Les données fournies par les résidants de l’Union à Facebook sont transférées, en tout ou partie, à partir de la filiale irlandaise de Facebook sur des serveurs situés sur le territoire des Etats-Unis, où elles font lobjet dun traitement.
Un citoyen autrichien, utilisant Facebook, a déposé une plainte auprès de lautorité irlandaise de contrôle, considérant quau vu des révélations faites en 2013 au sujet des activités des services de renseignement des Etats-Unis, le droit et les pratiques des Etats-Unis noffrent pas de protection suffisante contre la surveillance, par les autorités publiques, des données transférées vers ce pays, comme définie par la directive sur le traitement des données à caractère personnel.
Lautorité irlandaise a rejeté la plainte, au motif notamment que la Commission a considéré que les Etats-Unis assurent un niveau adéquat de protection aux données à caractère personnel transférées.
Saisie de laffaire, la High Court of Ireland (Haute Cour de justice irlandaise) souhaite savoir si
cette décision de la Commission a pour effet dempêcher une autorité nationale de contrôle
denquêter sur une plainte alléguant quun pays tiers nassure pas un niveau de protection adéquat et, le cas échéant, de suspendre le transfert de données contesté.
Dans un arrêt du 6 octobre 2015, la Cour de justice de l’Union européenne estime que la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées n’est pas valide.
Elle précise que les autorités nationales de contrôle peuvent examiner si le transfert des données dune personne vers ce pays respecte les exigences de la législation de lUnion relative à la protection de ces données, et ce même en présence dune décision de la Commission constatant quun pays tiers offre un niveau de protection adéquat des données personnelles.
En outre, elles peuvent saisir les juridictions nationales afin quelles procèdent à un renvoi préjudiciel aux fins de lexamen de la validité de cette décision.