1. Dans une communication du 15 janvier 20241, la Commission européenne procède, enfin, à l’évaluation et au réexamen des décisions d’adéquation adoptées par elle sous l’empire de la directive 95/46/CE2. Ce travail était attendu, d’abord et au plus tard, dans les trois ans de la transposition de la directive3. Puis, avec l’entrée en vigueur du RGPD, un suivi permanent devait être réalisé4. Ce retard n’est pas propre aux décisions prises sous l’empire de la directive. Les décisions d’adéquation5 adoptées sur le fondement du RGPD6 auraient dû être évaluées et réexaminées au 25 mai 2020, puis tous les quatre ans7. Seule en a fait l’objet la décision en faveur du Japon8. Rien ne permet d’anticiper une telle publication pour les autres. Si peu d’activité en la matière fait douter que les décisions d’adéquation soient de réels « instruments vivants »9, comme l’affirme pourtant la Commission. Le résultat auquel elle aboutit n’est d’ailleurs pas du bel effet, qui intervient alors que la CNIL lance une consultation publique sur l’analyse d’impact des transferts des données10.
2. Le retard pris est uniquement justifié par l’intervention de la décision Schrems I11, dans laquelle la Cour de justice, tout en annulant la première décision d’adéquation au profit des États-Unis, a précisé les exigences tirées du droit de l’Union. Le travail réalisé par la Commission n’en est pas moins remarquable par son ampleur. Il s’appuie sur un document de travail détaillé de près de 340 pages12 dans lesquelles sont analysées les évolutions du droit de la protection des données dans chacun des onze États concernés13 ainsi que les règles applicables à l’accès des autorités publiques locales aux données transférées depuis l’Union européenne, lequel est devenu un enjeu majeur en la matière. À cette occasion, elle ne manque pas de souligner le Brussels effect14, qui se traduit non seulement par un alignement15 ou des convergences16 avec le RGPD mais encore par un « effet de réseau » des décisions d’adéquation17. Elles inciteraient d’autres États tiers à faire confiance dans le niveau de protection des données garanti par un État bénéficiaire d’une décision d’adéquation européenne.
3. Le résultat est paradoxal. Il est surprenant (au plan juridique), sans l’être véritablement (au plan politique) tout en l’étant (considérant la cohérence des prises de position institutionnelles). Les conclusions de la Commission sont que chacun des onze États concernés continue de fournir un niveau adéquat de protection des données transférées sur son territoire depuis l’Union. Il est le produit d’une méthode qui, sans approfondir la législation de chacun des États concernés, manque de convaincre, notamment au regard des exigences de la Cour de justice.
Une méthode conciliante
4. S’agissant des données requises pour procéder à l’évaluation, à savoir les droits étrangers, la Commission européenne a réalisé une collecte massive d’informations, grâce à la coopération avec les États tiers et à d’autres sources. Elle a d’abord reçu des onze États concernés des informations sur l’évolution de leur droit de la protection des données. Ensuite, elle a recherché des informations détaillées sur l’accès des autorités publiques aux données transférées, consulté des sources publiques, les autorités de surveillance et experts locaux. S’en est suivi un intense dialogue avec chacun des États concernés ainsi qu’avec le Parlement européen, le Conseil et le groupe d’experts multipartite en charge d’assister la Commission à mettre en œuvre le RGPD. Enfin, chaque État concerné, dans le respect d’une forme de contradictoire, a eu la possibilité de vérifier l’exactitude des informations produites. La doctrine est absente de ce processus, malgré les analyses et recommandations qu’elle a pu formuler afin que certains des États concernés se conforment aux standards établis par le droit de l’Union18.
5. S’agissant de la grille d’évaluation, la Commission, bien qu’elle fasse référence aux arrêts Schrems I19 et Schrems II20 ainsi qu’aux travaux du groupe de travail « Article 29 » et aux recommandations du Comité européen de protection des données21, fait une lecture compréhensive et parcellaire de l’ensemble. Tout d’abord, elle rappelle, pour mieux en faire son mantra, la règle centrale posée par la Cour de justice pour contrevenir au principe d’interdiction du transfert22 : « l’expression "niveau de protection adéquat" doit être comprise comme exigeant que ce pays tiers assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des libertés et droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union »23. Il en résulte que les droits nationaux n’ont pas à être identiques, point par point, au droit de l’Union.
