel al „strictei necesități” pe care articolul 52 alineatul (1) din cartă îl impune în vederea justificării unei ingerințe în exercitarea drepturilor garantate la articolele 7 și 8 ne pare departe de a fi evidentă ( 179 ).

301.

Având în vedere aceste considerații, nu este cert că, pe baza elementelor prezentate în Decizia privind Scutul de confidențialitate, măsurile de supraveghere întemeiate pe articolul 702 din FISA sunt însoțite de garanții, referitoare la limitarea persoanelor susceptibile să facă obiectul unei măsuri de supraveghere și a obiectivelor pentru care pot fi colectate date, în esență echivalente cu cele care sunt impuse în temeiul RGPD, interpretat în lumina articolelor 7 și 8 din cartă ( 180 ).

302.

Pe de altă parte, în ceea ce privește evaluarea caracterului adecvat al nivelului de protecție care însoțește supravegherea în temeiul EO 12333, Curtea Europeană a Drepturilor Omului recunoaște statelor membre o amplă marjă de apreciere în vederea alegerii motivelor pentru protejarea securității lor naționale, această marjă fiind însă limitată de cerința prevederii unor garanții adecvate și suficiente împotriva abuzurilor ( 181 ). În jurisprudența sa referitoare la măsurile de supraveghere secretă, Curtea Europeană a Drepturilor Omului verifică dacă dreptul intern pe care se întemeiază aceste măsuri conține garanții și bariere suficiente și efective de natură să îndeplinească cerințele de „previzibilitate” și de necesitate „într‑o societate democratică” ( 182 ).

303.

În această privință, Curtea Europeană a Drepturilor Omului enunță o serie de garanții minime. Aceste garanții privesc indicarea clară a naturii infracțiunilor susceptibile să conducă la un mandat de interceptare, definirea categoriilor de persoane cărora le pot fi interceptate comunicările, stabilirea unei limite a duratei executării măsurii, procedura care trebuie urmată pentru examinarea, utilizarea și păstrarea datelor colectate, măsurile de precauție care trebuie luate pentru comunicarea datelor către alte părți și împrejurările în care poate sau trebuie să aibă loc ștergerea sau distrugerea înregistrărilor ( 183 ).

304.

Caracterul adecvat și efectiv al garanțiilor care delimitează ingerința depinde de toate împrejurările cauzei, inclusiv de natura, de întinderea și de durata măsurilor, de motivele necesare pentru a le dispune, de autoritățile competente pentru a le permite, pentru a le executa și pentru a le controla, precum și de tipul căii de atac furnizate de dreptul intern ( 184 ).

305.

În special, pentru a evalua justificarea unei măsuri de supraveghere secretă, Curtea Europeană a Drepturilor Omului ține seama de toate controalele exercitate „atunci când este dispusă”, „în timp ce este luată” și „după ce a încetat” ( 185 ). În ceea ce privește primul dintre cele trei stadii, Curtea Europeană a Drepturilor Omului impune ca o asemenea măsură să fie permisă de un organ independent. Deși puterea judecătorească reprezintă, în opinia sa, cele mai bune garanții de independență, de imparțialitate și de legalitate a procedurii, organul în cauză nu trebuie în mod necesar să aparțină ordinii judiciare ( 186 ). Un control jurisdicțional detaliat într‑un stadiu ulterior poate contrabalansa eventualele deficiențe ale procedurii de autorizare ( 187 ).

306.

În speță, din Decizia privind Scutul de confidențialitate reiese că singurele garanții care limitează colectarea și utilizarea datelor în afara teritoriului Statelor Unite figurează în PPD 28, dat fiind că articolul 702 din FISA nu se aplică în afara acestui teritoriu. Nu suntem convinși că garanțiile respective pot fi suficiente pentru a îndeplini condițiile de „previzibilitate” și de „necesitate într‑o societate democratică”.

307.

Mai întâi, am arătat deja că această directivă prezidențială nu creează drepturi pentru indivizi. În continuare, avem îndoieli că cerința asigurării unei supravegheri „cât mai adaptat[e] posibil” este formulată în termeni suficient de clari și de preciși pentru a proteja în mod adecvat persoanele vizate împotriva riscurilor de abuz ( 188 ). În sfârșit, Decizia privind Scutul de confidențialitate nu stabilește că supravegherea întemeiată pe EO 12333 ar fi supusă unui control prealabil efectuat de un organism independent sau ar putea face obiectul unui control jurisdicțional a posteriori ( 189 ).

308.

