Les faits : un fournisseur d’accès qui propose des abonnements avec des forfaits selon les volumes de données

9        Telenor, qui est établie en Hongrie, est un acteur majeur du secteur des technologies de l’information et de la communication. Elle fournit notamment des services d’accès à Internet. Parmi les services proposés à ses clients potentiels figurent deux offres groupées dénommées respectivement « MyChat » et « MyMusic ».

10      « MyChat » est une offre groupée permettant aux clients qui y souscrivent, en premier lieu, d’acheter un volume de données d’un gigabit et de l’utiliser sans restrictions jusqu’à son épuisement, en accédant librement aux applications et aux services disponibles, sans que soit décomptée de ce volume de données l’utilisation de six applications spécifiques de communication en ligne, à savoir Facebook, Facebook Messenger, Instagram, Twitter, Viber et Whatsapp, qui relèvent d’un tarif dénommé « tarif nul ». En second lieu, cette offre groupée prévoit que, une fois épuisé ledit volume de données, les clients qui y souscrivent peuvent continuer à utiliser sans restrictions ces six applications spécifiques, tandis que des mesures de ralentissement du trafic sont appliquées aux autres applications et services disponibles.

11      « MyMusic » est une offre groupée déclinée en trois forfaits différents, dénommés respectivement « MyMusic Start », « MyMusic Nonstop » et « MyMusic Deezer », qui sont accessibles aux clients disposant d’un forfait préexistant de services d’accès à Internet et qui permettent à ceux qui y souscrivent, en premier lieu, d’écouter de la musique en ligne en utilisant, notamment, quatre applications de transmission de musique, à savoir Apple Music, Deezer, Spotify et Tidal, ainsi que six services de radiophonie, sans que l’utilisation de ces applications et de ces services, qui relèvent d’un « tarif nul », soit décomptée du volume de données compris dans le forfait acheté. En second lieu, cette offre groupée prévoit que, une fois épuisé ce volume de données, les clients qui y souscrivent peuvent continuer à utiliser sans restrictions ces applications et ces services spécifiques, tandis que des mesures de blocage ou de ralentissement du trafic sont appliquées aux autres applications et services disponibles.

L’autorité hongroise sanctionne ces forfaits sur la base du règlement 2015/2120

12      Après avoir ouvert deux procédures visant à contrôler respectivement la conformité de « MyChat » et celle de « MyMusic » à l’article 3 du règlement 2015/2120, la Nemzeti Média- és Hírközlési Hatóság (autorité nationale des communications et des médias, Hongrie) a adopté deux décisions dans lesquelles elle a considéré que ces offres groupées mettaient en place des mesures de gestion du trafic ne respectant pas l’obligation de traitement égal et non discriminatoire énoncée au paragraphe 3 de cet article et que Telenor devait y mettre fin.

Sur recours interne, la Cour de Budapest interroge la Cour  de justice sur les dispositions du règlement 2015/2120, les deux affaires sont jointes

« 1)      Un accord commercial conclu entre un fournisseur d’accès à Internet et un utilisateur final, en vertu duquel le fournisseur d’accès à Internet, à l’égard de l’utilisateur final, applique, en ce qui concerne certaines applications, un tarif nul (en d’autres termes, le trafic généré par l’application donnée n’est pas compté dans la consommation de données éventuelles, et n’est pas non plus ralenti lorsque ce cadre de données est épuisé), et la différenciation n’est établie que selon les conditions fixées dans l’accord conclu avec l’utilisateur final, dans le cadre de cet accord et uniquement envers ce consommateur final, et pas envers les utilisateurs finals qui ne sont pas parties à cet accord, doit-il être interprété conformément à l’article 3, paragraphe 2, du [règlement 2015/2120] ?

2)      S’il convient de donner une réponse négative à la première question, faut-il interpréter l’article 3, paragraphe 3, du [règlement 2015/2120] en ce sens que, compte tenu également du considérant 7 de celui-ci, il est nécessaire, pour constater l’infraction, d’examiner, sur la base de l’impact et du marché, si les mesures du fournisseur d’accès à Internet ont effectivement restreint, et dans quelle mesure, les droits des utilisateurs finals visés à l’article 3, paragraphe 1, de ce règlement ?

3)      Indépendamment des première et deuxième questions, l’article 3, paragraphe 3, du [règlement 2015/2120] doit-il être interprété en ce sens que l’interdiction qu’il contient a un caractère inconditionnel, général et objectif, en ce sens que, sur ce fondement, sont interdites toutes les mesures de gestion du trafic qui établissent une différenciation entre les différents contenus d’Internet, indépendamment de la question de savoir si le fournisseur d’accès à Internet l’a par ailleurs fait par la voie d’un accord, d’une pratique commerciale ou d’un autre comportement ?

4)      S’il convient de donner une réponse affirmative à la troisième question, peut-on également conclure sans procéder à d’autres examens du marché et de l’impact, en se fondant sur le fait de la discrimination en soi, à une violation de l’article 3, paragraphe 3, du [règlement 2015/2120], et l’examen de la conformité à l’article 3, paragraphes 1 et 2, de ce règlement est-il sans objet en pareil cas ? »

L’analyse de la Grande Chambre de la Cour de justice

L’offre commerciale telle que comprise par la Cour de justice

29      En l’occurrence, il ressort des éléments soumis à la Cour que les offres groupées en cause au principal présentent, ainsi qu’il ressort du libellé des questions préjudicielles et des énonciations des deux décisions de renvoi, telles que résumées aux points 9 à 11 et 18 du présent arrêt, quatre caractéristiques. Premièrement, le fournisseur de services d’accès à Internet qui les a conçues les propose à ses clients potentiels en Hongrie, avant de les mettre en œuvre au moyen d’accords conclus, à titre bilatéral, avec ceux qui sont intéressés. Deuxièmement, ces offres groupées donnent à chacun des clients qui y a souscrit le droit d’utiliser sans restrictions, dans la limite du volume de données compris dans le forfait qu’il a acheté au fournisseur de services d’accès à Internet, toutes les applications et tous les services disponibles, sans que soit toutefois décomptée l’utilisation de certaines applications et de certains services spécifiques relevant d’un « tarif nul ». Troisièmement, lesdites offres groupées prévoient que, une fois épuisé le volume de données acheté, tout client qui y a souscrit peut continuer à utiliser sans restrictions ces applications et ces services spécifiques. Quatrièmement, l’épuisement du volume de données compris dans le forfait soumis à ces conditions conduit le fournisseur de services d’accès à Internet à appliquer à chaque client concerné des mesures de blocage ou de ralentissement du trafic lié à l’utilisation de toute application et de tout service autres que celles et ceux relevant dudit tarif nul.

Le principe de liberté d’accès aux services de son choix pour le consommateur final

• Le consommateur final : une personne physique ou une personne morale

36      Deuxièmement, il résulte de l’article 2 du règlement 2015/2120 et des dispositions de la directive 2002/21 auxquelles celui-ci renvoie, en particulier de l’article 2, sous h), i) et n), de cette dernière, que la notion d’« utilisateurs finals » englobe toutes les personnes physiques ou morales qui utilisent ou qui demandent un service de communications électroniques accessible au public, autres que celles qui fournissent des réseaux de communication publics ou des services de communications électroniques accessibles au public. Ainsi, cette notion vise tant les consommateurs que les professionnels tels que des entreprises ou des personnes morales à but non lucratif.

37      Par ailleurs, ladite notion inclut aussi bien les personnes physiques ou morales qui utilisent ou qui demandent des services d’accès à Internet en vue d’accéder à des contenus, à des applications et à des services que celles qui s’appuient sur l’accès à Internet pour fournir des contenus, des applications et des services.

• Le principe de liberté

30      S’agissant, en premier lieu, de l’article 3, paragraphe 2, du règlement 2015/2120, lu conjointement avec l’article 3, paragraphe 1, de ce règlement, il doit être observé, d’emblée, que la seconde de ces dispositions prévoit que les droits qu’elle garantit aux utilisateurs finals de services d’accès à Internet ont vocation à être exercés « par l’intermédiaire de leur service d’accès à [I]nternet », et que la première exige qu’un tel service n’implique pas de limitation de l’exercice de ces droits.