L’affirmation est vraie mais manque de nuance. Certains éléments de la protection sont fondamentaux pour l’Union, dans le double sens du terme. Ils sont consacrés dans l’article 8 de la Charte des droits fondamentaux de l’Union européenne. C’est, par exemple, l’exigence d’une autorité de contrôle indépendante.
7. Quoi qu’il en soit, la Commission procède à une évaluation détaillée du système étranger de protection des données, incluant non seulement les textes, leur mise en œuvre et leur application24. À l’analyse, le document de travail est une longue description des systèmes étrangers. Il n’est pas sans ressemblance, dans sa structure, avec les longs motifs des décisions d’adéquation adoptées sur le fondement du RGPD25. Il n’atteint toutefois pas le degré de précision de ces dernières. Il reste dépourvu de synthèse analytique propre à révéler le niveau de protection d’ensemble et comporte même quelques légèretés. Par exemple, s’agissant de l’Argentine, la Commission souligne qu’elle est liée par la Convention américaine des droits de l’homme et par la juridiction de la Cour interaméricaine des droits de l’homme, tout en relevant que cette dernière n’a pas étendu le droit au respect de la vie privée à la protection des données26. L’Andorre, l’Argentine, la Suisse et l’Uruguay sont encore crédités d’avoir ratifié la Convention 108+27 alors qu’elle est sans effet contraignant à défaut d’être entrée en vigueur28.
6. Ensuite, l’analyse est parcellaire s’agissant des règles applicables à l’accès des autorités publiques aux données transférées. Certes, la Commission fait référence aux exigences posées en la matière par les deux arrêts Schrems. Mais elle passe sous silence le « bloc de jurisprudence »29 particulièrement riche, en particulier d’arrêts de grande chambre, par lesquels la Cour de justice a fixé un haut degré d’exigence aux fins d’assurer la protection des personnes concernées contre des règles de surveillance excessives30. Cette jurisprudence est pourtant explicitée par le Comité européen de la protection des données lorsqu’il précise les exigences de l’arrêt Schrems II, en particulier31. Se dessine une grille d’analyse assez précise et exigeante, fonction du degré d’ingérence et du but poursuivi par les autorités publiques32, qui n’a pas d’écho dans l’évaluation commentée.
Des résultats fragiles
7. Pour chacun des onze États concernés, la conclusion est strictement identique : « sur la base des conclusions générales énoncées dans le document de travail, la Commission conclut que [l’État en cause] continue d’assurer un niveau de protection adéquat pour les données à caractère personnel transférées depuis l’UE ». À peine est-il nuancé pour l’Argentine, le Canada, et Israël pour lesquels la Commission ajoute qu’elle entend assurer un suivi de la densification normative de certaines règles. Ce premier examen n’aura pas d’autres suites que la poursuite du dialogue avec les autorités des États tiers.
8. Indépendamment du résultat de l’évaluation, ses suites contrastent avec les attentes suscitées par l’article 45.9 du RGPD. Ce dernier prévoit que les décisions d’adéquation adoptées sur le fondement de la directive 95/46/CE « demeurent en vigueur jusqu’à leur modification, leur remplacement ou leur abrogation ». La Commission maintient le statu quo et, ce faisant, fossilise de prétendus « instruments vivants ». De l’article 45.9, elle n’a retenu que la première partie33 et méconnu la compétence que lui confère la seconde. Cette dernière emporte une obligation d’adopter, sur le fondement du RGPD, de nouvelles décisions d’adéquation, a minima en remplacement de celles adoptées sur le fondement de la directive 95/46/CE. À rebours de cette lecture, la Commission n’envisage de revenir sur les onze décisions évaluées qu’en application de l’article 45.5 du RGPD et « en cas d’évolution dans un pays ou territoire adéquat qui aurait une incidence négative sur le niveau de protection des données constaté adéquat »34.
