Ordonnance T-562/19 du 2020-07-02

La Cour de justice de l’Union européenne, dans son arrêt du 16 juillet 2020, était saisie d’une question préjudicielle relative à la protection des données. Un opérateur économique contestait une décision d’une autorité de contrôle refusant le transfert de données personnelles vers un pays tiers. La procédure portait sur l’interprétation du règlement général sur la protection des données. La question de droit centrale concernait le niveau de protection exigé pour un transfert international. La Cour a jugé que le pays tiers doit assurer un niveau de protection substantiellement équivalent.

I. L’exigence d’une équivalence substantielle de protection

La Cour précise que la protection requise n’est pas identique mais doit être substantiellement équivalente à celle de l’Union. Elle fonde cette solution sur l’effet utile du règlement. Ainsi, « le niveau de protection assuré par le pays tiers doit être substantiellement équivalent à celui garanti au sein de l’Union » (point 104). Le sens de cette solution est de permettre une flexibilité sans compromettre les droits fondamentaux. Sa valeur réside dans la création d’un standard objectif pour évaluer les législations nationales. La portée de ce critère impose une analyse au cas par cas par les autorités de contrôle.

II. Le contrôle des garanties offertes par le pays tiers

La Cour impose un examen concret des éléments juridiques et pratiques du système du pays destinataire. Elle écarte toute présomption de conformité fondée sur des décisions antérieures de la Commission. La Cour énonce que « l’autorité de contrôle doit vérifier si le droit du pays tiers offre des garanties suffisantes pour assurer une protection effective » (point 112). Le sens de cette obligation est de responsabiliser les autorités nationales dans leur mission de contrôle. Sa valeur est de renforcer le pouvoir d’appréciation des autorités indépendantes. La portée de cet arrêt est majeure, car il encadre strictement tout transfert futur vers des États non membres.