• Le principe de liberté qui doit être effectif et qui s’exprime par l’intermédiaire des fournisseur d’accès
  

33      Ainsi qu’il ressort du considérant 7 du règlement 2015/2120, ces accords concrétisent la liberté dont dispose tout utilisateur final de choisir les services par l’intermédiaire desquels il entend exercer les droits garantis par ce règlement, en fonction de leurs caractéristiques. Ce même considérant ajoute toutefois que de tels accords ne doivent pas limiter l’exercice des droits des utilisateurs finals ni, par conséquent, permettre de contourner les dispositions dudit règlement en matière de garantie d’accès à un Internet ouvert.

…

35      Ces pratiques commerciales peuvent inclure, notamment, le comportement d’un fournisseur de services d’accès à Internet consistant à proposer des variantes ou des combinaisons spécifiques de ces services à ses clients potentiels, en vue de répondre aux attentes et aux préférences des uns et des autres, et, le cas échéant, de conclure avec chacun d’eux un accord individuel, avec pour conséquence possible la mise en place d’un nombre plus ou moins important d’accords de contenu identique ou similaire, en fonction de ces attentes et de ces préférences. À l’instar des accords visés à l’article 3, paragraphe 2, du règlement 2015/2120, lesdites pratiques commerciales ne doivent toutefois pas limiter l’exercice des droits des utilisateurs finals ni, par conséquent, permettre de contourner les dispositions de ce règlement en matière de garantie d’accès à un Internet ouvert.

• L’impact des mesures de ce fournisseur d’accès  doit être apprécié par leur nombre de consommateurs

43      Eu égard à ces différents éléments, il convient de relever, tout d’abord, qu’un accord par lequel un client donné souscrit à une offre groupée impliquant que, une fois épuisé le volume de données compris dans le forfait acheté, ce client ne dispose d’un accès sans restrictions qu’à certaines applications et à certains services relevant d’un « tarif nul », est susceptible d’emporter une limitation de l’exercice des droits énoncés à l’article 3, paragraphe 1, du règlement 2015/2120. La compatibilité d’un tel accord avec l’article 3, paragraphe 2, de ce règlement doit être évaluée au cas par cas, à la lumière des paramètres évoqués au considérant 7 dudit règlement.

44      Ensuite, de telles offres groupées, qui relèvent d’une pratique commerciale au sens de l’article 3, paragraphe 2, du règlement 2015/2120, sont, eu égard à l’incidence cumulée des accords auxquels elles peuvent conduire, de nature à amplifier l’utilisation de certaines applications et de certains services spécifiques, à savoir celles et ceux qui peuvent être utilisés sans restrictions à un « tarif nul » une fois épuisé le volume de données compris dans le forfait acheté par les clients, et, corrélativement, à raréfier l’utilisation des autres applications et des autres services disponibles, compte tenu des mesures par lesquelles le fournisseur de services d’accès à Internet en cause rend celle-ci techniquement plus difficile, voire impossible.

45      Enfin, plus le nombre de clients qui concluent des accords par lesquels ils souscrivent à de telles offres groupées est important, plus l’incidence cumulée de ces accords est susceptible, compte tenu de son ampleur, d’engendrer une limitation importante de l’exercice des droits des utilisateurs finals, voire de porter atteinte à l’essence même de ces droits, hypothèse expressément évoquée au considérant 7 du règlement 2015/2120.

46      Il en résulte que la conclusion de tels accords sur une partie significative du marché est susceptible de limiter l’exercice des droits des utilisateurs finals, au sens de l’article 3, paragraphe 2, du règlement 2015/2120.

• Des mesures commerciales ne peuvent pas restreindre le droit de liberté de choix sur Internet

47      En second lieu, s’agissant de l’article 3, paragraphe 3, du règlement 2015/2120, il convient d’observer, tout d’abord, que, ainsi qu’il découle du point 24 du présent arrêt, le premier alinéa de cette disposition, lu à la lumière du considérant 8 de ce règlement, impose aux fournisseurs de services d’accès à Internet une obligation générale de traitement égal, sans discrimination, restriction ou interférence du trafic, à laquelle il ne saurait en aucun cas être dérogé au moyen de pratiques commerciales mises en œuvre par ces fournisseurs ou d’accords conclus par ceux-ci avec des utilisateurs finals.

• Ces pratiques commerciales n’ont pas besoin d’être évaluées pour être sanctionnées

 50      ….., pour constater cette incompatibilité, aucune évaluation de l’incidence de ces mesures sur l’exercice des droits des utilisateurs finals n’est requise, l’article 3, paragraphe 3, du règlement 2015/2120 ne prévoyant pas une telle exigence pour apprécier le respect de l’obligation générale qu’il prévoit.

• Attention des mesures techniques de gestion du trafic peuvent toujours être prises, …. mais ce serait un autre débat

48      Ensuite, il ressort du deuxième alinéa de ladite disposition, ainsi que du considérant 9 du règlement 2015/2120, à la lumière duquel il doit être lu, que, tout en étant tenus de respecter cette obligation générale, les fournisseurs de services d’accès à Internet conservent la possibilité d’adopter des mesures raisonnables de gestion du trafic. Toutefois, cette possibilité est soumise à la condition, notamment, que de telles mesures soient fondées sur des « différences objectives entre les exigences techniques en matière de qualité de service de certaines catégories spécifiques de trafic » et non pas sur des « considérations commerciales ». Est, en particulier, à regarder comme étant fondée sur de telles « considérations commerciales » toute mesure d’un fournisseur de services d’accès à Internet envers tout utilisateur final, tel que défini aux points 36 et 37 du présent arrêt, qui aboutit, sans reposer sur de telles différences objectives, à ne pas traiter de façon égale et sans discrimination les contenus, les applications ou les services proposés par les différents fournisseurs de contenus, d’applications ou de services.

49      Enfin, il résulte du troisième alinéa de l’article 3, paragraphe 3, du règlement 2015/2120 que, à moins d’avoir été adoptées pour une durée déterminée et d’être nécessaires pour permettre à un fournisseur de services d’accès à Internet, soit de se conformer à une obligation légale, soit de préserver l’intégrité et la sûreté du réseau, soit de prévenir ou de remédier à sa congestion, toutes les mesures consistant à bloquer, à ralentir, à modifier, à restreindre, à perturber, à dégrader ou à traiter de manière discriminatoire, notamment, des applications ou des services spécifiques, ne sauraient être considérées comme étant raisonnables au sens du deuxième alinéa de cette disposition et sont, partant, à regarder, en tant que telles, comme étant incompatibles avec celle-ci.

Le droit dit par la Cour de justice

L’article 3 du règlement (UE) 2015/2120 du Parlement européen et du Conseil, du 25 novembre 2015, établissant des mesures relatives à l’accès à un internet ouvert et modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques et le règlement (UE) n^o 531/2012 concernant l’itinérance sur les réseaux publics de communications mobiles à l’intérieur de l’Union, doit être interprété en ce sens que des offres groupées mises en œuvre par un fournisseur de services d’accès à Internet au moyen d’accords conclus avec des utilisateurs finals, aux termes desquelles ces derniers peuvent acheter un forfait leur donnant le droit d’utiliser sans restrictions un volume de données déterminé, sans que soit décomptée l’utilisation de certaines applications et de certains services spécifiques relevant d’un « tarif nul », et, une fois épuisé ce volume de données, peuvent continuer à utiliser sans restrictions ces applications et ces services spécifiques, pendant que des mesures de blocage ou de ralentissement de trafic sont appliquées aux autres applications et services disponibles :

–        sont incompatibles avec le paragraphe 2 de cet article, lu conjointement avec le paragraphe 1 de celui-ci, dès lors que ces offres groupées, ces accords et ces mesures de blocage ou de ralentissement limitent l’exercice des droits des utilisateurs finals, et

–        sont incompatibles avec le paragraphe 3 dudit article dès lors que lesdites mesures de blocage ou de ralentissement sont fondées sur des considérations commerciales.