În aceste condiții, ridicăm problema temeiniciei constatării potrivit căreia Statele Unite asigură, în cadrul activităților serviciilor lor de informații în temeiul articolului 702 din FISA și al EO 12333, un nivel de protecție adecvat în sensul articolului 45 alineatul (1) din RGPD, interpretat în lumina articolelor 7 și 8 din cartă, precum și a articolului 8 din CEDO.

309.

Prin intermediul celei de a cincea întrebări preliminare, se solicită Curții să stabilească dacă persoanele ale căror date sunt transferate către Statele Unite beneficiază în această țară de o protecție jurisdicțională în esență echivalentă cu cea care trebuie asigurată în Uniune în temeiul articolului 47 din cartă. Prin intermediul celei de a zecea întrebări, instanța de trimitere îi solicită în esență să stabilească dacă a cincea întrebare necesită un răspuns afirmativ, ținând seama de introducerea prin Decizia privind Scutul de confidențialitate a mecanismului de tip Ombudsman.

310.

Constatăm de la bun început că, în considerentul (115) al acestei decizii, Comisia recunoaște că sistemul juridic american conține lacune în ceea ce privește protecția juridică a persoanelor.

311.

Potrivit acestui considerent, în primul rând, „cel puțin anumite temeiuri juridice care pot fi utilizate de autoritățile americane de informații (de exemplu, O. E. 12333) nu sunt acoperite” de căile de atac disponibile. Astfel, EO 12333 și PPD 28 nu conferă drepturi persoanelor vizate și nu pot fi invocate de acestea în fața instanțelor. Or, o protecție juridică efectivă presupune cel puțin ca particularii să dispună de drepturi care pot fi invocate în justiție.

312.

În al doilea rând, „inclusiv în cazul în care există, în principiu, căi de atac pentru persoanele care nu sunt cetățeni ai SUA, de exemplu pentru supravegherea în temeiul FISA, direcțiile de acțiune disponibile sunt limitate, iar cererile prezentate vor fi declarate inadmisibile atunci când acestea nu pot arăta că au «calitate procesuală», ceea ce limitează accesul la instanțele ordinare”.

313.

Din considerentele (116)-(124) ale Deciziei privind Scutul de confidențialitate reiese că instituția Ombudsmanului urmărește să compenseze aceste limitări. Comisia concluzionează, în considerentul (139) al deciziei menționate, că „luate în ansamblu, supravegherea și mecanismele de recurs prevăzute de Scutul de confidențialitate […] oferă căi de atac persoanei vizate pentru a avea acces la datele cu caracter personal care o privesc și, în cele din urmă, pentru a obține rectificarea sau ștergerea datelor respective” (sublinierea noastră).

314.

Amintind totodată principiile generale care rezultă din jurisprudența Curții noastre și a Curții Europene a Drepturilor Omului privind dreptul la o cale de atac împotriva măsurilor de supraveghere a comunicațiilor, vom examina dacă acțiunile în justiție prevăzute de dreptul american, astfel cum sunt descrise în Decizia privind Scutul de confidențialitate, permit să se asigure o protecție juridică adecvată a persoanelor vizate [secțiunea 1)]. Vom stabili ulterior dacă introducerea mecanismului extrajudiciar al Ombudsmanului permite, după caz, acoperirea eventualelor lacune care caracterizează protecția juridică a acestor persoane [secțiunea 2)].

315.

În primul rând, articolul 47 primul paragraf din cartă consacră dreptul oricărei persoane ale cărei drepturi și libertăți garantate de dreptul Uniunii sunt încălcate la o cale de atac eficientă în fața unei instanțe judecătorești ( 190 ). Potrivit celui de al doilea paragraf al acestui articol, orice persoană are dreptul la un proces în fața unei instanțe judecătorești independente și imparțiale ( 191 ). Accesul la o instanță judecătorească independentă ține de substanța dreptului garantat la articolul 47 din cartă ( 192 ).

316.

Acest drept la protecție jurisdicțională individuală se adaugă obligației care revine statelor membre în temeiul articolelor 7 și 8 din cartă de a supune orice măsură de supraveghere, cu excepția cazurilor de urgență justificate corespunzător, unui control prealabil efectuat de o instanță sau de o autoritate administrativă independentă ( 193 ).

317.

Desigur, astfel cum au arătat guvernele german și francez, dreptul la o cale de atac efectivă nu constituie o garanție absolută ( 194 ), acest drept putând fi limitat pentru motive de securitate națională. Derogările sunt însă permise numai în măsura în care nu aduc atingere substanței sale și sunt strict necesare pentru realizarea unui obiectiv legitim.

