Le Tribunal de l’UE valide le DPF : répit fragile pour les transferts transatlantiques de données

« Safe Harbor », « Privacy Shield », « Data Privacy Framework », … Les cadres transatlantiques UE-US de protection des données des Européens se suivent et… se ressemblent. L’actuel DPF a obtenu de la part du Tribunal de l’UE un sursis, mais un recours devant la CJUE est possible et risqué.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le Tribunal de l’Union européenne (TUE) a rendu, le 3 septembre 2025, une décision (1) qui marque un tournant dans la saga des transferts de données transatlantiques. Saisi par le député français Philippe Latombe, le TUE a confirmé la validité du Data Privacy Framework (DPF), l’accord adopté par la Commission européenne en juillet 2023 pour encadrer les flux de données personnelles vers les Etats-Unis.

Une histoire de rendez-vous manqués
Derrière ce sigle technique « DPF » se cache un enjeu colossal : le fonctionnement quotidien de milliers d’entreprises européennes, la protection des données de centaines de millions de citoyens et, plus largement, l’équilibre fragile entre sécurité nationale américaine et droits fondamentaux européens. L’histoire du DPF, censé fixer un cadre transatlantique de protection des données, s’inscrit dans une série d’accords avortés.
En 2015, la Cour de justice de l’Union européenne (CJUE) invalidait le Safe Harbor dans le cadre de l’affaire dite « Schrems I » (2) en raison de la surveillance de masse pratiquée par les Etats-Unis (3). Cinq ans plus tard, avec cette fois l’affaire « Schrems II » (4), c’était au tour du Privacy Shield de tomber, la CJUE jugeant que les recours offerts aux citoyens européens étaient illusoires face à la puissance des agences de renseignement américaines (5).
A chaque fois, le scénario fut identique : la Commission européenne tentait de bâtir un pont numérique avec Washington, immédiatement « dynamité » par la CJUE au nom de la protection des citoyens de l’Union européenne. De là naît une interrogation récurrente : peut-on réellement concilier le droit américain de la sécurité nationale et les exigences européennes en matière de vie privée ?
En juillet 2023, malgré de nombreuses frictions avec le droit de l’UE (6), la Commission européenne adoptait la décision (7) instaurant le DPF. A ses yeux, les Etats-Unis avaient corrigé les failles mises en lumière par Schrems II, notamment grâce au décret présidentiel pris par Joe Biden en 2022 – Executive Order n°14086 sur « le renforcement des garanties relatives aux activités de renseignement sur les transmissions des Etats-Unis » (8) – instaurant de nouveaux garde-fous et créant la Data Protection Review Court (DPRC). Mais très vite, la contestation s’est organisée. Philippe Latombe a saisi le Tribunal de l’UE pour (suite)

Donald Trump, qui aime être appelé « président de l’Europe », s’en prend aux lois numériques de l’UE

A peine la présidente de la Commission européenne Ursula von der Leyen avait-elle signé le 21 août un accord commercial et douanier avec le président des Etats-Unis Donald Trump que celui-ci lançait une charge contre la législation numérique des Vingt-sept. Comme tétanisé, Bruxelles ne lui a pas répondu.

(Au moment où nous publiions le 5 septembre cet article dans EM@, la Commission européenne infligeait à Google 2,95 milliards d’euros d’amende, fâchant encore Trump)

