Archives par mot-clé : DPF

Le Tribunal de l’UE valide le DPF : répit fragile pour les transferts transatlantiques de données

Publié le par

« Safe Harbor », « Privacy Shield », « Data Privacy Framework », … Les cadres transatlantiques UE-US de protection des données des Européens se suivent et… se ressemblent. L’actuel DPF a obtenu de la part du Tribunal de l’UE un sursis, mais un recours devant la CJUE est possible et risqué.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le Tribunal de l’Union européenne (TUE) a rendu, le 3 septembre 2025, une décision (1) qui marque un tournant dans la saga des transferts de données transatlantiques. Saisi par le député français Philippe Latombe, le TUE a confirmé la validité du Data Privacy Framework (DPF), l’accord adopté par la Commission européenne en juillet 2023 pour encadrer les flux de données personnelles vers les Etats-Unis.

Une histoire de rendez-vous manqués
Derrière ce sigle technique « DPF » se cache un enjeu colossal : le fonctionnement quotidien de milliers d’entreprises européennes, la protection des données de centaines de millions de citoyens et, plus largement, l’équilibre fragile entre sécurité nationale américaine et droits fondamentaux européens. L’histoire du DPF, censé fixer un cadre transatlantique de protection des données, s’inscrit dans une série d’accords avortés.
En 2015, la Cour de justice de l’Union européenne (CJUE) invalidait le Safe Harbor dans le cadre de l’affaire dite « Schrems I » (2) en raison de la surveillance de masse pratiquée par les Etats-Unis (3). Cinq ans plus tard, avec cette fois l’affaire « Schrems II » (4), c’était au tour du Privacy Shield de tomber, la CJUE jugeant que les recours offerts aux citoyens européens étaient illusoires face à la puissance des agences de renseignement américaines (5).
A chaque fois, le scénario fut identique : la Commission européenne tentait de bâtir un pont numérique avec Washington, immédiatement « dynamité » par la CJUE au nom de la protection des citoyens de l’Union européenne. De là naît une interrogation récurrente : peut-on réellement concilier le droit américain de la sécurité nationale et les exigences européennes en matière de vie privée ?
En juillet 2023, malgré de nombreuses frictions avec le droit de l’UE (6), la Commission européenne adoptait la décision (7) instaurant le DPF. A ses yeux, les Etats-Unis avaient corrigé les failles mises en lumière par Schrems II, notamment grâce au décret présidentiel pris par Joe Biden en 2022 – Executive Order n°14086 sur « le renforcement des garanties relatives aux activités de renseignement sur les transmissions des Etats-Unis » (8) – instaurant de nouveaux garde-fous et créant la Data Protection Review Court (DPRC). Mais très vite, la contestation s’est organisée. Philippe Latombe a saisi le Tribunal de l’UE pour (suite) obtenir l’annulation de cette décision. Son argumentaire reposait sur cinq moyens juridiques, allant de la violation des droits fondamentaux (9) à l’insuffisance des garanties prévues par le règlement général sur la protection des données (RGPD) (10). Selon le député français (MoDem), le DPF n’était qu’une version retouchée du Privacy Shield, condamné à subir le même sort. Dans son arrêt du 3 septembre 2025, le TUE balaie ces critiques. Certes, il reconnaît que le droit américain repose encore sur un décret présidentiel, donc un instrument réversible. Mais il estime qu’à la date de l’adoption de la décision d’adéquation, les garanties offertes suffisaient à assurer un niveau « substantiellement équivalent » à celui de l’UE, conformément à l’article 45 du RGPD (11).
Deux points retiennent particulièrement l’attention. D’abord, l’indépendance de la Data Protection Review Court (DPRC), que le TUE juge réelle malgré la création de ce tribunal américain de révision de la protection des données par voie exécutive. Les juges de cette cour spécialisée (12) sont nommés pour un mandat fixe et ne peuvent être révoqués qu’en cas de faute grave, ce qui constitue, selon le TUE, une garantie suffisante contre l’arbitraire (13). Ensuite, le rôle de la Commission européenne, érigée en vigie permanente : « Lorsqu’elle est en possession d’éléments indiquant qu’un niveau de protection adéquat n’est plus assuré, la Commission en informe les autorités des Etats-Unis et, si nécessaire, elle décide de suspendre, de modifier, d’abroger la décision attaquée ou d’en restreindre le champ d’application » (14). En somme, le TUE ne ferme pas les yeux sur les fragilités du système, mais choisit d’accorder le bénéfice du doute aux Etats-Unis, tout en rappelant la responsabilité de la Commission européenne.