L’article Neutralité du net : le contenu d’un droit effectif par la Cour de justice le 15 septembre 2020 est apparu en premier sur Philippe Schmitt Avocats.

Avec le RGPD, le transfert des données personnelles vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Le RGPD prévoit que la Commission peut constater qu’un pays tiers assure un niveau de protection adéquat. En l’absence d’une telle décision, une décision d’adéquation, l’exportateur des données à caractère personnel, doit établir qu’il existe dans le pays tiers des garanties appropriées, « clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives » . En l’absence de décision d’adéquation et de garanties appropriées,  le RGPD prévoit les conditions de ce transfert de données.

Pour mémoire, la Cour de justice dans son arrêt du 5 octobre 2015 avait annulé le précédent accord Etats-Unis Europe sur le transfert des données personnelles des européens en direction du territoire nord-américain. L’arrêt du 5 octobre 2015

Ni la décision relative aux Causes types ( décision du 5 février 2010 modifiée le 16 décembre 2016) ni le bouclier de protection des données ( décision du 12 juillet 2016),   ne résistent à ces différents points.

• Le RGPD s’applique même à des données traitées à des fins de sécurité publique et de sureté de l’Etat

84      En ce qui concerne la question de savoir si une telle opération peut être considérée comme étant exclue du champ d’application du RGPD en vertu de l’article 2, paragraphe 2, de celui-ci, il convient de rappeler que cette disposition prévoit des exceptions au champ d’application de ce règlement, tel que défini à son article 2, paragraphe 1, et que ces exceptions doivent recevoir une interprétation stricte (voir par analogie, en ce qui concerne l’article 3, paragraphe 2, de la directive 95/46, arrêt du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, point 37 et jurisprudence citée).

85      En l’occurrence, le transfert de données à caractère personnel en cause au principal étant effectué par Facebook Ireland vers Facebook Inc., à savoir entre deux personnes morales, ce transfert ne relève pas de l’article 2, paragraphe 2, sous c), du RGPD, qui vise le traitement de données effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique. Ledit transfert ne relève pas non plus des exceptions figurant à l’article 2, paragraphe 2, sous a), b) et d), de ce règlement, dès lors que les activités qui y sont mentionnées à titre d’exemples sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques, étrangères aux domaines d’activité des particuliers (voir par analogie, en ce qui concerne l’article 3, paragraphe 2, de la directive 95/46, arrêt du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, point 38 et jurisprudence citée).

86      Or, la possibilité que les données à caractère personnel transférées entre deux opérateurs économiques à des fins commerciales subissent, au cours ou à la suite du transfert, un traitement à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités du pays tiers concerné ne saurait exclure ledit transfert du champ d’application du RGPD.

87      D’ailleurs, en faisant explicitement obligation à la Commission, lorsqu’elle évalue le caractère adéquat du niveau de protection offert par un pays tiers, de tenir compte, notamment, de « la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès des autorités publiques aux données à caractère personnel, de même que la mise en œuvre de ladite législation », le libellé même de l’article 45, paragraphe 2, sous a), de ce règlement met en évidence le fait que le traitement éventuel, par un pays tiers, des données concernées à des fins de sécurité publique, de défense et de sûreté de l’État ne remet pas en cause l’applicabilité dudit règlement au transfert en cause.

88      Il s’ensuit qu’un tel transfert ne saurait échapper au champ d’application du RGPD au motif que les données en cause sont susceptibles d’être traitées, au cours ou à la suite de ce transfert, par les autorités du pays tiers concerné, à des fins de sécurité publique, de défense et de sûreté de l’État.

• La décision d’adéquation doit accordée une garantie des droits analogue à celle au sein de l’Union qui sont prévus par la Charte
  

95      Dans ce contexte, le considérant 107 du RGPD énonce que, lorsqu’« un pays tiers, un territoire ou un secteur déterminé dans un pays tiers […], n’assure plus un niveau adéquat de protection des données […], le transfert de données à caractère personnel vers ce pays tiers […] devrait être interdit, à moins que les exigences [de ce règlement] relatives aux transferts faisant l’objet de garanties appropriées […] soient respectées ». À cet effet, le considérant 108 dudit règlement précise que, en l’absence de décision d’adéquation, les garanties appropriées qu’il appartient au responsable du traitement ou au sous-traitant de prendre conformément à l’article 46, paragraphe 1, du même règlement doivent « compenser l’insuffisance de la protection des données dans le pays tiers » pour « assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union ».

96      Il en résulte, comme M. l’avocat général l’a relevé au point 115 de ses conclusions, que ces garanties appropriées doivent être de nature à assurer que les personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient, comme dans le cadre d’un transfert fondé sur une décision d’adéquation, d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union.

….

105    Partant, il y a lieu de répondre aux deuxième, troisième et sixième questions que l’article 46, paragraphe 1, et l’article 46, paragraphe 2, sous c), du RGPD doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce règlement, lu à la lumière de la Charte. À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, dudit règlement.

• La possibilité de suspendre le transfert de données vers un Etat où  les droits ne sont pas garantis, devoir de chaque autorité de contrôle
  

109    En outre, en vertu de l’article 57, paragraphe 1, sous f), du RGPD, chaque autorité de contrôle est tenue, sur son territoire, de traiter les réclamations que toute personne, conformément à l’article 77, paragraphe 1, de ce règlement, est en droit d’introduire lorsqu’elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation dudit règlement, et d’en examiner l’objet dans la mesure du nécessaire. L’autorité de contrôle doit procéder au traitement d’une telle réclamation avec toute la diligence requise (voir par analogie, en ce qui concerne l’article 25, paragraphe 6, de la directive 95/46, arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 63).

110    L’article 78, paragraphes 1 et 2, du RGPD reconnaît à toute personne le droit de former un recours juridictionnel effectif, notamment, lorsque l’autorité de contrôle omet de traiter sa réclamation. Le considérant 141 de ce règlement fait également référence à ce « droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte » dans le cas où cette autorité de contrôle « n’agit pas alors qu’une action est nécessaire pour protéger les droits de la personne concernée ».

111    Aux fins de traiter les réclamations introduites, l’article 58, paragraphe 1, du RGPD investit chaque autorité de contrôle d’importants pouvoirs d’enquête. Lorsqu’une telle autorité estime, à l’issue de son enquête, que la personne concernée dont les données à caractère personnel ont été transférées vers un pays tiers ne bénéficie pas dans celui-ci d’un niveau de protection adéquat, elle est tenue, en application du droit de l’Union, de réagir de manière appropriée afin de remédier à l’insuffisance constatée, et ce indépendamment de l’origine ou de la nature de cette insuffisance. À cet effet, l’article 58, paragraphe 2, de ce règlement énumère les différentes mesures correctrices que l’autorité de contrôle peut adopter.

112    Bien que le choix du moyen approprié et nécessaire relève de l’autorité de contrôle et que celle-ci doive opérer ce choix en prenant en considération toutes les circonstances du transfert de données à caractère personnel en cause, cette autorité n’en est pas moins tenue de s’acquitter avec toute la diligence requise de sa mission consistant à veiller au plein respect du RGPD.

113    À cet égard et ainsi que M. l’avocat général l’a également relevé au point 148 de ses conclusions, ladite autorité est tenue, en vertu de l’article 58, paragraphe 2, sous f) et j), de ce règlement, de suspendre ou d’interdire un transfert de données à caractère personnel vers un pays tiers lorsqu’elle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que les clauses types de protection des données ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci

• Une décision de la Commission ne peut priver les autorités de contrôle de leur pouvoir de contrôle

116    Il importe toutefois de préciser que les pouvoirs de l’autorité de contrôle compétente sont soumis au plein respect de la décision par laquelle la Commission constate, le cas échéant, en application de l’article 45, paragraphe 1, première phrase, du RGPD, qu’un pays tiers déterminé assure un niveau de protection adéquat. En effet, dans une telle hypothèse, il ressort de l’article 45, paragraphe 1, seconde phrase, de ce règlement, lu en combinaison avec le considérant 103 de celui-ci, que les transferts de données à caractère personnel vers le pays tiers concerné peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autorisation spécifique.