Cinq jours à peine après avoir signé tout sourire avec Ursula von der Leyen (photo de droite) les conclusions d’un accord commercial sur les droits de douane entre les Etats-Unis et l’Union européenne (1), Donald Trump (photo de gauche) lançait, le 26 août, une charge virulente – avec menaces de représailles douanières – contre la législation numérique des Vingt-sept : « En tant que président des Etats-Unis, je m’opposerai aux pays qui attaquent nos incroyables entreprises technologiques américaines. Les taxes numériques, la législation sur les services numériques et la réglementation des marchés numériques sont toutes conçues pour nuire à la technologie américaine ou la discriminer. Ils donnent aussi, outrageusement, un laissez-passer complet aux plus grandes entreprises technologiques chinoises. Cela doit cesser, et se terminer MAINTENANT ! », a lancé ce jour-là le 47e président des Etats-Unis sur son réseau social (2). Depuis cette offensive, aucune réplique n’est intervenue de la part de la Commission européenne, que cela soit de sa présidente Ursula von der Leyen ou de sa vice-présidente chargée du numérique Henna Virkkunen. Pourtant, Donald Trump visait explicitement les taxes sur les services numérique (TSN), le Digital Services Act (DSA) ou encore le Digital Markets Act (DMA).

Von der Leyen reste sans voix face à Trump
Le locataire de la Maison-Blanche a même menacé l’Europe – sans la nommer tant la cible est claire – de représailles douanières si ces réglementations – qu’il a qualifiées de « discriminatoires » – n’étaient pas abolies. Dans ce post menaçant l’Union européenne comme le reste du monde, Donald Trump a brandi son arme douanière favorite : « Avec cette VÉRITÉ [sic], j’avertis tous les pays ayant des taxes, des lois, des règles ou des réglementations numériques qu’à moins que ces actions discriminatoires ne soient supprimées, moi, en tant que président des Etats-Unis, j’imposerai des droits de douane supplémentaires substantiels sur les exportations de ce pays vers les Etats-Unis et instituerai des restrictions à l’exportation sur notre technologie et nos puces hautement protégées. L’Amérique et les entreprises technologiques américaines ne sont (suite)

Droits voisins : les Etats de l’UE peuvent obliger les réseaux sociaux à rémunérer la presse

Ce ne sont que les conclusions de l’avocat général rendues cet été, mais elles ont de grandes chances d’être suivies par la Cour de justice de l’Union européenne (CJUE) : les réseaux sociaux peuvent être obligés par les Etats membres à rémunérer la presse pour ses contenus qu’ils utilisent.

Les conclusions de l’avocat général de la Cour de justice de l’Union européenne (CJUE) – le Polonais Maciej Szpunar (photo) – ont été rendues le 10 juillet 2025. L’arrêt est donc attendu entre octobre et janvier prochains. Statistiquement, la CJUE suit les conclusions de l’avocat général dans environ 70 % à 80 % des affaires. En substance : « Les Etats membres peuvent adopter des mesures de soutien pour garantir l’effectivité des droits des éditeurs de presse pour autant que ces mesures ne portent pas atteinte à la liberté contractuelle » (1).

Les réseaux sociaux sont bien concernés
Avant d’en venir au fond de l’affaire qui opposait Meta Platforms (Facebook) au régulateur italien des communications (Agcom (2)) sur la question de la rémunération de la presse au titre des droits voisins, signalons que l’avocat général a tenu à lever le doute sur le cas des réseaux sociaux. Car lors de l’audience du 10 février 2025, la CJUE avait posé la question aux participants de savoir si les réseaux sociaux étaient soumis aux droits voisins consacrés par l’article 15 de la directive « Droit d’auteur et droits voisins dans le marché unique numérique » (« Copyright » (3)) ou en sont au contraire exemptés en tant qu’hébergeur aux responsabilités néanmoins renforcées par l’article 17 de cette même directive. Par cette question générale, les éditeurs en Europe, y compris leurs organisations professionnelles comme l’Alliance de la presse d’information générale (Apig) en France, s’étaient fortement inquiétés du risque de voir les réseaux sociaux comme Facebook, X ou encore LinkedIn échapper aux droits voisins et de n’avoir ainsi rien à payer aux médias pour les contenus qu’ils utilisent. Cette éventualité aurait été redoutable pour les journaux en ligne des Vingt-sept.
Or les conclusions de l’avocat général, (suite)

Culture et médias, l’UE vise 8,5 milliards d’euros

En fait. Le 16 juillet, la Commission européenne a présenté son projet de budget pluriannuel 2028-2034 pour l’UE, à près de 2.000 milliards d’euros. Parmi les priorités : la création d’un programme « culture, audiovisuel et médias » appelé AgoraEU, de 8,5 milliards d’euros. Il remplacera Creative Europe/Media.