Une victoire pour les entreprises…
L’arrêt du Tribunal de l’UE est d’abord un soulagement économique. Les entreprises européennes – de la startup exploitant une solution cloud américaine au groupe bancaire traitant des transactions transatlantiques – bénéficient ainsi d’un cadre juridique stabilisé. Elles n’ont plus à multiplier les montages juridiques complexes (clauses contractuelles types, audits techniques, mesures supplémentaires) pour transférer légalement des données aux Etats-Unis. La stabilité instaurée par le cadre transatlantique constitue un élément de sécurité juridique essentiel. Dans un contexte où l’économie numérique repose sur des échanges massifs d’informations, la moindre insécurité juridique peut coûter cher. Les avocats d’affaires le savent : une opération de fusion-acquisition ou un partenariat international peut être fragilisé si les flux de données ne reposent pas sur une base légale solide. L’arrêt du TUE offre donc une assise juridique bienvenue.

… mais une victoire fragile
Pour les défenseurs de la vie privée, le ton est bien différent. Le juriste autrichien Max Schrems (15) et son organisation non gouvernementale Noyb (nom issu du slogan « None Of Your Business ») dénoncent une décision complaisante, qui, selon lui, se satisfait de garanties superficielles. Leur argument est simple : ce qui est fondé sur un décret présidentiel peut être défait par un autre décret (16). Qu’adviendrait-il si Donald Trump – multipliant les « Executive Order » – ou une future administration américaine décidait d’assouplir les contraintes imposées aux agences de renseignement ?
Le risque est d’autant plus grand que la jurisprudence de la CJUE en matière de transferts est constante : elle exige des garanties effectives et durables, pas de simples promesses politiques. « Il est clair que le tribunal de première instance s’écarte ici massivement de la jurisprudence de la CJUE. Nous sommes très surpris de ce résultat. Il se peut que le [TUE] n’ait pas disposé de suffisamment de preuves – ou qu’il veuille s’écarter de la CJUE », a commenté Max Schrems, à l’origine des affaires « Schrems I » et « Schrems II ». Le Tribunal de l’UE a choisi une lecture pragmatique, mais la CJUE, en cas de pourvoi, pourrait se montrer plus sévère.
Pour les particuliers, tout du moins pour les 450 millions d’Européens, la question n’est pas théorique. Chaque jour, leurs données (photos, e-mails, dossiers médicaux ou financiers) traversent l’Atlantique. Le DPF prétend leur offrir un recours effectif en cas d’abus, via la DPRC. Mais combien d’Européens saisiront effectivement cette juridiction américaine spécialisée ? Combien même en auront connaissance ? Le paradoxe est là : juridiquement, un mécanisme existe ; sociologiquement, il restera probablement invisible pour la grande majorité des citoyens. Ce décalage entre le droit sur le papier et la protection vécue nourrit la méfiance des associations de défense des consommateurs et des droits numériques. L’histoire nous a appris à la prudence. Chaque accord validé par la Commission européenne a fini devant la CJUE, et chaque fois, celle-ci a tranché en faveur d’une protection stricte des droits fondamentaux. Le DPF fera-t-il exception ? Rien n’est moins sûr. Un pourvoi est possible et, si la CJUE reprend la main, la bataille judiciaire pourrait durer encore plusieurs années. Selon les règles de procédure de l’UE, le délai pour introduire un pourvoi devant la CJUE est de deux mois à compter de la notification de l’arrêt du Tribunal. L’arrêt ayant été rendu le 3 septembre 2025, le citoyen français Philippe Latombe a donc jusqu’au 4 novembre 2025 pour faire appel. Et un éventuel arrêt « Schrems III » pourrait tomber entre fin 2026 et mi-2027.
En attendant, les entreprises disposent d’une fenêtre de stabilité, mais une stabilité conditionnée : l’obligation de la Commission européenne de surveiller en continu l’application du DPF est une épée de Damoclès. Les juristes d’entreprise et les avocats savent qu’il faut rester vigilants, intégrer des clauses de sauvegarde et anticiper l’hypothèse d’un retour à l’insécurité juridique. Le jugement du 3 septembre 2025 ne règle donc pas définitivement la question des transferts transatlantiques, mais il offre un répit. Ce répit est précieux pour l’économie numérique européenne, qui repose sur la fluidité des données, et un répit stratégique pour la Commission européenne, qui peut désormais surveiller la mise en œuvre américaine. « La décision rendue par le TUE confirmant la décision d’adéquation sous-jacente à ce cadre [DPF] est une victoire pour les plus de 3.400 entreprises américaines qui dépendent des flux de données transatlantiques pour mener à bien leurs activités », a déclaré William Kimmitt, sous-secrétaire américain au Commerce international (ITA), le 3 septembre 2025 (17), auprès de l’Association internationale des professionnels de la protection de la vie privée (IAPP). Quant à la Business Software Alliance (BSA), elle s’est aussi félicitée : « Ce résultat apporte stabilité et assurance aux entreprises et aux consommateurs des deux côtés de l’Atlantique » (18).