117    En vertu de l’article 288, quatrième alinéa, TFUE, une décision d’adéquation de la Commission a, dans tous ses éléments, un caractère contraignant pour tous les États membres destinataires et s’impose donc à tous leurs organes, en ce qu’elle constate que le pays tiers concerné garantit un niveau de protection adéquat et qu’elle a pour effet d’autoriser ces transferts de données (voir par analogie, en ce qui concerne l’article 25, paragraphe 6, de la directive 95/46, arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 51 et jurisprudence citée).

118    Ainsi, aussi longtemps que la décision d’adéquation n’a pas été déclarée invalide par la Cour, les États membres et leurs organes, au nombre desquels figurent leurs autorités de contrôle indépendantes, ne sauraient adopter des mesures contraires à cette décision, telles que des actes visant à constater avec effet contraignant que le pays tiers visé par ladite décision n’assure pas un niveau de protection adéquat …. et, en conséquence, à suspendre ou interdire des transferts de données à caractère personnel vers ce pays tiers.

119    Toutefois, une décision d’adéquation de la Commission adoptée au titre de l’article 45, paragraphe 3, du RGPD ne saurait empêcher les personnes dont les données à caractère personnel ont été ou pourraient être transférées vers un pays tiers de saisir, en application de l’article 77, paragraphe 1, du RGPD, l’autorité nationale de contrôle compétente d’une réclamation relative à la protection de leurs droits et de leurs libertés à l’égard du traitement de ces données. De même, une décision de cette nature ne saurait ni annihiler ni réduire les pouvoirs expressément reconnus aux autorités nationales de contrôle par l’article 8, paragraphe 3, de la Charte ainsi que par l’article 51, paragraphe 1, et par l’article 57, paragraphe 1, sous a), dudit règlement (voir par analogie, en ce qui concerne l’article 25, paragraphe 6, et l’article 28 de la directive 95/46, arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 53).

120    Ainsi, même en présence d’une décision d’adéquation de la Commission, l’autorité nationale de contrôle compétente, saisie par une personne d’une réclamation relative à la protection de ses droits et de ses libertés à l’égard d’un traitement de données à caractère personnel la concernant, doit pouvoir examiner, en toute indépendance, si le transfert de ces données respecte les exigences posées par le RGPD et, le cas échéant, introduire un recours devant les juridictions nationales afin que ces dernières procèdent, si elles partagent les doutes de cette autorité quant à la validité de la décision d’adéquation, à un renvoi préjudiciel aux fins de l’examen de cette validité…..

• Une obligation de contrôle même en cas de décision  de la Commission relative aux clauses types

130    En revanche, s’agissant d’une décision de la Commission adoptant des clauses types de protection des données, telle que la décision CPT, dans la mesure où une telle décision ne vise pas un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans celui-ci, il ne saurait être inféré de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, sous c), du RGPD que la Commission serait tenue de procéder, avant l’adoption d’une telle décision, à une évaluation du caractère adéquat du niveau de protection assuré par les pays tiers vers lesquels des données à caractère personnel pourraient être transférées sur le fondement de telles clauses.

133    Il apparaît ainsi que les clauses types de protection des données adoptées par la Commission au titre de l’article 46, paragraphe 2, sous c), du même règlement visent uniquement à fournir aux responsables du traitement ou à leurs sous-traitants établis dans l’Union des garanties contractuelles s’appliquant de manière uniforme dans tous les pays tiers et, dès lors, indépendamment du niveau de protection garanti dans chacun d’entre eux. Dans la mesure où ces clauses types de protection des données ne peuvent, eu égard à leur nature, fournir des garanties allant au-delà d’une obligation contractuelle de veiller à ce que le niveau de protection requis par le droit de l’Union soit respecté, elles peuvent nécessiter, en fonction de la situation prévalant dans tel ou tel pays tiers, l’adoption de mesures supplémentaires par le responsable du traitement afin d’assurer le respect de ce niveau de protection.

…..

134    À cet égard, ainsi que M. l’avocat général l’a relevé au point 126 de ses conclusions, le mécanisme contractuel prévu à l’article 46, paragraphe 2, sous c), du RGPD repose sur la responsabilisation du responsable du traitement ou de son sous-traitant établis dans l’Union ainsi que, à titre subsidiaire, de l’autorité de contrôle compétente. Il appartient, dès lors, avant tout, à ce responsable du traitement ou à son sous-traitant de vérifier, au cas par cas et, le cas échéant, en collaboration avec le destinataire du transfert, si le droit du pays tiers de destination assure une protection appropriée, au regard du droit de l’Union, des données à caractère personnel transférées sur le fondement de clauses types de protection des données, en fournissant, au besoin, des garanties supplémentaires à celles offertes par ces clauses.

• La mise en place du dispositif de contrôle en préalable au traitement

142    Il en résulte que le responsable du traitement établi dans l’Union et le destinataire du transfert de données à caractère personnel sont tenus de vérifier, au préalable, le respect, dans le pays tiers concerné, du niveau de protection requis par le droit de l’Union. Le destinataire de ce transfert est, le cas échéant, dans l’obligation, en vertu de la même clause 5, sous b), d’informer le responsable du traitement de son éventuelle incapacité de se conformer à ces clauses, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat.

• A propos de la décision sur le bouclier de protection des données UE-États-Unis qui s’impose aux autorités nationales de contrôle

154    En particulier, l’existence des effets contraignants qui s’attachent à la constatation par la décision BPD d’un niveau de protection adéquat aux États-Unis est pertinente aux fins de l’appréciation tant des obligations, rappelées aux points 141 et 142 du présent arrêt, qui incombent au responsable du traitement et au destinataire d’un transfert de données à caractère personnel vers un pays tiers effectué sur le fondement des clauses types de protection des données figurant à l’annexe de la décision CPT que des obligations qui pèsent, le cas échéant, sur l’autorité de contrôle de suspendre ou d’interdire un tel transfert.

155    S’agissant, en effet, des effets contraignants de la décision BPD, l’article 1^er, paragraphe 1, de cette décision dispose que, aux fins de l’article 45, paragraphe 1, du RGPD, « les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies aux États-Unis dans le cadre du bouclier de protection des données [Union européenne]-États-Unis ». Conformément à l’article 1^er, paragraphe 3, de ladite décision, les données à caractère personnel sont considérées comme étant transférées dans le cadre de ce bouclier lorsqu’elles le sont depuis l’Union vers des organisations établies aux États-Unis qui figurent sur la liste des organisations adhérant audit bouclier, tenue à jour et publiée par le ministère américain du Commerce, conformément aux sections I et III des principes énoncés à l’annexe II de la même décision.

156    Ainsi qu’il résulte de la jurisprudence rappelée aux points 117 et 118 du présent arrêt, la décision BPD a un caractère contraignant pour les autorités de contrôle en ce qu’elle constate que les États-Unis garantissent un niveau de protection adéquat et, partant, a pour effet d’autoriser des transferts de données à caractère personnel effectués dans le cadre du bouclier de protection des données Union européenne-États-Unis. Dès lors, aussi longtemps que cette décision n’a pas été déclarée invalide par la Cour, l’autorité de contrôle compétente ne saurait suspendre ou interdire un transfert de données à caractère personnel vers une organisation adhérant à ce bouclier au motif qu’elle considère, contrairement à l’appréciation retenue par la Commission dans ladite décision, que la législation des États-Unis régissant l’accès aux données à caractère personnel transférées dans le cadre dudit bouclier et l’utilisation de ces données par les autorités publiques de ce pays tiers à des fins de sécurité nationale, de respect de la loi ou d’intérêt public n’assure pas un niveau de protection adéquat.