En clair. 8.582.000.000 euros. C’est le mondant de l’enveloppe financière proposée le 16 juillet par la Commission européenne sur la période 2028-2034 pour le futur programme AgoraEU. Il est destiné à « promouvoir des valeurs communes, notamment la démocratie, l’égalité et l’état de droit », et à « soutenir la diversité culturelle européenne, ses secteurs audiovisuel et créatif, la liberté des médias et la participation de la société civile ». Ce montant fait partie des près de 2.000 milliards d’euros du budget de l’Union européenne (1) – en baisse de – 4,25 % par rapport à l’actuel budget 2021-2027 – qu’a proposé le 16 juillet la Commission européenne (2), l’AgoraEU pesant seulement 0,43 % de ce total.
La proposition de règlement établissant le programme AgoraEU, abrogeant les règlements « Europe Active » de 2021 (culture, programme Media et journalisme) et « Cerv » de 2021 également (Citoyens, égalité, droits et valeurs), va être discutée, cet été au sein du Conseil de l’UE (les Etats membres). Puis les négociations avec le Parlement européen débuteront avant la fin de l’année. Le programmes AgoraEU (3) comprend trois (suite)

AI Act et obligations : ce qui change le 2 août 2025 pour les nouvelles IA à usage général

Le 2 août 2025 marque une étape décisive dans l’application du règlement européen sur l’intelligence artificielle. Les fournisseurs qui mettent sur le marché – à partir de cette date – des modèles d’IA à usage général doivent d’emblée se conformer aux obligations de cet AI Act. Explications.

Seulement certains fournisseurs de systèmes d’IA à usage général – souvent désignés par le sigle GPAI pour General-Purpose AI – ouvrent à partir du 2 août 2025 le bal des obligations prévues par le règlement européen sur l’intelligence artificielle – appelé aussi AI Act (1) et adopté le 13 juin 2024. Car cette échéance-là ne concerne pas toutes les « GPAI », mais uniquement celles mises sur le marché à partir de ce 2 août 2025. Le Bureau de l’IA (AI Office), créé par le AI Act, rattaché à la Commission européenne (2) et dirigé par Lucilla Sioli (photo), joue un rôle central.

Nouveaux entrants GPAI pénalisés ?
Aussi curieux que cela puisse paraître, les ChatGPT (OpenAI), Gemini (Google), Claude (Anthropic), Llama (Meta), Le Chat (Mistral AI) ou encore Perplexity (Perplexity AI) – pour n’en citer que quelques-uns parmi une bonne dizaine d’IA génératives déjà existantes et disponibles dans les Vingt-sept – ne sont pas encore concernés puisque leurs IA génératives respectives à usage général ont été lancées sur le marché avant le 2 août 2025. Pour celles-ci, elles bénéficient d’un délai de deux ans supplémentaires – soit d’ici le 2 août 2027 – pour se conformer aux obligations de l’AI Act.
Ainsi, contrairement aux nouvelles GPAI qui vont faire leur entrée sur le marché européen, les IA « historiques » bénéficient en quelque sorte d’un répit non négligeable. Pendant que les IA « nouvelles entrantes » doivent sans délai se soumettre aux obligations qui peuvent s’avérer lourdes : documentation technique, informations aux intégrateurs, résumé public des données d’entraînement, politique de respect du droit d’auteur, désignation d’un représentant officiel dans l’UE si le fournisseur est situé hors de l’UE, … Edition Multimédi@ se demande dans ces conditions si (suite)