318.

În această privință, Curtea a statuat în Hotărârea Schrems că o reglementare care nu prevede nicio posibilitate a justițiabilului de a exercita căi legale pentru a avea acces la date cu caracter personal care îl privesc sau pentru a obține rectificarea sau ștergerea unor astfel de date nu respectă substanța dreptului fundamental consacrat la articolul 47 din cartă ( 195 ).

319.

Subliniem că acest drept de acces implică posibilitatea ca o persoană să obțină din partea autorităților publice, sub rezerva derogărilor strict necesare pentru urmărirea unui interes legitim, confirmarea faptului că acestea prelucrează sau nu date cu caracter personal care o privesc ( 196 ). Aceasta este, în opinia noastră, întinderea practică a dreptului de acces atunci când persoana interesată nu știe dacă autoritățile publice au păstrat date personale care o privesc, în special ca urmare a unui proces de filtrare automatizată a fluxurilor de comunicații electronice.

320.

Pe de altă parte, din jurisprudență reiese că autoritățile unui stat membru sunt în principiu obligate să notifice accesul la date din momentul în care notificarea nu mai poate compromite anchetele desfășurate ( 197 ). O asemenea notificare constituie astfel o condiție prealabilă pentru exercitarea dreptului la o cale de atac în temeiul articolului 47 din cartă ( 198 ). Această obligație este în prezent preluată la articolul 23 alineatul (2) litera (h) din RGPD.

321.

Considerentele (111)-(135) ale Deciziei privind Scutul de confidențialitate prezintă în mod succint totalitatea căilor de atac disponibile pentru persoanele ale căror date sunt transferate atunci când ele se tem de faptul că aceste date au fost prelucrate de serviciile de informații americane după transfer. Căile de atac respective au fost de asemenea descrise în Hotărârea High Court (Înalta Curte) din 3 octombrie 2017, precum și în special în observațiile guvernului Statelor Unite.

322.

Nu este necesar să se amintească în detaliu conținutul acestor expuneri. Astfel, instanța de trimitere pune în discuție caracterul adecvat al garanțiilor referitoare la protecția juridică a persoanelor vizate, în esență pentru motivul că cerințele deosebit de stricte în materia calității procesuale active (standing) ( 199 ) coroborate cu lipsa oricărei obligații de a notifica persoanele care au făcut obiectul unei măsuri de supraveghere chiar și atunci când notificarea nu ar mai pune în pericol obiectivele acesteia, ar face în practică exagerat de dificilă exercitarea căilor de atac prevăzute în dreptul Statelor Unite. Aceste îndoieli sunt împărtășite de DPC, de domnul Schrems, de guvernele austriac, polonez și portughez, precum și de EDPB ( 200 ).

323.

Cu privire la acest subiect, ne vom limita să amintim că normele în materie de calitate procesuală activă nu pot aduce atingere protecției jurisdicționale efective ( 201 ), precum și să constatăm că Decizia privind Scutul de confidențialitate nu menționează nicio cerință de informare a persoanelor vizate cu privire la faptul că ele au făcut obiectul unei măsuri de supraveghere ( 202 ). Întrucât aceasta ar putea împiedica exercitarea căilor de atac jurisdicționale, lipsa unei obligații de notificare a unei asemenea măsuri, inclusiv atunci când informarea persoanei vizate nu ar mai afecta eficacitatea sa, este problematică în raport cu jurisprudența menționată la punctul 320 din prezentele concluzii.

324.

În plus, nota de subsol 169 din Decizia privind Scutul de confidențialitate recunoaște că acțiunile disponibile „fie necesită existența unui prejudiciu […], fie o dovadă că guvernul intenționează să utilizeze sau să divulge informații obținute sau derivate din supravegherea electronică a persoanei în cauză”. Astfel cum au subliniat instanța de trimitere, DPC și domnul Schrems, această cerință contrastează cu jurisprudența Curții potrivit căreia, pentru a stabili existența unei ingerințe în dreptul la respectarea vieții private a persoanei vizate, nu este necesar ca aceasta să fi suferit eventuale inconveniente ca urmare a ingerinței invocate ( 203 ).

325.

Pe de altă parte, punctul de vedere exprimat de Facebook Ireland și de guvernul Statelor Unite, potrivit căruia vulnerabilitățile care caracterizează protecția juridică a persoanelor ale căror date sunt transferate către Statele Unite ar fi compensate de controalele prealabil și a posteriori exercitate de FISC, precum și de multiplele mecanisme de supraveghere instituite în cadrul puterilor executivă și legislativă ( 204 ), nu ne convinge.

