Archives des Directive 95/46/CE - Philippe Schmitt Avocats https://www.schmitt-avocats.fr/tag/directive-9546ce/ Marques, modèles, brevets, données personnelles et industrielles. Mon, 19 May 2025 18:06:01 +0000 fr-FR hourly 1 https://www.schmitt-avocats.fr/wp-content/uploads/2024/08/cropped-LOGO-PSA-32x32.jpg Archives des Directive 95/46/CE - Philippe Schmitt Avocats https://www.schmitt-avocats.fr/tag/directive-9546ce/ 32 32 Consentement aux données personnelles, peut-on reprendre les solutions obtenues avec la directive 95/46 ? https://www.schmitt-avocats.fr/consentement-acces-donnees-personnelles-peut-on-reprendre-les-solutions-obtenues-avec-la-directive-9545/ Thu, 30 Nov 2017 13:42:38 +0000 http://www.schmitt-avocats.fr/?page_id=4484     Le Consentement sous la Directive 95/46 et le RGPD Une analyse comparative des exigences et des changements   Pour les PME-TPE, l’annonce de l’entrée en vigueur du RGPD donne des cauchemars à leurs dirigeants. Pourtant, ce n’est pas un grand saut dans le vide. Des solutions pragmatiques existent pour les entreprises qui n’ont

READ MORE

L’article Consentement aux données personnelles, peut-on reprendre les solutions obtenues avec la directive 95/46 ? est apparu en premier sur Philippe Schmitt Avocats.

]]>
Le Consentement RGPD vs Directive 95/46 : Évolution et Continuité

Le Consentement sous la Directive 95/46 et le RGPD

Une analyse comparative des exigences et des changements

Pour les PME-TPE, l'annonce de l'entrée en vigueur du RGPD donne des cauchemars à leurs dirigeants. Pourtant, ce n'est pas un grand saut dans le vide. Des solutions pragmatiques existent pour les entreprises qui n'ont pas des ressources internes suffisantes.

En bien des points le RGPD reprend des dispositions de la directive 95/46, mais son enseignement sera-t-il conservé après mai 2018 ?

Le RGPD organise de subtils équilibres entre les modalités du consentement de la personne concernée à l'accès aux données personnelles la concernant, la finalité de cet accès et la nature des données concernées. Des solutions existaient avec la directive 95/46 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Mais ces solutions seront-elles encore applicables à partir de mai 2018 ?

Données à caractère particulier : ce qui change

Pour certaines données, le RGPD prévoit un régime d'interdiction sauf certaines exceptions expressément prévues. Parmi ces exceptions - c'est-à-dire la finalité du traitement - figure l'action en justice.

Article 9 du RGPD - Traitement portant sur des catégories particulières de données

L'article 9.1 du RGPD interdit le traitement des données à caractère personnel qui révèle :

  • L'origine raciale ou ethnique
  • Les opinions politiques
  • Les convictions religieuses ou philosophiques
  • L'appartenance syndicale
  • Les données génétiques
  • Les données biométriques aux fins d'identifier une personne de manière unique
  • Les données concernant la santé
  • Les données concernant la vie sexuelle ou l'orientation sexuelle

Ces interdictions peuvent être levées dans des cas précis énumérés à l'article 9.2, notamment :

"f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;"

Parallèle avec l'article 8 de la directive 95/46

De telles données étaient déjà placées sous un régime d'interdiction d'accès à l'article 8 de la directive 95/46 du 24 octobre 1995, avec le tempérament de l'action en justice au point e :

Directive 95/46 (Article 8.2.e) RGPD (Article 9.2.f)
Le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice. Le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle.

Principes relatifs à la légitimation des traitements : Article 7 de la directive 95/46

Pour les données non particulières, qu'en est-il ? Leur accès est-il limité au consentement de la personne concernée même quand un tiers veut engager une action en justice et qui pour cette action a besoin de cette donnée personnelle ?

L'article 7 de la directive 95/46 disposait :

"Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :
a) la personne concernée a indubitablement donné son consentement
ou
[...]
f) il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er paragraphe 1."