• Mais une réclamation s’analyse comme une contestation de la validité de la décision  de la Commission

157    Il n’en demeure pas moins que, conformément à la jurisprudence rappelée aux points 119 et 120 du présent arrêt, lorsqu’elle est saisie par une personne d’une réclamation, l’autorité de contrôle compétente doit examiner, en toute indépendance, si le transfert de données à caractère personnel en cause respecte les exigences posées par le RGPD et, dans l’hypothèse où elle estime fondés les griefs avancés par cette personne aux fins de mettre en cause la validité d’une décision d’adéquation, introduire un recours devant les juridictions nationales afin que ces dernières saisissent la Cour d’un renvoi préjudiciel en appréciation de la validité de cette décision.

…..

160    Ainsi que M. l’avocat général l’a relevé au point 175 de ses conclusions, ces questions préjudicielles doivent ainsi être comprises comme mettant, en substance, en cause le constat de la Commission, figurant dans la décision BPD, selon lequel les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers ce pays tiers et, partant, la validité de cette décision.

• La critique de la décision de la commission

177    À cet effet, l’article 45, paragraphe 2, sous a), du RGPD précise que, dans le cadre de son évaluation du caractère adéquat du niveau de protection assuré par un pays tiers, la Commission tient compte, notamment, « [d]es droits effectifs et opposables dont bénéficient les personnes concernées » dont les données à caractère personnel sont transférées.

178    En l’occurrence, la constatation opérée par la Commission dans la décision BPD selon laquelle les États-Unis assurent un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par le RGPD, lu à la lumière des articles 7 et 8 de la Charte, a été remise en cause au motif, notamment, que les ingérences résultant des programmes de surveillance fondés sur l’article 702 du FISA et sur l’E.O. 12333 ne seraient pas soumises à des exigences assurant, dans le respect du principe de proportionnalité, un niveau de protection substantiellement équivalent à celui garanti par l’article 52, paragraphe 1, seconde phrase, de la Charte. Il y a donc lieu d’examiner si ces programmes de surveillance sont mis en œuvre dans le respect de telles exigences, sans qu’il soit nécessaire de vérifier au préalable le respect par ce pays tiers de conditions substantiellement équivalentes à celles prévues à l’article 52, paragraphe 1, première phrase, de la Charte.

179    À cet égard, en ce qui concerne les programmes de surveillance fondés sur l’article 702 du FISA, la Commission a constaté, au considérant 109 de la décision BPD, que, selon ledit article, « le FISC n’autorise pas de mesures de surveillance individuelle, mais plutôt des programmes de surveillance (comme PRISM ou UPSTREAM) sur la base de certifications annuelles préparées par le procureur général et le directeur du renseignement national (DNI) ». Ainsi qu’il ressort de ce considérant, le contrôle exercé par le FISC vise à vérifier si ces programmes de surveillance correspondent à l’objectif d’obtenir des informations en matière de renseignement extérieur, mais ne porte pas sur le point de savoir « si les personnes sont correctement ciblées pour se procurer des informations en matière de renseignement extérieur ».

180    Il apparaît ainsi que l’article 702 du FISA ne fait ressortir d’aucune manière l’existence de limitations à l’habilitation qu’il comporte pour la mise en œuvre des programmes de surveillance aux fins du renseignement extérieur, pas plus que l’existence de garanties pour des personnes non-américaines potentiellement visées par ces programmes. Dans ces conditions, et ainsi que M. l’avocat général l’a relevé, en substance, aux points 291, 292 et 297 de ses conclusions, cet article n’est pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui garanti par la Charte, telle qu’interprétée par la jurisprudence rappelée aux points 175 et 176 du présent arrêt, selon laquelle une base légale qui permet des ingérences dans les droits fondamentaux doit, pour satisfaire au principe de proportionnalité, définir elle-même la portée de la limitation de l’exercice du droit concerné et prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales.

181    Selon les constatations figurant dans la décision BPD, les programmes de surveillance fondés sur l’article 702 du FISA doivent, certes, être mis en œuvre dans le respect des exigences résultant de la PPD-28. Toutefois, si la Commission a souligné, aux considérants 69 et 77 de la décision BPD, que de telles exigences revêtent un caractère contraignant pour les services de renseignement américains, le gouvernement américain a admis, en réponse à une question de la Cour, que la PPD-28 ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux. Dès lors, elle n’est pas susceptible d’assurer un niveau de protection substantiellement équivalent à celui résultant de la Charte, contrairement à ce qu’exige l’article 45, paragraphe 2, sous a), du RGPD, selon lequel la constatation de ce niveau dépend, notamment, de l’existence des droits effectifs et opposables dont bénéficient les personnes dont les données ont été transférées vers le pays tiers en cause.

182    S’agissant des programmes de surveillance fondés sur l’E.O. 12333, il ressort du dossier dont dispose la Cour que ce décret ne confère pas non plus de droits opposables aux autorités américaines devant les tribunaux.

183    Il convient d’ajouter que la PPD-28, qui doit être respectée dans le cadre de l’application des programmes visés aux deux points précédents, permet de procéder à une « collecte “en vrac” […] d’un volume relativement important d’informations ou de données issues du renseignement d’origine électromagnétique dans des conditions où les services de renseignement ne peuvent pas utiliser d’identifiant associé à une cible spécifique […] pour orienter la collecte », ainsi qu’il est précisé dans une lettre du 21 juin 2016 du bureau du directeur du renseignement national (Office of the Director of National Intelligence) au ministère américain du Commerce ainsi qu’à l’administration du commerce international, figurant à l’annexe VI de la décision BPD. Or, cette possibilité, qui permet, dans le cadre des programmes de surveillance fondés sur l’E.O. 12333, d’accéder à des données en transit vers les États-Unis sans que cet accès fasse l’objet d’une quelconque surveillance judiciaire, n’encadre, en tout état de cause, pas de manière suffisamment claire et précise la portée d’une telle collecte en vrac de données à caractère personnel.

184    Il apparaît, dès lors, que ni l’article 702 du FISA ni l’E.O. 12333, lus en combinaison avec la PPD-28, ne correspondent aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, si bien qu’il n’est pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire.

• L’absence de recours effectif au juge

186    S’agissant, en second lieu, de l’article 47 de la Charte, qui participe également du niveau de protection requis au sein de l’Union et dont la Commission doit constater le respect avant que celle-ci adopte une décision d’adéquation au titre de l’article 45, paragraphe 1, du RGPD, il convient de rappeler que le premier alinéa de cet article 47 exige que toute personne dont les droits et les libertés garantis par le droit de l’Union ont été violés ait droit à un recours effectif devant un tribunal dans le respect des conditions prévues à cet article. Aux termes du deuxième alinéa dudit article, toute personne a droit à ce que sa cause soit entendue par un tribunal indépendant et impartial.

187    Selon une jurisprudence constante, l’existence même d’un contrôle juridictionnel effectif destiné à assurer le respect des dispositions du droit de l’Union est inhérente à l’existence d’un État de droit. Ainsi, une réglementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective, tel que consacré à l’article 47 de la Charte (arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 95 et jurisprudence citée).

188    À cet effet, l’article 45, paragraphe 2, sous a), du RGPD exige que, dans le cadre de son évaluation du caractère adéquat du niveau de protection assuré par un pays tiers, la Commission tienne compte, notamment, « [d]es recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées ». Le considérant 104 du RGPD souligne, à cet égard, que le pays tiers « devrait assurer un contrôle indépendant effectif de la protection des données et prévoir des mécanismes de coopération avec les autorités de protection des données des États membres » et précise que « les personnes concernées devraient se voir octroyer des droits effectifs et opposables ainsi que des possibilités effectives de recours administratif et juridictionnel ».

