Pour la 1ère fois dans l’histoire tumultueuse des transferts de données personnelles entre l’Europe et les Etats-Unis d’Amérique, le cadre juridique principal, actuellement le Data Privacy Framework, parvient à survivre à un recours. Ce 03 septembre 2025, le Tribunal de l’Union Européenne (TUE) a rejeté le recours en annulation déposé par un député français (Philippe Latombe).
Les arrêts Schrems I et Schrems II : les précédentes invalidations
Pour comprendre l’importance du rejet de ce recours deux éléments doivent être connus et compris :
- l’invalidation successive des deux précédents mécanismes juridiques qui facilitaient le transfert des données à caractère personnel vers les USA ;
- les impacts que de telles invalidations provoquent pour les organismes.
Safe Harbor & Privacy Shield : des recours fructueux
Les deux premiers mécanismes juridiques à faciliter les transferts de données vers les USA étaient le Safe Harbor et le Privacy Shield :
- Le Safe Harbor est entré en application en 2000, avant d’être invalidé en 2015 suite à un recours introduit par l’association de défense des droits des personnes concernées « NOYB » (« None Of Your Business ») de Max Schrems. Il a permis pendant 15 ans aux entreprises américaines de s’auto-certifier comme respectant les principes européens de protection des données personnelles, afin de pouvoir recevoir et traiter les données personnelles de personnes européennes dans un cadre simplifié (pas de clause contractuelle type, clauses simplifiées, meilleure acceptation de la part du public, …). Seulement voilà, suite aux révélations d’Edward Snowden sur la surveillance de masse des agences de renseignement américaines, la confiance s’effrite et, après l’introduction du recours par NOYB, la Cour de Justice de l’Union Européenne (CJUE) décide d’invalider le Safe Harbor, jugeant que le mécanisme ne protégeait pas suffisamment les droits fondamentaux des citoyens européens ;
- Le Privacy Shield est entré en application en 2016, avant d’être invalidé, lui, en 2020, suite à un nouveau recours encore introduit par NOYB. Ce nouvel accord devait remplacer le Safe Harbor en complétant les garanties que ce dernier apportait, afin d’assurer que les citoyens européens disposent de recours effectifs contre les organismes étatsuniens traitant leurs données. Mais seulement 4 ans après son entrée en application, il est invalidé, la CJUE considérant à nouveau que les garanties contre la surveillance des autorités américaines restaient insuffisantes.
Les effets d’une invalidation
L’impact d’une invalidation, telles que celles du Safe Harbor ou du Privacy Shield, peuvent s’avérer extrêmement importantes pour les organismes, car l’invalidation est effective sans délai ! Du jour au lendemain, les institutions et administrations, entreprises, associations et fondation, etc. qui font appel à un prestataire américain, et réalisent pour cela un transfert de données, ou permettent au prestataire un accès distant à la donnée, se retrouvent sans base solide pour autoriser le traitement des données par les américains.
Ces organismes doivent alors se dépêcher de signer des accords ou clauses particulières avec ces prestataires, revoir leurs politiques de confidentialité et mentions d’information, parfois se tourner vers d’autres outils plus complexes et coûteux, pour s’éviter une sanction administrative en cas de contrôle.
Pour rappel, le fait de faire procéder à des transferts de données vers des pays jugés non adéquats (or, les USA ne sont jugés comme un pays adéquat que tant qu’un mécanisme juridique validé par la Commission Européenne n’est pas invalidé par le TUE ou la CJUE) sans avoir signé de Clauses Contractuelles Types de la Commission Européenne ou de Binding Corporate Rules (BCR) expose l’organisme à une amende administrative pouvant aller jusqu’à 10 millions d’euros, ou 2% du meilleur chiffre d’affaires mondial des 3 dernières années (ces plafonds sont par ailleurs doublés en cas de récidive).
Le recours de Philippe Latombe
Après l’invalidation du Privacy Shield en 2020, le Data Privacy Framework a été adopté en 2023, afin de faciliter à nouveau le transfert des données vers les USA, avec la promesse de répondre aux exigences européennes de protection des données. Il a cependant été directement attaqué par le député français Philippe Latombe. L’association NOYB, à l’origine des deux premières invalidations, était à l’époque elle-aussi extrêmement critique vis-à-vis du nouveau cadre adopté.
Le recours de Philippe Latombe reposait sur différents arguments, contestant le niveau de protection offert par les USA, que l’on peut résumer en deux points :
- le tribunal chargé de traiter des recours des européens (la « Data Protection review Court », ou DPRC) ne présenterait pas les caractères d’indépendance et d’impartialité nécessaires à offrir de vraies garanties pour les européens ;
- le Data Privacy Framework n’encadrerait pas suffisamment les activités de collecte des données personnelles par les agences de renseignement américaines.
La décision du TUE : le Data Privacy Framework est suffisant
Après analyse, le TUE a rejeté l’ensemble des arguments du député français, et validé la décision d’adéquation de la Commission Européenne. Le TUE a notamment considéré que malgré son lien avec le pouvoir exécutif américain, il n’était pas établi d’éléments laissant à penser que la DPRC n’offrirait pas de garanties d’indépendance suffisantes. Il estime aussi que les nouvelles règles imposées en matière de collecte nécessaire et proportionnée (des termes déjà présents à l’article 5 du RGPD concernant les principes fondamentaux des traitements) des données aux agences de renseignement américaines répondaient aux exigences formulées par la CJUE dans les deux arrêts ayant invalidé les précédents mécanismes.
Pour le moment donc, les organismes peuvent continuer à transmettre des données à des organismes américains, ou à faire appel à des prestataires américains, omniprésents notamment dans le domaine IT et du Cloud.
La décision du TUE peut être trouvée ici en français.
_____________________________________
Vous avez des questions sur la protection des données personnelles au sein de votre organisme ? Contactez-nous pour découvrir comment nous accompagnons entreprises et administrations dans leur démarche de conformité.