Jurisprudence clé : Arrêt de la Cour de justice du 4 mai 2017

Les faits

Un simple accident matériel de la circulation en Lettonie : le passage d'un taxi en ouvrant sa portière heurte un tramway. La compagnie de tramway, s'étant vue refuser toute indemnisation par l'assurance du taxi, souhaite engager une procédure civile contre le passager.

La compagnie de tramway obtient de la police les nom et prénom du passager du taxi, mais un refus lui est opposé concernant son adresse et son numéro d'identification. La compagnie dépose un recours contre ce refus, recours accepté qui fait l'objet d'un pourvoi en cassation par la police.

L'interprétation de la Cour

La Cour de justice rappelle trois conditions cumulatives pour qu'un traitement de données à caractère personnel soit licite selon l'article 7, sous f), de la directive 95/46 :

  1. La poursuite d'un intérêt légitime par le responsable du traitement ou par le tiers auquel les données sont communiquées
  2. La nécessité du traitement des données pour la réalisation de l'intérêt légitime poursuivi
  3. La condition que les droits et libertés fondamentaux de la personne concernée ne prévalent pas

La Cour conclut que :

"L'article 7, sous f), de la directive 95/46/CE [...] doit être interprété en ce sens qu'il n'impose pas l'obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d'introduire un recours en indemnisation devant une juridiction civile [...]. Toutefois, l'article 7, sous f), de cette directive ne s'oppose pas à une telle communication sur la base du droit national."

Implications pour le consentement après le RGPD

Si la directive n'obligeait pas cette communication de données personnelles à un tiers pour qu'il engage une action en justice, l'accord de la personne concernée était requis sauf si une loi nationale en avait disposé autrement.

Comme le RGPD s'applique sans loi de transposition et qu'il souhaite une application uniforme dans l'ensemble de l'Union, l'accès à ces données personnelles nécessaires à une action en justice devrait être toujours conditionné à l'accord de la personne concernée si effectivement l'enseignement de la jurisprudence antérieure est maintenu après mai 2018.

Considérations pour les PME et TPE

Pour les entreprises, en particulier les PME et TPE qui disposent de ressources limitées, il est essentiel de comprendre ces subtilités. Le RGPD reprend en grande partie les principes de la directive 95/46, mais avec des nuances importantes concernant le consentement et l'accès aux données personnelles.

La mise en conformité nécessite une analyse approfondie des processus de traitement des données et une vérification des bases juridiques invoquées pour chaque traitement.

2021. Avant toute mise en œuvre, ce document doit être réactualisé.

L’article Consentement aux données personnelles, peut-on reprendre les solutions obtenues avec la directive 95/46 ? est apparu en premier sur Philippe Schmitt Avocats.

]]> les données personnelles à l’heure des collectes massives et de leur surveillance https://www.schmitt-avocats.fr/reglement-2016679-rgpd/donnees-personnelles-collectes-massives-surveillance/ Sat, 18 Jun 2016 12:55:51 +0000 http://www.schmitt-avocats.fr/?page_id=4086 Le contrôle de chaque citoyen européen sur les données personnelles qui le concernent, à l’heure des réseaux sociaux et des systèmes de surveillance de masse.Le droit à la protection des données personnelles constitue un droit fondamental de l’Union et l’exercice de ce droit nécessite un accès effectif à l’autorité nationale de contrôle pour assurer le

READ MORE

L’article les données personnelles à l’heure des collectes massives et de leur surveillance est apparu en premier sur Philippe Schmitt Avocats.

]]> Le contrôle de chaque citoyen européen sur les données personnelles qui le concernent, à l’heure des réseaux sociaux et des systèmes de surveillance de masse.Le droit à la protection des données personnelles constitue un droit fondamental de l’Union et l’exercice de ce droit nécessite un accès effectif à l’autorité nationale de contrôle pour assurer le respect des règles européennes.