189    L’existence de telles possibilités effectives de recours dans le pays tiers concerné revêt une importance particulière dans le contexte d’un transfert de données à caractère personnel vers ce pays tiers, dans la mesure où, ainsi qu’il ressort du considérant 116 du RGPD, les personnes concernées peuvent être confrontées à l’insuffisance des pouvoirs et des moyens des autorités administratives et judiciaires des États membres pour donner une suite utile à leurs réclamations fondées sur un traitement prétendument illégal, dans ce pays tiers, de leurs données ainsi transférées, ce qui est de nature à les contraindre à s’adresser aux autorités et aux juridictions nationales de ce même pays tiers.

190    En l’occurrence, la constatation opérée par la Commission dans la décision BPD, selon laquelle les États-Unis assurent un niveau de protection substantiellement équivalent à celui garanti à l’article 47 de la Charte, a été remise en cause au motif, notamment, que l’instauration du médiateur du bouclier de protection des données ne saurait pallier les lacunes constatées par la Commission elle-même en ce qui concerne la protection juridictionnelle des personnes dont les données à caractère personnel sont transférées vers ce pays tiers.

191    À cet égard, la Commission a relevé, au considérant 115 de la décision BPD, que, si « les personnes physiques, notamment les personnes concernées de l’[Union], disposent […] d’un certain nombre de voies de recours lorsqu’elles ont fait l’objet d’une surveillance (électronique) illégale à des fins de sécurité nationale, il est également clair qu’au moins quelques bases juridiques pouvant être utilisées par les services de renseignement américains (comme l’E.O. 12333) ne sont pas couvertes ». Ainsi, s’agissant de l’E.O. 12333, elle a mis l’accent, audit considérant 115, sur l’absence de toute voie de recours. Or, selon la jurisprudence rappelée au point 187 du présent arrêt, une telle lacune dans la protection juridictionnelle à l’égard des ingérences liées aux programmes de renseignement fondés sur ce décret présidentiel fait obstacle à ce qu’il soit conclu, comme l’a fait la Commission dans la décision BPD, que le droit des États-Unis assure un niveau de protection substantiellement équivalent à celui garanti à l’article 47 de la Charte.

• Le médiateur n’est pas indépendant du pouvoir exécutif nord-américain

195    Or, dans la lettre évoquée au point 193 du présent arrêt, le médiateur du bouclier de protection des données, quoique décrit comme étant « indépendant des services de renseignement », a été présenté comme « [rendant] compte directement au secrétaire d’État qui veillera à ce que le médiateur remplisse sa mission en toute objectivité et à l’abri de toute influence inappropriée susceptible d’affecter la réponse qu’il devra donner ». Par ailleurs, outre le fait que, ainsi que la Commission l’a constaté au considérant 116 de cette décision, le médiateur est désigné par le secrétaire d’État et fait partie intégrante du département d’État des États-Unis, il n’existe, dans ladite décision, comme M. l’avocat général l’a relevé au point 337 de ses conclusions, aucune indication selon laquelle la révocation du médiateur ou l’annulation de sa nomination seraient assorties de garanties particulières, ce qui est de nature à mettre en cause l’indépendance du médiateur par rapport au pouvoir exécutif (voir, en ce sens, arrêt du 21 janvier 2020, Banco de Santander, C‑274/14, EU:C:2020:17, points 60 et 63 ainsi que jurisprudence citée).

196    De même, ainsi que M. l’avocat général l’a souligné, au point 338 de ses conclusions, si le considérant 120 de la décision BPD fait état d’un engagement du gouvernement américain à ce que la composante concernée des services de renseignement soit tenue de corriger toute violation des normes applicables détectée par le médiateur du bouclier de protection des données, ladite décision ne comporte aucune indication selon laquelle ce médiateur serait habilité à prendre des décisions contraignantes à l’égard de ces services et ne fait pas non plus état de garanties légales dont serait assorti cet engagement et dont pourraient se prévaloir les personnes concernées.

197    Dès lors, le mécanisme de médiation visé par la décision BPD ne fournit pas de voie de recours devant un organe qui offre aux personnes dont les données sont transférées vers les États-Unis des garanties substantiellement équivalentes à celles requises à l’article 47 de la Charte.

• L’annulation de la décision de la Commission sur le bouclier

98    Partant, en constatant, à l’article 1^er, paragraphe 1, de la décision BPD, que les États-Unis assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies dans ce pays tiers dans le cadre du bouclier de protection des données Union européenne-États-Unis, la Commission a méconnu les exigences résultant de l’article 45, paragraphe 1, du RGPD, lu à la lumière des articles 7, 8 et 47 de la Charte.

199    Il s’ensuit que l’article 1^er de la décision BPD est incompatible avec l’article 45, paragraphe 1, du RGPD, lu à la lumière des articles 7, 8 et 47 de la Charte, et qu’il est de ce fait invalide.

200    L’article 1^er de la décision BPD étant indissociable des articles 2 à 6 ainsi que des annexes de celle-ci, son invalidité a pour effet d’affecter la validité de cette décision dans son ensemble.

201    Eu égard à l’ensemble des considérations qui précèdent, il convient de conclure que la décision BPD est invalide.

Le droit dit par la Grande Chambre de la Cour de justice

1)      L’article 2, paragraphes 1 et 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que relève du champ d’application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État.

2)      L’article 46, paragraphe 1, et l’article 46, paragraphe 2, sous c), du règlement 2016/679 doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne par ce règlement, lu à la lumière de la charte des droits fondamentaux de l’Union européenne. À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, dudit règlement.

3)      L’article 58, paragraphe 2, sous f) et j), du règlement 2016/679 doit être interprété en ce sens que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission européenne, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union, en particulier par les articles 45 et 46 de ce règlement et par la charte des droits fondamentaux, ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci.

4)      L’examen de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016, au regard des articles 7, 8 et 47 de la charte des droits fondamentaux n’a révélé aucun élément de nature à affecter la validité de cette décision.

5)      La décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, est invalide.

L’article RGPD : la Cour de justice annule la décision de la Commission sur le bouclier de protection des données avec les Etats-Unis est apparu en premier sur Philippe Schmitt Avocats.

La Grande Chambre reconnaît une erreur de la 4^ème Chambre à  l’arrêt Neurim du 19 juillet 2012 à propos des AMMs qui peuvent conduire au rejet  de la demande de CCP même si ces AMMs n’entrent pas dans le champs du brevet de base.

L’arrêt du 9 juillet 2020

Pour rappel dans l’arrêt Neurim, la 4^ème Chambre de la Cour de justice avait considéré qu’une AMM antérieure pour une application vétérinaire ne faisait pas obstacle à une demande de CCP fondée sur une AMM postérieure pour une application humaine. l’arrêt Neurim

25      Dès lors, si un brevet protège une application thérapeutique nouvelle d’un principe actif connu et qui a déjà été commercialisé sous la forme d’un médicament, à usage humain ou animal, visant d’autres indications thérapeutiques, qu’elles aient été ou non protégées par un brevet antérieur, la mise sur le marché d’un nouveau médicament exploitant commercialement la nouvelle application thérapeutique du même principe actif, telle que celle-ci est protégée par le nouveau brevet, peut permettre à son titulaire d’obtenir un CCP dont l’étendue de protection, en tout état de cause, pourra couvrir non pas le principe actif en tant que tel, mais uniquement l’utilisation nouvelle de ce produit.

26      Dans une telle situation, seule l’AMM du premier médicament, contenant le produit et autorisé pour une utilisation thérapeutique correspondant à celle protégée par le brevet invoqué à l’appui de la demande de CCP, pourra être considérée comme première AMM de «ce produit» en tant que médicament exploitant cette nouvelle utilisation au sens de l’article 3, sous d), du règlement CCP.

27      Eu égard à l’ensemble des considérations qui précèdent, il convient de répondre aux première et troisième questions que les articles 3 et 4 du règlement CCP doivent être interprétés en ce sens que, dans un cas tel que celui de l’affaire au principal, la seule existence d’une AMM antérieure obtenue pour le médicament à usage vétérinaire ne s’oppose pas à ce que soit délivré un CCP pour une application différente du même produit pour laquelle a été délivrée une AMM, pourvu que cette application entre dans le champ de la protection conférée par le brevet de base invoqué à l’appui de la demande de CCP.

