Le Tribunal de l’UE valide le DPF : répit fragile pour les transferts transatlantiques de données

« Safe Harbor », « Privacy Shield », « Data Privacy Framework », … Les cadres transatlantiques UE-US de protection des données des Européens se suivent et… se ressemblent. L’actuel DPF a obtenu de la part du Tribunal de l’UE un sursis, mais un recours devant la CJUE est possible et risqué.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le Tribunal de l’Union européenne (TUE) a rendu, le 3 septembre 2025, une décision (1) qui marque un tournant dans la saga des transferts de données transatlantiques. Saisi par le député français Philippe Latombe, le TUE a confirmé la validité du Data Privacy Framework (DPF), l’accord adopté par la Commission européenne en juillet 2023 pour encadrer les flux de données personnelles vers les Etats-Unis.

Une histoire de rendez-vous manqués
Derrière ce sigle technique « DPF » se cache un enjeu colossal : le fonctionnement quotidien de milliers d’entreprises européennes, la protection des données de centaines de millions de citoyens et, plus largement, l’équilibre fragile entre sécurité nationale américaine et droits fondamentaux européens. L’histoire du DPF, censé fixer un cadre transatlantique de protection des données, s’inscrit dans une série d’accords avortés.
En 2015, la Cour de justice de l’Union européenne (CJUE) invalidait le Safe Harbor dans le cadre de l’affaire dite « Schrems I » (2) en raison de la surveillance de masse pratiquée par les Etats-Unis (3). Cinq ans plus tard, avec cette fois l’affaire « Schrems II » (4), c’était au tour du Privacy Shield de tomber, la CJUE jugeant que les recours offerts aux citoyens européens étaient illusoires face à la puissance des agences de renseignement américaines (5).
A chaque fois, le scénario fut identique : la Commission européenne tentait de bâtir un pont numérique avec Washington, immédiatement « dynamité » par la CJUE au nom de la protection des citoyens de l’Union européenne. De là naît une interrogation récurrente : peut-on réellement concilier le droit américain de la sécurité nationale et les exigences européennes en matière de vie privée ?
En juillet 2023, malgré de nombreuses frictions avec le droit de l’UE (6), la Commission européenne adoptait la décision (7) instaurant le DPF. A ses yeux, les Etats-Unis avaient corrigé les failles mises en lumière par Schrems II, notamment grâce au décret présidentiel pris par Joe Biden en 2022 – Executive Order n°14086 sur « le renforcement des garanties relatives aux activités de renseignement sur les transmissions des Etats-Unis » (8) – instaurant de nouveaux garde-fous et créant la Data Protection Review Court (DPRC). Mais très vite, la contestation s’est organisée. Philippe Latombe a saisi le Tribunal de l’UE pour (suite)

Transfert des données de l’UE vers les US : illégal ?

En fait. Le 18 mars était le dernier jour pour deux démocrates américains, Rebecca Kelly Slaughter et Alvaro Bedoya, jusqu’alors commissaires au sein de la Federal Trade Commisson (FTC), laquelle surveille – avec le PCLOB – le respect des données personnelles transférées d’Europe par les entreprises américaines.

En clair. Donald Trump a congédié Rebecca Kelly Slaughter (1) et Alvaro Bedoya (2), dont les mandats de commissaire à l’agence fédérale américaine – en charge notamment de la protection des données personnelles – se sont terminés le 18 mars dernier. Ces démissions forcées à caractère politique – les deux sont affiliés au Parti démocrate américain – ont été décidées par le locataire de la Maison-Blanche deux mois après que celui-ci ait limogé Sharon Bradford Franklin – elle aussi démocrate – de la présidence du Privacy and Civil Liberties Oversight Board (PCLOB), avec deux de ses membres démocrates, Edward Felten et Travis LeBlanc (3). Cette autre agence gouvernementale, censée elle aussi être indépendante, est chargée de veiller entre autres au respect de la vie privée.
Le point commun de ces limogeages prononcés par le 47e président des Etats-Unis est qu’ils ont un impact direct sur le Data Privacy Framework (DPF), cet accord transatlantique établissant le cadre réglementaire du transfert des données personnelles des Européens vers les Etats-Unis – notamment vers les Gafam et les géants du cloud américain que sont Amazon Web Services (AWS), Google Cloud et Microsoft Azure). Car la FTC et le PCLOB étaient (suite)