L’événement juridique le plus médiatisé de ses dernières années et dont les conséquences l’ont été également, – de nouvelles règles à mettre en place et à respecter pour le transfert des données des citoyens européens notamment aux Etats-Unis d’Amérique du Nord par les opérateurs économiques – est, sans aucun doute, l’arrêt du 6 octobre 2015 de la Cour de Justice désigné sous le nom de Safe Harbour – appelé « sphère de sécurité » dans la version francophone de la décision de la Commission -,   bien qu’il devrait être nommé par le nom du requérant initial Maximilien Schrems.  L’arrêt est .

Cet arrêt de la Cour de justice  du 6 octobre 2015, C‑362/14, est intervenu sur une question préjudicielle de la juridiction irlandaise dans une procédure opposant Maximillian Schrems contre Data Protection Commissioner  en présence de Digital Rights Ireland Ltd.

 Quelques explications sur le litige tel que rapporté à l’arrêt

  • Un utilisateur de Facebook demande à l’autorité irlandaise de protection des données personnelles que ses données personnelles ne soient pas transférées aux Etats-Unis pour y être traitées.

26      M. Schrems, un ressortissant autrichien résidant en Autriche, est un utilisateur du réseau social Facebook (ci-après «Facebook») depuis l’année 2008.

27      Toute personne résidant sur le territoire de l’Union et désirant utiliser Facebook est tenue de conclure, lors de son inscription, un contrat avec Facebook Ireland, filiale de Facebook Inc., elle-même établie aux États-Unis. Les données à caractère personnel des utilisateurs de Facebook résidant sur le territoire de l’Union sont, en tout ou en partie, transférées vers des serveurs appartenant à Facebook Inc., situés sur le territoire des États-Unis, où elles font l’objet d’un traitement.

28      Le 25 juin 2013, M. Schrems a saisi le commissaire d’une plainte par laquelle il demandait en substance à celui-ci d’exercer ses compétences statutaires en interdisant à Facebook Ireland de transférer ses données à caractère personnel vers les États-Unis. Il y faisait valoir que le droit et les pratiques en vigueur dans ce pays ne garantissaient pas une protection suffisante des données à caractère personnel conservées sur le territoire de celui-ci contre les activités de surveillance qui y étaient pratiquées par les autorités publiques. M. Schrems se référait à cet égard aux révélations faites par M. Edward Snowden concernant les activités des services de renseignement des États-Unis, notamment celles de la National Security Agency (ci-après la «NSA»).

  • L’autorité irlandaise de contrôle sur le respect des dispositions relatives aux données personnelles s’en rapporte à la décision de la Commission du 26 juillet 2000

29      Considérant qu’il n’était pas tenu de procéder à une enquête sur les faits dénoncés par M. Schrems dans sa plainte, le commissaire a rejeté celle‑ci comme étant dépourvue de fondement. Ce dernier a, en effet, estimé qu’il n’existait pas de preuves que la NSA ait accédé aux données à caractère personnel de l’intéressé. Le commissaire a ajouté que les griefs soulevés par M. Schrems dans sa plainte ne pouvaient être utilement avancés, puisque toute question relative au caractère adéquat de la protection des données à caractère personnel aux États-Unis devait être tranchée en conformité avec la décision 2000/520 et que, dans cette décision, la Commission avait constaté que les États-Unis d’Amérique assuraient un niveau adéquat de protection.

  • Que dit cette décision 2000/520 de la Commission ?

La décision du 26 juillet 2000 de la Commission a été prise au regard de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à  la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données.

L’extrait ci-après de l’article 1er en indique l’essentiel :

 1. Aux fins de l’article 25 de la directive 95 /46/CE, pour toutes les activités rentrant dans le domaine d’application de ladite directive, il est considéré que les «principes de la « sphère de sécurité » relatifs à la protection de la vie privée» (ci-après dénommés «les principes visés à l’annexe I de la présente décision »), appliqués conformément aux orientations fournies par les «questions souvent posées» [«frequently asked questions» (FAQ)] publiées le 21 juillet 2000 par le ministère du commerce des États-Unis d’Amérique, visées à l’annexe II de la présente décision, assurent un niveau adéquat de protection des données à caractère personnel tansférées depuis la Communauté vers des organisations établies aux États-Unis compte tenu des documents suivants émis par le ministère du commerce des États-Unis: …..