La chronologie

10 octobre 2015 : dépôt de la demande de brevet. « qui protège notamment une émulsion ophtalmique dans laquelle le principe actif est la ciclosporine, un agent immunosuppresseur ».

S…. est titulaire du brevet.

19 mai 2015 : AMM délivrée par l’EMA pour un « médicament commercialisé sous le nom d’« Ikervis » dont le principe actif est la ciclosporine. Ce médicament sert à traiter la kératite sévère chez des patients adultes présentant une sécheresse oculaire qui ne s’améliore pas malgré l’instillation de substituts lacrymaux, provoquant une inflammation de la cornée. »

3 juin 2015 : S…. dépose une demande de CCP sur la base du brevet et de l’AMM.

6 octobre 2017 : rejet de la demande par l’INPI, la première n’est pas cette AMM, mais une du 23 décembre 1987 : «  un médicament, commercialisé sous le nom de « Sandimmun », dont le principe actif était également la ciclosporine. Ce médicament se présentait sous forme buvable et était indiqué pour la prévention du rejet de greffes d’organes solides ou de moelle osseuse ainsi que pour d’autres usages thérapeutiques, notamment pour le traitement de l’uvéite endogène, une inflammation de tout ou partie de l’uvée, partie centrale du globe oculaire ».

Recours de S…… devant la Cour de Paris.

9 octobre 2018 : demande de questions préjudicielles par la Cour de Paris.

« 1)      La notion d’“application différente”, au sens de l’[arrêt Neurim], doit-elle s’entendre de manière stricte, c’est-à-dire :

–        être limitée au seul cas d’une application humaine faisant suite à une application vétérinaire ;

–        ou concerner une indication relevant d’un nouveau champ thérapeutique, au sens d’une nouvelle spécialité médicale, par rapport à l’AMM antérieure, ou un médicament dans lequel le principe actif exerce une action différente de celle qu’il exerce dans le médicament ayant fait l’objet de la première AMM ;

–        ou plus généralement, au regard des objectifs du [règlement nº 469/2009] visant à mettre en place un système équilibré prenant en compte tous les intérêts en jeu, y compris ceux de la santé publique, être appréciée selon des critères plus exigeants que ceux présidant à l’appréciation de la brevetabilité de l’invention ?

Ou doit-elle au contraire s’entendre de manière extensive, c’est-à-dire incluant non seulement des indications thérapeutiques et des maladies différentes, mais encore des formulations, posologies et/ou modes d’administration différents ?

2)      La notion d’“application entrant dans le champ de protection conférée par le brevet de base”,  au sens de l’[arrêt Neurim], implique-t-elle que la portée du brevet de base devrait concorder avec celle de l’AMM invoquée et, par conséquent, se limiter à la nouvelle utilisation médicale correspondant à l’indication thérapeutique de ladite AMM ? »

Pour la Cour de Paris, S…. et l’INPI s’opposent sur le sens à donner à l’arrêt Neurim ( l’article 3 du règlement n^o 469/2009) .

– « application différente du même produit »

Pour l’INPI : interprétation stricte. »L’AMM invoquée devrait concerner soit une indication relevant d’un nouveau champ thérapeutique, au sens d’une nouvelle spécialité médicale, par rapport à l’AMM antérieure, soit un médicament dans lequel le principe actif exerce une action différente de celle qu’il exerce dans le médicament ayant fait l’objet de la première AMM ».

Cette interprétation stricte se poursuivrait également en comprenant la notion de « nouvelle utilisation thérapeutique » comme devant «  être appréciée selon des critères plus exigeants que ceux qui servent à l’appréciation de la brevetabilité d’une nouvelle application thérapeutique »

Pour S… la notion d’« application [thérapeutique] différente », …, doit s’entendre de manière large, en incluant non seulement des indications thérapeutiques et des usages pour des maladies différentes, mais encore des formulations, des posologies et des modes d’administration différents. »

–  « application [entrant] dans le champ de protection conférée par le brevet de base »,

Ce serait ici pour répondre à une interrogation de l’INPI  «  d’une part, de quelle manière établir le lien entre l’application thérapeutique différente et ce brevet ainsi que, d’autre part, si la portée dudit brevet doit correspondre à celle de l’AMM invoquée et, partant, se limiter à la nouvelle application thérapeutique correspondant à l’indication de cette AMM. »

Ce qui factuellement, s’exprime ainsi :

36      Or, il importe d’avoir égard à la circonstance que, dans l’affaire au principal, la juridiction de renvoi doit décider si une demande de CCP portant sur la ciclosporine, pour son utilisation dans le traitement de la kératite, peut être acceptée sur le fondement de l’AMM en cause, laquelle a été délivrée pour l’Ikervis le 19 mars 2015, alors même que le 23 décembre 1983, une AMM avait déjà été délivrée pour une autre application thérapeutique de la ciclosporine.

On notera que la 1^ère AMM retenue par l’INPI étant antérieure au 1^er janvier 1985, elle échapperait au règlement 469/2009. Cet argument opposé par le gouvernement NL pour rendre irrecevable cette demande de la juridiction française n’a pas été retenu par la Cour de justice.

La Grande Chambre de la CJUE fait preuve de pédagogie.

• Le sens de l’article 3 d)

37      Ainsi, afin d’apporter une réponse utile à la juridiction de renvoi, il convient d’examiner si l’article 3, sous d), du règlement n^o 469/2009 doit être interprété en ce sens qu’une AMM peut être considérée comme étant la première AMM, au sens de cette disposition, lorsque celle-ci porte sur une nouvelle application thérapeutique d’un principe actif, ou d’une combinaison de principes actifs, qui a déjà fait l’objet d’une AMM pour une autre application thérapeutique.

• Produit ?

40      Aux termes de cette disposition, on entend par « produit », le principe actif ou la composition de principes actifs d’un médicament.

41      En l’absence de toute définition de la notion de « principe actif » dans le règlement n^o 469/2009, la détermination de la signification et de la portée de ces termes doit être établie en considération du contexte général dans lequel ils sont utilisés et conformément à leur sens habituel dans le langage courant ………….

42      À cet égard, la Cour a déjà jugé que la notion de « principe actif » n’inclut pas, dans son acception commune en pharmacologie, les substances entrant dans la composition d’un médicament qui n’exercent pas une action propre sur l’organisme humain ou animal………….et que cette notion, aux fins de l’application du règlement n^o 469/2009, se rapporte aux substances produisant une action pharmacologique, immunologique ou métabolique propre ………..Il s’ensuit que ladite notion renvoie aux substances qui ont au moins un effet thérapeutique propre.

• Le critère relatif aux « applications thérapeutiques » serait-il indifférent car inclus dans la notion de « produit » ?

43      Par ailleurs, il résulte d’une lecture conjointe de l’article 1^er, sous b), et de l’article 4 du règlement n^o 469/2009 que la notion de « produit » s’entend, aux fins de l’application dudit règlement, du principe actif ou de la composition de principes actifs d’un médicament, sans qu’il y ait lieu d’en limiter la portée à une seule des applications thérapeutiques auxquelles un tel principe actif, ou qu’une telle combinaison de principes actifs, peut donner lieu.