Incertitude : vers un « Schrems III » ?
Reste une interrogation : s’agit-il d’une victoire durable, marquant enfin la fin de la saga des Safe Harbor et Privacy Shield, ou d’un simple sursis avant un nouvel épisode Schrems III ?
Une chose est certaine : le droit des données personnelles n’est pas une matière figée. Il évolue au gré des rapports de force politiques, des révélations technologiques et des arbitrages judiciaires. L’arrêt du TUE rappelle que l’équilibre entre protection des droits et circulation des données reste fragile. Pour les avocats, il confirme surtout une leçon : dans le domaine des transferts internationaux, la seule constante est l’incertitude. @

* Anne-Marie Pecoraro est avocate spécialisée
en droit de la propriété intellectuelle,
des médias et des technologies.

Transfert des données de l’UE vers les US : illégal ?

Publié le par

En fait. Le 18 mars était le dernier jour pour deux démocrates américains, Rebecca Kelly Slaughter et Alvaro Bedoya, jusqu’alors commissaires au sein de la Federal Trade Commisson (FTC), laquelle surveille – avec le PCLOB – le respect des données personnelles transférées d’Europe par les entreprises américaines.

En clair. Donald Trump a congédié Rebecca Kelly Slaughter (1) et Alvaro Bedoya (2), dont les mandats de commissaire à l’agence fédérale américaine – en charge notamment de la protection des données personnelles – se sont terminés le 18 mars dernier. Ces démissions forcées à caractère politique – les deux sont affiliés au Parti démocrate américain – ont été décidées par le locataire de la Maison-Blanche deux mois après que celui-ci ait limogé Sharon Bradford Franklin – elle aussi démocrate – de la présidence du Privacy and Civil Liberties Oversight Board (PCLOB), avec deux de ses membres démocrates, Edward Felten et Travis LeBlanc (3). Cette autre agence gouvernementale, censée elle aussi être indépendante, est chargée de veiller entre autres au respect de la vie privée.
Le point commun de ces limogeages prononcés par le 47e président des Etats-Unis est qu’ils ont un impact direct sur le Data Privacy Framework (DPF), cet accord transatlantique établissant le cadre réglementaire du transfert des données personnelles des Européens vers les Etats-Unis – notamment vers les Gafam et les géants du cloud américain que sont Amazon Web Services (AWS), Google Cloud et Microsoft Azure). Car la FTC et le PCLOB étaient (suite)

chargés de veiller au bon respect des normes de protection des données personnelles venues de l’Union européenne. Or le sujet est hypersensible depuis le scandale « Cambridge Analytica » de Facebook, d’une part, et les annulations des « décision d’adéquation » Safe Harbor (« Schrems I » de 2015) et Privacy Shield (« Schrems II » de 2020), d’autre part.
Après l’accord de Joe Biden le 7 octobre 2022 (4), la Commission européenne avait adopté le 10 juillet 2023 la troisième « décision d’adéquation » (5) permettant le transfert des données personnelles de l’UE vers les Etats-Unis. Ces limogeages au sein des garde-fous (FTC et PCLOB), censés protéger les données personnelles européennes sur le sol américain, remettent en cause cet accord. « Le cloud américain bientôt illégal ? », s’interroge Max Schrems (6), à l’origine des deux premières annulations. Beth A. Williams, membre républicaine du PCLOB est venue le 14 mars à Bruxelles pour tenter de rassurer Michael Mc Grath (7), le commissaire européen chargé notamment de la protection des consommateurs. Et ce, à l’heure où le climat économique s’assombrit à cause de la guerre des droits de douane déclenchée par Donald Trump. @