  • L’affaire vient devant la juridiction irlandaise qui s’intéresse au caractère contraignant ou non de cette décision à l’encontre de son contrôleur de la protection des données personnelles

35      La High Court (Haute Cour de justice) observe, en outre, que M. Schrems, à l’occasion de son recours, dénonce en réalité la légalité du régime de la «sphère de sécurité» mis en place par la décision 2000/520 et dont procède la décision en cause au principal. Ainsi, même si M. Schrems n’a formellement contesté la validité ni de la directive 95/46 ni de la décision 2000/520, la question est posée, selon cette juridiction, de savoir si, du fait de l’article 25, paragraphe 6, de cette directive, le commissaire était lié par la constatation effectuée par la Commission dans cette décision, selon laquelle les États-Unis d’Amérique assurent un niveau de protection adéquat, ou si l’article 8 de la Charte autorisait le commissaire à s’affranchir, le cas échéant, d’une telle constatation.

La Cour de justice va confronté la décision de la Commission 2000/520 aux dispositions de la Charte

  • La Cour rattache à cette saisie de la juridiction irlandaise la question de la validité de cette décision de la Commission

67      Ainsi qu’il ressort des explications de la juridiction de renvoi relatives aux questions posées, M. Schrems fait valoir, dans la procédure au principal, que le droit et les pratiques des États-Unis n’assurent pas un niveau de protection adéquat au sens de l’article 25 de la directive 95/46. Comme l’a relevé M. l’avocat général aux points 123 et 124 de ses conclusions, M. Schrems émet des doutes, que cette juridiction paraît d’ailleurs partager en substance, concernant la validité de la décision 2000/520. Dans de telles circonstances, eu égard aux constatations faites aux points 60 à 63 du présent arrêt, et afin de donner une réponse complète à ladite juridiction, il convient d’examiner si cette décision est conforme aux exigences découlant de cette directive, lue à la lumière de la Charte.

Effectivement l’article 8 de la Charte de l’Union porte sur la Protection des données à caractère personnel :

1. Toute personne a droit à la protection des données à caractère personnel la concernant.

2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.

3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante.

La Charte de l’Union est .

La Charte de l’Union s’est vue reconnaitre la même valeur que les traités de l’Union par l’article 6 du Traité de Lisbonne. Le Traite de Lisbonne est .

  • La Cour indique que les autorités nationales de contrôle n’ont pas vu leur pouvoir exclu en cas de transfert des données hors de l’Union

56  En outre, il serait contraire au système mis en place par la directive 95/46 ainsi qu’à la finalité des articles 25 et 28 de celle-ci qu’une décision de la Commission adoptée au titre de l’article 25, paragraphe 6, de ladite directive ait pour effet d’empêcher une autorité nationale de contrôle d’examiner la demande d’une personne relative à la protection de ses droits et libertés à l’égard du traitement de ses données à caractère personnel qui ont été ou pourraient être transférées depuis un État membre vers un pays tiers visé par cette décision.

    57  Ni l’article 8, paragraphe 3, de la Charte ni l’article 28 de la directive 95/46 n’excluent du domaine de compétence des autorités nationales de contrôle le contrôle des transferts de données à caractère personnel vers des pays tiers ayant fait l’objet d’une décision de la Commission au titre de l’article 25, paragraphe 6, de cette directive.

Le contrôle par la Cour de Justice de  la décision de la Commission

  • La protection des données personnelles constitue un droit fondamental de l’Union et à ce titre la Commission ne dispose que d’un pouvoir réduit d’appréciation du niveau de protection pour prendre sa décision

78      À cet égard, il convient de constater que, compte tenu, d’une part, du rôle important que joue la protection des données à caractère personnel au regard du droit fondamental au respect de la vie privée et, d’autre part, du nombre important de personnes dont les droits fondamentaux sont susceptibles d’être violés en cas de transfert de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat, le pouvoir d’appréciation de la Commission quant au caractère adéquat du niveau de protection assuré par un pays tiers s’avère réduit, de sorte qu’il convient de procéder à un contrôle strict des exigences découlant de l’article 25 de la directive 95/46, lu à la lumière de la Charte (voir, par analogie, arrêt Digital Rights Ireland e.a., C‑293/12 et C‑594/12, EU:C:2014:238, points 47 et 48).

