L’avocat général de la CJCE (Attorney General, AG ; Henrik Saugmandsgaard Øe) considère que les limites fixées par la Commission européenne pour le transfert de données vers des pays tiers sont trop restrictives. Clauses contractuelles types comme efficace. Sa recommandation est ici en anglais peut être consulté.
Schrems avait fait valoir les arguments suivants devant la juridiction de renvoi, la High Court irlandaise :
Dans sa plainte réformée, M. Schrems affirme, premièrement, que les clauses de cet accord [base du transfert de données au sein du groupe Facebook vers les États-Unis] ne sont pas conformes aux clauses contractuelles types énoncées dans la décision 2010/87 et, deuxièmement, que ces les clauses contractuelles standard ne pourraient en aucun cas justifier le transfert des données à caractère personnel le concernant aux États-Unis. M. Schrems affirme qu’il n’existe aucun recours qui permettrait aux personnes concernées d’invoquer, aux États-Unis, leurs droits au respect de la vie privée et à la protection des données à caractère personnel.
En ce qui concerne l’efficacité ou la validité des clauses contractuelles types, l’AG affirme tout d’abord que les clauses contractuelles types sont considérées comme un accord inter partes le ne pas lier les autorités de l’État destinataire et dont le droit peut prévoir des obligations contraires aux exigences des clauses contractuelles types :
125. à cet égard, comme, en substance, le DPC, M. Schrems, la BSA, l’Irlande, les gouvernements autrichien, français, polonais et portugais et la Commission l’ont soumis, les garanties dans les clauses contractuelles standard peuvent être réduites, voire éliminées, lorsque la loi du pays tiers de destination impose des obligations qui sont contraires aux exigences de ces clauses sur l’importateur. Ainsi, le contexte juridique prévalant dans le pays tiers de destination peut, en fonction des circonstances réelles du transfert (48), rendre impossible la mise en œuvre des obligations énoncées dans ces clauses.
Mais cela n’entraîne pas la nullité des clauses contractuelles types. En effet, celles-ci exigent de l’exportateur de données Arrêter la transmissionSi le bénéficiaire ne respecte pas ses obligations ou n’est pas en mesure de les respecter :
132) Dans mon esprit, et comme M. Schrems et la Commission l’ont soutenu, la clause 5(a) ne peut pas être interprétée comme signifiant que la suspension du transfert ou la résiliation du contrat n’est qu’optionnelle lorsque l’importateur ne peut pas se conformer aux clauses standard. Bien que cette clause ne fasse référence qu’à un droit dans ce sens au profit de l’exportateur, cette formulation doit être comprise par référence au cadre contractuel dont elle fait partie. Le fait que l’exportateur ait le droit, dans ses relations bilatérales avec l’importateur, de suspendre le transfert ou de résilier le contrat lorsque l’importateur n’est pas en mesure d’honorer les clauses standard est sans préjudice de l’obligation faite à l’exportateur de le faire à la lumière des exigences de protection des droits des personnes concernées en vertu du GDPR. Toute autre interprétation rendrait la décision 2010/87 invalide dans la mesure où les clauses contractuelles standard qu’elle énonce ne permettraient pas d’accompagner le transfert de ‘garanties appropriées’ comme l’exige l’article 46(1) du GDPR, lu à la lumière des dispositions de la Charte. (50)
133. en outre, conformément à la clause 5(b), l’importer est de certifier qu’il n’a aucune raison de croire que la législation qui lui est applicable l’empêche de remplir les instructions reçues de l’exportateur et ses obligations en vertu du contrat. En cas de modification de cette législation susceptible d’avoir un effet négatif substantiel sur les garanties et obligations prévues par les clauses standard, le l’importateur notifiera rapidement ce changement à l’exportateurDans ce cas, l’exportateur a le droit de suspendre le transfert de données et/ou de résilier le contrat. Conformément à la clause 4(g), l’exportateur doit transmettre la notification reçue de l’importateur à l’autorité de contrôle compétente s’il décide de poursuivre le transfert.
En outre, les les autorités de contrôle ont l’obligation – et pas seulement le droit – d’ordonner la cessation ou la suspension du transfertL’exportateur est tenu d’informer la Commission de tout manquement à cette obligation :
146. ainsi, une autorité de contrôle doit examine avec toute la diligence requise la plainte déposée par une personne dont les données sont censées être transférées vers un pays tiers en violation des clauses contractuelles types applicables au transfert. (56) L’article 58, paragraphe 1, du GDPR confère aux autorités de contrôle, à cette fin, des pouvoirs d’enquête importants.
147. l’autorité de surveillance compétente est aussi doit réagir de manière appropriée à toute violation des droits de propriété intellectuelle du sujet des données qu’elle a établie à la suite de son enquête. cet égard, chaque autorité de contrôle dispose, en vertu de l’article 58, paragraphe 2, du GDPR, d’un large éventail de moyens – les différents pouvoirs d’adopter des mesures correctives énumérés dans cette disposition – pour s’acquitter de la tâche qui lui est confiée. […] Bien que le choix du moyen le plus efficace soit laissé à la discrétion de l’autorité de contrôle compétente compte tenu de toutes les circonstances du transfert en question, cette autorité est tenue d’exécuter intégralement la mission de contrôle qui lui est confiée. Le cas échéant, il doit suspendre le transfert s’il conclut que les clauses contractuelles standard ne sont pas respectées et que la protection adéquate des données transférées ne peut être assurée par d’autres moyens, lorsque l’exportateur n’a pas lui-même mis un terme au transfert.
La CJCE n’est toutefois pas liée par l’avis de l’AG.