9. La position de la Commission est regrettable. Si elle présente l’opportunité de ne pas rouvrir un délai de deux mois dans lequel pourrait être entrepris un recours en annulation35, ce n’est qu’un avantage à court terme. L’adoption de décisions de remplacement apparaissait nécessaire pour mieux tenir compte des nombreuses évolutions apportées par le RGPD qui n’ont pas manqué d’accroître significativement le niveau de protection des données. L’adéquation du niveau de protection garanti par les onze États concernés serait sortie renforcée d’un nouvel examen respectueux des exigences posées par la Cour de justice, et plus pérenne, sauf à devoir être remis en cause.
10. Pour autant, les décisions d’adéquation n’échappent pas à tout recours. Comme la Cour de justice l’a indiqué, « même en présence d’une décision d’adéquation de la Commission, l’autorité nationale de contrôle compétente, saisie par une personne d’une réclamation relative à la protection de ses droits et de ses libertés à l’égard d’un traitement de données à caractère personnel la concernant, doit pouvoir examiner, en toute indépendance, si le transfert de ces données respecte les exigences posées par le RGPD et, le cas échéant, introduire un recours devant les juridictions nationales afin que ces dernières procèdent, si elles partagent les doutes de cette autorité quant à la validité de la décision d’adéquation, à un renvoi préjudiciel aux fins de l’examen de cette validité »36.
11. En conclusion, l’évaluation réalisée par la Commission apparaît contreproductive. Les rapports de confiance avec les États tiers qui sous-tendent la circulation des données ad extra n’en sortent pas renforcés. Toujours est-il que le statu quo demeure préservé jusqu’à un hypothétique renvoi préjudiciel qu’une cause singulière ou un chevalier blanc portera sur le plateau du Kirchberg.
1. Report from the Commission to the European Parliament and the Council on the first review of the functioning of the adequacy decisions adopted pursuant to Article 25(6) of Directive 95/46/EC, COM(2024) 7 final.
2. Dir. 95/46/CE du Parlement européen et du Conseil du 24 oct. 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
3. Dir. 95/46/CE, art. 33.
4. RGPD, art. 45.5.
5. Corée du Sud, Japon, Royaume-Uni et États-Unis (2 décis. successives).
6. Règl. (UE) 2016/679 du Parlement européen et du Conseil du 27 avr. 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la dir. 95/46/CE (RGPD).
7. RGPD, art. 97, §§ 1 et 2, a.
8. Report from the Commission to the European Parliament and the Council on the first review of the functioning of the adequacy decision for Japan, COM(2023) 725 final.
9. Report from the Commission (…), COM(2024) 7 final, préc., p. 2.
10. Analyse d’impact des transferts des données (AITD) : la CNIL vous consulte sur un projet de guide, cnil.fr, 8 janv. 2024.
11. CJUE, gr. ch., 6 oct. 2015, aff. C-362/14, AJDA 2015. 2257, chron. E. Broussy, H. Cassagnabère et C. Gänser 
; D. 2016. 111 , note B. Haftel ; ibid. 88, point de vue C. Castets-Renard ; ibid. 2025, obs. L. d’Avout et S. Bollée ; AJ pénal 2015. 601, obs. E. Daoud ; Dalloz IP/IT 2016. 26, étude C. Théard-Jallu, J.-M. Job et S. Mintz ; JAC 2015, n° 29, p. 11, obs. E. Scaramozzino ; JT 2015, n° 180, p. 14, obs. E. Scaramozzino ; Rev. crit. DIP 2022. 287, étude U. Kohl ; RTD eur. 2015. 786, obs. M. Benlolo-Carabot ; ibid. 2017. 361, obs. F. Benoît-Rohmer ; ibid. 365, obs. F. Benoît-Rohmer .
12. Country reports on the functioning of the adequacy decisions adopted under Directive 95/46/EC Accompanying the document Report from the Commission to the European Parliament and the Council on the first review of the functioning of the adequacy decisions adopted pursuant to Article 25(6) of Directive 95/46/EC, SWD(2024) 3 final.