326.

Am subliniat deja că, pe de o parte, conform constatărilor care figurează în Decizia privind Scutul de confidențialitate, FISC nu controlează măsurile individuale de supraveghere înaintea punerii lor în aplicare ( 205 ). Astfel cum se indică în considerentul (109) al acestei decizii și după cum a confirmat guvernul Statelor Unite în răspunsul său scris la întrebările adresate de Curte, controlul ex post al aplicării selectoarelor are, pe de o parte, ca obiect verificarea, atunci când un incident referitor la posibila nerespectare a procedurilor de direcționare și de reducere la minimum este adus în atenția FISC de către o agenție de informații ( 206 ), a respectării condițiilor care reglementează alegerea selectoarelor prevăzute în certificarea anuală. În consecință, procedura în fața FISC nu pare să ofere o cale de atac individuală efectivă persoanelor ale căror date sunt transferate către Statele Unite.

327.

Mecanismele de control extrajudiciare menționate în considerentele (95)-(110) ale Deciziei privind Scutul de confidențialitate, în cazul în care ar putea consolida, după caz, eventuale acțiuni în justiție, nu pot fi suficiente, în opinia noastră, pentru a asigura un nivel de protecție adecvat în raport cu posibilitatea de recurs a persoanelor vizate. În special, inspectorii generali care fac parte din structura internă a fiecărei agenții nu constituie, în opinia noastră, mecanisme de control independente. Supravegherea exercitată de PCLOB și de comisiile pentru informații ale Congresului nu echivalează, la rândul ei, cu un mecanism de măsuri reparatorii individuale împotriva măsurilor de supraveghere.

328.

Prin urmare, va trebui să se examineze dacă instituția Ombudsmanului atenuează aceste deficiențe furnizând persoanelor vizate o cale de atac efectivă în fața unui organism independent și imparțial ( 207 ).

329.

În al doilea rând, pentru a evalua temeinicia constatării caracterului adecvat efectuate în Decizia privind Scutul de confidențialitate în raport cu căile de atac puse la dispoziția persoanelor care consideră că au făcut obiectul unei supravegheri întemeiate pe EO 12333, amintim că cadrul de referință relevant constă în dispozițiile CEDO.

330.

Astfel cum s‑a arătat anterior ( 208 ), Curtea Europeană a Drepturilor Omului efectuează, în vederea evaluării faptului dacă o măsură de supraveghere îndeplinește condițiile de „previzibilitate” și de „necesitate într‑o societate democratică”, în sensul articolului 8 paragraful 2 din CEDO ( 209 ), o examinare de ansamblu a mecanismelor de control și de supraveghere puse în aplicare „înainte, în timpul și după” executarea sa. Atunci când exercitarea unei măsuri reparatorii individuale este împiedicată ca urmare a faptului că notificarea măsurii de supraveghere nu este posibilă fără a pune în pericol eficacitatea acesteia ( 210 ), deficiența menționată poate fi compensată prin punerea în aplicare a unui control independent anterior aplicării măsurii în cauză ( 211 ). Astfel, Curtea Europeană a Drepturilor Omului, în cazul în care consideră o asemenea notificare „de dorit”, atunci când poate avea loc fără a modifica eficacitatea măsurii de supraveghere, nu a erijat‑o în cerință ( 212 ).

331.

În această privință, Decizia privind Scutul de confidențialitate nu menționează că măsurile de supraveghere întemeiate pe EO 12333 ar fi notificate persoanelor vizate sau însoțite de mecanisme de control jurisdicțional sau administrativ independente într‑un anumit stadiu al adoptării lor sau al punerii lor în aplicare.

332.

În aceste condiții, este necesar să se examineze dacă recurgerea la Ombudsman permite totuși asigurarea unui control independent al măsurilor de supraveghere, inclusiv atunci când acestea se întemeiază pe EO 12333.

333.

Potrivit considerentului (116) al Deciziei privind Scutul de confidențialitate, mecanismul de tip Ombudsman prezentat în anexa III A la această decizie urmărește să ofere o cale de atac suplimentară accesibilă pentru toate persoanele ale căror date sunt transferate din Uniune în Statele Unite.

334.

Astfel cum a subliniat guvernul Statelor Unite, admisibilitatea unei plângeri adresate Ombudsmanului nu este subordonată respectării normelor în materie de calitate procesuală activă asemănătoare celor care reglementează accesul la instanțele americane. Considerentul (119) al deciziei menționate precizează în această privință că recurgerea la Ombudsman nu presupune ca persoana interesată să demonstreze că guvernul Statelor Unite a consultat datele personale care o privesc.