  • La Commission n’a pas suffisamment vérifié l’effectivité du niveau de protection aux Etats-Unis

83      En outre, en vertu de l’article 2 de la décision 2000/520, cette dernière «concerne uniquement le caractère adéquat de la protection fournie aux États-Unis par les principes [de la sphère de sécurité] mis en œuvre conformément aux FAQ en vue de répondre aux exigences de l’article 25, paragraphe 1, de la directive [95/46]», sans pour autant contenir les constatations suffisantes quant aux mesures par lesquelles les États-Unis d’Amérique assurent un niveau de protection adéquat, au sens de l’article 25, paragraphe 6, de cette directive, en raison de leur législation interne ou de leurs engagements internationaux.

86      Ainsi, la décision 2000/520 consacre la primauté des «exigences relatives à la sécurité nationale, [à] l’intérêt public et [au] respect des lois des États-Unis» sur les principes de la sphère de sécurité, primauté en vertu de laquelle les organisations américaines autocertifiées recevant des données à caractère personnel depuis l’Union sont tenues d’écarter, sans limitation, ces principes lorsque ces derniers entrent en conflit avec ces exigences et s’avèrent donc incompatibles avec celles‑ci.

87      Eu égard au caractère général de la dérogation figurant à l’annexe I, quatrième alinéa, de la décision 2000/520, celle-ci rend ainsi possible des ingérences, fondées sur des exigences relatives à la sécurité nationale et à l’intérêt public ou sur la législation interne des États-Unis, dans les droits fondamentaux des personnes dont les données à caractère personnel sont ou pourraient être transférées depuis l’Union vers les États-Unis. À cet égard, il importe peu, pour établir l’existence d’une ingérence dans le droit fondamental au respect de la vie privée, que les informations relatives à la vie privée concernées présentent ou non un caractère sensible ou que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence (arrêt Digital Rights Ireland e.a., C‑293/12 et C‑594/12, EU:C:2014:238, point 33 et jurisprudence citée).

S’agissant de la protection d’un droit fondamental, la Commission n’a pas pu valablement restreindre cette protection sans critère objectif et proportionné à l’objectif poursuivi par les autorités américaines.  C’est le caractère trop général de cette décision qui est sanctionné par la Cour de justice

92      En outre et surtout, la protection du droit fondamental au respect de la vie privée au niveau de l’Union exige que les dérogations à la protection des données à caractère personnel et les limitations de celle-ci s’opèrent dans les limites du strict nécessaire (arrêt Digital Rights Ireland e.a., C‑293/12 et C‑594/12, EU:C:2014:238, point 52 et jurisprudence citée).

93      Ainsi, n’est pas limitée au strict nécessaire une réglementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données [voir en ce sens, en ce qui concerne la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54), arrêt Digital Rights Ireland e.a., C‑293/12 et C‑594/12, EU:C:2014:238, points 57 à 61].

94      En particulier, une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée, tel que garanti par l’article 7 de la Charte (voir, en ce sens, arrêt Digital Rights Ireland e.a., C‑293/12 et C‑594/12, EU:C:2014:238, point 39).

  • L’absence de vérification par la Commission que les citoyens européens disposent  d’un droit de contrôle effectif par l’accès au juge équivalent à celui garanti dans l’ordre juridique de l’Union

95      De même, une réglementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective, tel que consacré à l’article 47 de la Charte. En effet, l’article 47, premier alinéa, de la Charte exige que toute personne dont les droits et libertés garantis par le droit de l’Union ont été violés ait droit à un recours effectif devant un tribunal dans le respect des conditions prévues à cet article. À cet égard, l’existence même d’un contrôle juridictionnel effectif destiné à assurer le respect des dispositions du droit de l’Union est inhérente à l’existence d’un État de droit (voir, en ce sens, arrêts Les Verts/Parlement, 294/83, EU:C:1986:166, point 23; Johnston, 222/84, EU:C:1986:206, points 18 et 19; Heylens e.a., 222/86, EU:C:1987:442, point 14, ainsi que UGT‑Rioja e.a., C‑428/06 à C‑434/06, EU:C:2008:488, point 80).