13. L’Andorre, Argentine, Canada, Îles Féroé, Guernesey, Île de Man, Israël, Jersey, Nouvelle-Zélande, Suisse et Uruguay.
14. A. Bradford, The Brussels Effect. How the European Union rules the world, Oxford University Press, 2020.
15. Andorre, Îles Féroé, Jersey, Guernesey. L’Île de Man est concernée dans une moindre mesure, car des ajustements ont été réalisés pour adapter le texte au contexte local.
16. Nouvelle-Zélande, Suisse.
17. Report from the Commission …, COM(2024) 7 final, préc., p. 3.
18. V. par ex., S. Zimmermann, The legal framework of data protection in Israel : a European perspective, Eur. Data Prot. Law Review, 2019, p. 246.
19. Préc.
20. CJUE, gr. ch., 16 juill. 2020, aff. C-311/18, D. 2020. 2432 , note C. Castets-Renard ; ibid. 2022. 2002, obs. W. Maxwell et C. Zolynski ; AJ contrat 2020. 436 , obs. T. Douville ; Dalloz IP/IT 2020. 640, obs. B. Bertrand et J. Sirinelli ; Rev. crit. DIP 2020. 874, Eclairages A. d’Ornano ; ibid. 2022. 287, étude U. Kohl ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer .
21. Critères de référence pour l’adéquation, 28 nov. 2017, révisée et adoptée par le Comité européen de la protection des données le 6 févr. 2018.
22. L. Grynbaum, C. Le Goffic et L. Pallier, Droit des activités numériques, 2e éd., Dalloz, coll. « Précis », 2023, spéc. nos 1147 s.
23. CJUE, Schrems I, préc., pt 73 ; Schrems II, préc., pt 94.
24. Report from the Commission…, p. 4.
25. V. par ex., les 67 pages de motifs de la décision d’adéquation de la protection conférée par le Royaume-Uni, déc. d’exécution (UE) 2021/1772 de la Commission du 28 juin 2021 constatant, conformément au règl. (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le Royaume-Uni.
26. Country reports on the functioning of the adequacy decisions …, préc., p. 36-37.
27. Protocole d’amendement à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STCE n° 223).
28. 38 ratifications son requises à cette fin. Elles sont 31 à ce jour (22 janv. 2024).
29. B. Bertrand, Les blocs de jurisprudence, RTD eur. 2012. 741 .
30. Le point de départ peut être daté de l’arrêt Tele2 Sverige (CJUE 21 déc. 2016, aff. C‐203/15 et C‐698/15) qui a connu des suites majeures (not., CJUE 6 oct. 2020, La Quadrature du Net e.a., aff. C‐511/18, C‐512/18 et C‐520/18, AJDA 2020. 1880 ; D. 2021. 406, et les obs. , note M. Lassalle ; ibid. 2020. 2262, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; ibid. 2022. 2002, obs. W. Maxwell et C. Zolynski ; AJ pénal 2020. 531 ; Dalloz IP/IT 2021. 46, obs. E. Daoud, I. Bello et O. Pecriaux ; Légipresse 2020. 671, étude W. Maxwell ; ibid. 2021. 240, étude N. Mallet-Poujol ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 181, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer ; 6 oct. 2020, Privacy International, aff. C‐623/17, AJDA 2021. 387, chron. P. Bonneville, C. Gänser, S. Markarian et A. Iljic ; D. 2022. 2002, obs. W. Maxwell et C. Zolynski ; AJ pénal 2020. 531, obs. B. Nicaud ; Dalloz IP/IT 2021. 46, obs. E. Daoud, I. Bello et O. Pecriaux ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer ).
31. Recomm. 02/2020 sur les garanties essentielles européennes pour les mesures de surveillance, Comité européen de la protection des données, 18 juin 2021.
32. Sur laquelle, v. B. Bertrand, Les enjeux de la surveillance numérique, RTD eur. 2021. 175 .
33. Report from the Commission …, COM(2024) 7 final, préc., p. 1.
34. Ibid., p. 14.
35. TFUE, art. 263.6.
36. CJUE, Schrems II, préc., pt 120.