335.

La fel ca DPC, domnul Schrems, guvernele polonez și portughez, precum și EPIC, avem îndoieli cu privire la capacitatea acestui mecanism de a compensa insuficiențele protecției judiciare oferite persoanelor ale căror date sunt transferate din Uniune către Statele Unite.

336.

Mai întâi, deși un mecanism extrajudiciar al căilor de atac poate constitui o cale de atac eficientă în sensul articolului 47 TFUE, acest lucru este valabil numai în măsura în care în special organul în discuție are un temei legal și îndeplinește condiția de independență ( 213 ).

337.

Or, din Decizia privind Scutul de confidențialitate reiese că mecanismul Ombudsmanului are la origine PPD 28 ( 214 ), iar nu legea. Ombudsmanul este desemnat de Secretarul de Stat și face parte integrantă din Departamentul de Stat al Statelor Unite ( 215 ). Această decizie nu conține nicio mențiune potrivit căreia revocarea Ombudsmanului sau anularea numirii sale ar fi însoțite de garanții specifice ( 216 ). Deși Ombudsmanul este prezentat ca fiind independent de „serviciile de informații”, acesta răspunde în fața Secretarului de Stat și, prin urmare, nu este independent de puterea executivă ( 217 ).

338.

În continuare, efectivitatea unei căi de atac extrajudiciare depinde, în opinia noastră, și de capacitatea organului în cauză de a adopta decizii obligatorii și motivate. Cu privire la acest subiect, Decizia privind Scutul de confidențialitate nu conține nicio indicație potrivit căreia Ombudsmanul ar adopta asemenea decizii. Aceasta nu demonstrează că instituția Ombudsmanului ar permite reclamanților să aibă acces la datele care îi privesc și să le rectifice sau să le șteargă și nici că Ombudsmanul ar acorda o despăgubire persoanelor lezate printr‑o măsură de supraveghere. În special, astfel cum reiese din anexa III A punctul 4 litera e) din această decizie, „Ombudsmanul […] nu va confirma, nici nu va infirma că persoana a fost vizată de acțiuni de supraveghere, nici nu va confirma calea de atac care a fost aplicată” ( 218 ). Deși guvernul american s‑a angajat ca respectiva componentă a serviciilor de informații să fie obligată să remedieze orice încălcare a normelor aplicabile detectată de Ombudsman ( 219 ), decizia respectivă nu menționează garanțiile legale care ar însoți acest angajament și de care s‑ar putea prevala persoanele vizate.

339.

În consecință, instituția Ombudsmanului nu furnizează, în opinia noastră, o cale de atac în fața unui organ independent care să ofere persoanelor ale căror date sunt transferate o posibilitate de a‑și valorifica dreptul de acces la date sau de a contesta eventuale încălcări ale normelor aplicabile din partea serviciilor de informații.

340.

În sfârșit, în conformitate cu jurisprudența, respectarea dreptului garantat la articolul 47 din cartă ar presupune în acest caz ca decizia autorității administrative în cauză, care nu îndeplinește ea însăși condiția de independență, să fie supusă controlului ulterior al unui organ jurisdicțional competent să examineze toate problemele pertinente ( 220 ). În consecință, conform indicațiilor furnizate în Decizia privind Scutul de confidențialitate, deciziile Ombudsmanului nu fac obiectul unui control jurisdicțional independent.

341.

În aceste condiții, astfel cum au arătat DPC, domnul Schrems, EPIC, precum și guvernele polonez și portughez, echivalența substanțială dintre protecția jurisdicțională oferită de ordinea juridică a Statelor Unite persoanelor ale căror date sunt transferate din Uniune în acest stat terț și cea care decurge din RGPD, interpretat în lumina articolului 47 din cartă și a articolului 8 din CEDO, ne pare că este discutabilă.

342.

Având în vedere toate considerațiile care precedă, avem unele îndoieli în legătură cu conformitatea Deciziei privind Scutul de confidențialitate cu articolul 45 alineatul (1) din RGPD, interpretat în lumina articolelor 7, 8 și 47 din cartă, precum și a articolului 8 din CEDO.

343.

Propunem Curții să răspundă la întrebările preliminare adresate de High Court (Înalta Curte, Irlanda) după cum urmează:

„Analiza întrebărilor preliminare nu a evidențiat niciun element de natură să afecteze validitatea Deciziei 2010/87/UE a Comisiei din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Decizia de punere în aplicare (UE) 2016/2297 a Comisiei din 16 decembrie 2016.”