96      Ainsi qu’il a été constaté notamment aux points 71, 73 et 74 du présent arrêt, l’adoption par la Commission d’une décision au titre de l’article 25, paragraphe 6, de la directive 95/46 exige la constatation dûment motivée, de la part de cette institution, que le pays tiers concerné assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti dans l’ordre juridique de l’Union, tel qu’il ressort notamment des points précédents du présent arrêt.

97      Or, il y a lieu de relever que la Commission n’a pas fait état, dans la décision 2000/520, de ce que les États-Unis d’Amérique «assurent» effectivement un niveau de protection adéquat en raison de leur législation interne ou de leurs engagements internationaux.

  •  L’article 3 de la décision 2000/520 a limité le pouvoir de contrôle des autorités nationales

99      Il ressort des considérations exposées aux points 53, 57 et 63 du présent arrêt que, au regard de l’article 28 de la directive 95/46, lu à la lumière notamment de l’article 8 de la Charte, les autorités nationales de contrôle doivent pouvoir examiner, en toute indépendance, toute demande relative à la protection des droits et libertés d’une personne à l’égard du traitement de données à caractère personnel la concernant. Il en va en particulier ainsi lorsque, à l’occasion d’une telle demande, cette personne soulève des interrogations quant à la compatibilité d’une décision de la Commission adoptée au titre de l’article 25, paragraphe 6, de cette directive avec la protection de la vie privée et des libertés et droits fondamentaux des personnes.

100    Cependant, l’article 3, paragraphe 1, premier alinéa, de la décision 2000/520 prévoit une réglementation spécifique quant aux pouvoirs dont disposent les autorités nationales de contrôle au regard d’une constatation effectuée par la Commission relativement au niveau de protection adéquat, au sens de l’article 25 de la directive 95/46.

101    Ainsi, aux termes de cette disposition, ces autorités peuvent, «[s]ans préjudice de leurs pouvoirs de prendre des mesures visant à assurer le respect des dispositions nationales adoptées en application de dispositions autres que celles de l’article 25 de la directive [95/46], […] suspendre les flux de données vers une organisation adhérant aux principes [de la décision 2000/520]», dans des conditions restrictives établissant un seuil élevé d’intervention. Si cette disposition ne porte pas préjudice aux pouvoirs de ces autorités de prendre des mesures visant à assurer le respect des dispositions nationales adoptées en application de cette directive, elle exclut, en revanche, la possibilité pour lesdites autorités de prendre des mesures visant à assurer le respect de l’article 25 de cette même directive.

102    L’article 3, paragraphe 1, premier alinéa, de la décision 2000/520 doit donc être compris comme privant les autorités nationales de contrôle des pouvoirs qu’elles tirent de l’article 28 de la directive 95/46, dans le cas où une personne avance, à l’occasion d’une demande au titre de cette disposition, des éléments susceptibles de remettre en cause la compatibilité avec la protection de la vie privée et des libertés et droits fondamentaux des personnes d’une décision de la Commission ayant constaté, sur le fondement de l’article 25, paragraphe 6, de cette directive, qu’un pays tiers assure un niveau de protection adéquat.

103    Or, le pouvoir d’exécution accordé par le législateur de l’Union à la Commission à l’article 25, paragraphe 6, de la directive 95/46 ne confère pas à cette institution la compétence de restreindre les pouvoirs des autorités nationales de contrôle visés au point précédent du présent arrêt.

La Cour a donc annulé la décision de la Commission.

L’article les données personnelles à l’heure des collectes massives et de leur surveillance est apparu en premier sur Philippe Schmitt Avocats.

]]>