44      En effet, selon ledit article 4, la protection conférée au produit par le CCP, si elle ne s’étend qu’au seul produit couvert par l’AMM, vaut en revanche pour toute utilisation de ce produit, en tant que médicament, qui a été autorisée avant l’expiration du CCP. Il s’ensuit que la notion de « produit », au sens du règlement n^o 469/2009, n’est pas dépendante de la manière dont ce produit est utilisé et que la destination du médicament ne constitue pas un critère déterminant pour la délivrance d’un CCP …………

45      Une telle interprétation est corroborée par l’analyse de la genèse du règlement n^o 469/2009. Ainsi, le point 11 de l’exposé des motifs de la proposition de règlement (CEE) du Conseil, du 11 avril 1990, concernant la création d’un certificat complémentaire de protection pour les médicaments [COM(90) 101 final], à l’origine du règlement n^o 1768/92, lui-même abrogé et remplacé par le règlement n^o 469/2009, indique que le terme « produit » est entendu au sens strict de principe actif et que des changements mineurs apportés au médicament, tels un nouveau dosage, l’emploi d’un sel ou d’un ester différent ou encore une forme pharmaceutique différente, ne sont pas susceptibles de donner lieu à un nouveau CCP ……….

46      Or, cette conception stricte de la notion de « produit » s’est matérialisée à l’article 1^er, sous b), du règlement n^o 469/2009, lequel définit ladite notion par référence à un principe actif ou à une composition de principes actifs et non pas à l’application thérapeutique d’un principe actif protégé par le brevet de base ou d’une combinaison de principes actifs protégée par ledit brevet.

47      Il découle des considérations qui précèdent que l’article 1^er, sous b), du règlement n^o 469/2009 doit être interprété en ce sens que le fait qu’un principe actif, ou une combinaison de principes actifs, soit utilisé aux fins d’une nouvelle application thérapeutique ne lui confère pas la qualité de produit distinct dès lors que le même principe actif, ou la même combinaison de principes actifs, a été utilisé aux fins d’une autre application thérapeutique déjà connue.

• Une AMM qui n’entre pas dans le champs du brevet de base, peut-elle exclure que l’AMM qui elle entre dans le champs de base soit retenue valablement à la demande de CCP ?

L’ AMM qui peut conduire au rejet de la demande de CPP n’est pas nécessairement dans le champs du brevet

48      En second lieu, il convient de déterminer si une AMM délivrée pour une nouvelle application thérapeutique d’un principe actif, ou d’une combinaison de principes actifs, peut être considérée comme étant la première AMM délivrée pour ce produit en tant que médicament, au sens de l’article 3, sous d), du règlement n^o 469/2009, dans le cas où cette AMM est la première AMM à relever du champ de protection du brevet de base invoqué à l’appui de la demande de CCP.

49      Selon la condition de délivrance d’un CCP posée à cette disposition, l’AMM obtenue pour le produit faisant l’objet de la demande de CCP doit, à la date de cette demande, être la première AMM de ce produit en tant que médicament dans l’État membre où est présentée ladite demande.

50      À cet égard, le libellé de ladite disposition ne se réfère pas au champ de protection du brevet de base.

• La Cour de justice contredit son analyse de l’arrêt Neurim

51      En outre, à la lumière de la définition stricte de la notion de « produit », au sens de l’article 1^er, sous b), du règlement n^o 469/2009, résultant des points 40 à 45 du présent arrêt, l’analyse des termes de l’article 3, sous d), de ce règlement suppose que la première AMM du produit en tant que médicament, au sens de cette disposition, désigne la première AMM d’un médicament incorporant le principe actif ou la combinaison de principes actifs en cause…, et ce quelle qu’ait été l’application thérapeutique de ce principe actif, ou de cette combinaison de principes actifs, pour laquelle cette AMM a été obtenue.

52      Or, considérer que la notion de « première AMM du produit en tant que médicament », au sens de l’article 3, sous d), du règlement n^o 469/2009 vise exclusivement la première AMM à relever du champ de protection du brevet de base invoqué à l’appui de la demande de CCP conduirait nécessairement à remettre en question cette définition stricte de la notion de « produit », au sens de l’article 1^er, sous b), de ce règlement, dès lors qu’il est possible, comme le précise l’article 1^er, sous c), dudit règlement, que le brevet de base en question ne couvre qu’une application thérapeutique du produit en cause. En effet, si tel était le cas, cette application thérapeutique pourrait justifier l’octroi d’un CCP en dépit de la circonstance que le même principe actif, ou la même combinaison de principes actifs, fait l’objet d’une autre application thérapeutique déjà connue et ayant donné lieu à une AMM antérieure.

53      Il s’ensuit que, contrairement à ce qu’a jugé la Cour au point 27 de l’arrêt Neurim, pour définir la notion de « première [AMM] du produit, en tant que médicament », au sens de l’article 3, sous d), du règlement n^o 469/2009, il n’y a pas lieu de prendre en compte le champ de protection du brevet de base.

La Cour dans cet arrêt du 9 juillet s’appuie sur le but recherché par le règlement.

54      De même, une analyse des objectifs du règlement n^o 469/2009 confirme cette interprétation.

55      Ainsi, il résulte du point 11 de l’exposé des motifs visé au point 45 du présent arrêt que le législateur de l’Union a entendu, en instituant le régime du CCP, favoriser la protection non pas de toute recherche pharmaceutique donnant lieu à la délivrance d’un brevet et à la commercialisation d’un nouveau médicament, mais de celle qui conduit à la première mise sur le marché d’un principe actif ou d’une combinaison de principes actifs en tant que médicament.

56      Or, il serait porté atteinte à un tel objectif s’il était possible, aux fins de remplir la condition prévue à l’article 3, sous d), du règlement n^o 469/2009, de tenir compte uniquement de la première AMM à relever du champ de protection du brevet de base couvrant une nouvelle application thérapeutique d’un principe actif donné, ou d’une combinaison de principes actifs donnée, et de faire abstraction d’une AMM délivrée antérieurement pour une autre application thérapeutique du même principe actif ou de la même combinaison…………

57      Cette interprétation permet encore de concilier de façon équilibrée, d’une part, l’objectif du régime de CCP, tel qu’il ressort des considérants 3 à 5 et 9 du règlement n^o 469/2009, consistant à pallier l’insuffisance de la protection conférée par le brevet à amortir les investissements effectués dans la recherche de nouveaux principes actifs ou combinaisons de principes actifs et, partant, à encourager cette recherche ainsi que, d’autre part, l’intention du législateur de l’Union, telle qu’elle résulte du considérant 10 dudit règlement, d’atteindre cet objectif de manière à tenir compte de tous les intérêts en jeu, y compris ceux de la santé publique, dans un secteur aussi complexe et sensible que le secteur pharmaceutique ………….

La Cour de justice le dit en termes clairs.

60      …………, doit être écartée et qu’une AMM pour une application thérapeutique d’un produit ne saurait être considérée comme la première AMM de ce produit en tant que médicament, au sens de l’article 3, sous d), du règlement n^o 469/2009, lorsqu’une autre AMM a été délivrée auparavant pour une application thérapeutique différente du même produit. Le fait que l’AMM la plus récente soit la première AMM à relever du champ de protection du brevet de base invoqué à l’appui de la demande de CCP ne saurait infirmer une telle interprétation.

61      À la lumière de l’ensemble des éléments qui précèdent, il convient de répondre aux questions posées que l’article 3, sous d), du règlement n^o 469/2009 doit être interprété en ce sens qu’une AMM ne peut pas être considérée comme étant la première AMM, au sens de cette disposition, lorsque celle-ci porte sur une nouvelle application thérapeutique d’un principe actif, ou d’une combinaison de principes actifs, qui a déjà fait l’objet d’une AMM pour une autre application thérapeutique.

Le droit dit par la Cour de justice

L’article 3, sous d), du règlement (CE) n^o 469/2009 du Parlement européen et du Conseil, du 6 mai 2009, concernant le certificat complémentaire de protection pour les médicaments, doit être interprété en ce sens qu’une autorisation de mise sur le marché ne peut pas être considérée comme étant la première autorisation de mise sur le marché, au sens de cette disposition, lorsque celle-ci porte sur une nouvelle application thérapeutique d’un principe actif, ou d’une combinaison de principes actifs, qui a déjà fait l’objet d’une autorisation de mise sur le marché pour une autre application thérapeutique.

L’article La Grande Chambre de la Cour de Justice reconnaît une erreur à l’arrêt Neurim est apparu en premier sur Philippe Schmitt Avocats.