Dans son arrêt dit « Schrems II », la Cour de Justice de l'Union européenne (CJUE) s’est prononcée sur deux points :
-
La validité des clauses contractuelles types (CCT) de la Commission européenne et sur leur utilisation en cas de transfert de données à caractère personnel vers un pays tiers
La CJUE a consacré la validité de ces clauses, tout en indiquant que, pour les utiliser, il appartient au responsable de traitement, le cas échéant en collaboration avec le destinataire des données transférées, d’évaluer si, en pratique et pour le transfert envisagé, ces CCT permettent d’assurer aux données transférées un niveau de protection essentiellement équivalent à celui assuré en Union européenne. Si l’effet de ces clauses est limité ou totalement écarté par la législation du pays tiers applicable aux transferts de ces données, le responsable de traitement doit mettre en place des mesures supplémentaires pour assurer le niveau de protection des données requis ou notifier l’autorité de protection des données compétente son intention de continuer à transférer des données sans ces garanties.
-
La validité de la décision d’adéquation à l’égard des États-Unis (Privacy Shield)
La CJUE a analysé la législation américaine en matière d’accès aux données des fournisseurs de services Internet et entreprises de télécommunications par les services de renseignement américains (Section 702 FISA et Executive Order 12 333). Elle en a conclu que les atteintes portées à la vie privée des personnes dont les données sont traitées par les entreprises et opérateurs états-uniens soumis à cette législation sont disproportionnées au regard des exigences de la Charte des Droits Fondamentaux. En particulier, la Cour a jugé que la collecte des données par les services de renseignement n’est pas proportionnée et que les voies de recours, y compris juridictionnelles, dont disposent les personnes à l’égard du traitement de leurs données sont insuffisantes. La CJUE a dès lors invalidé cette décision d’adéquation de la Commission européenne.