Pour la première fois, un accord entre l’UE et les États-Unis sur le partage des données à caractère personnel passe le test de la justice européenne. L’arrêt Latombe c. Commission européenne (Tribunal de l’UE, 3 septembre 2025) confirme en effet que le Data Privacy Framework UE – États-Unis (DPF) offre un niveau de protection adéquat, comme l’exige le règlement général sur la protection des données (RGPD).
Grâce aux garanties américaines, les entreprises européennes peuvent désormais continuer à utiliser sans crainte les services informatiques et cloud américains. Ou la prudence reste-t-elle de mise ?
Depuis 2018, le RGPD vise à garantir un niveau élevé et uniforme de protection des données au sein de l’Espace économique européen (EEE). Cependant, de nombreuses entreprises opèrent également en dehors de cette zone ou font affaire avec des entreprises situées en dehors de l’EEE, ce qui signifie que des données à caractère personnel sont traitées en dehors de l’EEE.
En principe, ce type de transfert de données à caractère personnel n’est autorisé que si une protection adéquate des données peut être garantie au moyen de l’un des mécanismes prévus par le RGPD. Une décision d’adéquation adoptée par la Commission européenne, dans laquelle elle décide qu’un pays non-membre de l’EEE offre un niveau de protection adéquat, est l’un des mécanismes prévus par le RGPD pour obtenir ces garanties.
Compte tenu des intérêts commerciaux communs, l’UE travaille depuis des années en étroite collaboration avec les États-Unis afin de mettre en place un cadre réglementaire approprié qui réponde aux exigences strictes du RGPD. Les scandales d’écoutes téléphoniques et l’absence de contrôle indépendant aux États-Unis se sont révélés à plusieurs reprises être des obstacles.
Ainsi, l’accord Safe Harbour de 2000 a été annulé par l’arrêt Schrems I rendu par la Cour de justice en 2015, et le Privacy Shield de 2016 a également été annulé par l’arrêt Schrems II rendu en 2020. Dans ces deux arrêts, la CJUE a estimé que les services de sécurité américains disposaient de pouvoirs trop étendus et que les citoyens de l’UE ne disposaient pas de recours juridiques suffisants contre les ingérences disproportionnées.
À la suite de ces arrêts, de nouvelles négociations ont été menées avec les États-Unis en vue d’établir un nouveau cadre réglementaire conforme à la fois au RGPD et à la Charte des droits fondamentaux de l’Union européenne. Cela a abouti à l’adoption de la décision d’exécution 2023/1795 de la Commission européenne, qui a entériné le Data Privacy Framework UE – États-Unis (mécanisme d’autocertification dans le cadre duquel les entreprises qui se sont autocertifiées au titre du DPF doivent se conformer aux principes, règles et obligations relatifs au traitement des données à caractère personnel des personnes physiques de l’EEE).
Ce cadre réglementaire prévoit de nouvelles garanties pour le traitement des données à caractère personnel par les services de sécurité américains et la création de la Data Protection Review Court (DPRC).
Peu après l’entrée en vigueur du DPF, le député européen français Philippe Latombe a introduit devant le Tribunal de l’UE un recours en annulation de la décision d’adéquation. Il a fait valoir que la Commission européenne avait outrepassé sa marge d’appréciation en décidant que les États-Unis offraient un niveau de protection adéquat.
Selon Latombe, même après l’entrée en vigueur de garde-fous supplémentaires, le système juridique américain offrait encore trop peu de garanties pour les exigences essentielles du RGPD, notamment en matière (1) de recours juridictionnel effectif, (2) d’ingérence des services de renseignement, (3) de prise de décision automatisée et (4) de sécurité du traitement.
La Commission européenne n’aurait pas suffisamment tenu compte des arrêts Schrems I et II antérieurs lors de l’examen du DPF, de sorte que le nouveau cadre présentait toujours les mêmes lacunes fondamentales.
Le Tribunal a toutefois rejeté l’intégralité des griefs de Latombe, confirmant ainsi la validité juridique du DPF :
Le Tribunal a décidé que la DPRC est fonctionnellement indépendante et protégée contre toute ingérence illicite. Ses membres sont certes nommés et révoqués par le pouvoir exécutif, mais ils bénéficient d’une protection suffisante. Le Tribunal estime que le fait que le DPRC ne fasse pas partie du pouvoir judiciaire est licite, car les garanties sont similaires et ses décisions sont contraignantes et définitives pour le gouvernement américain et les services de renseignement.
Selon Latombe, le droit américain n’offre pas un niveau de protection adéquat, car les services de renseignement peuvent toujours collecter des données à caractère personnel « en masse » sans autorisation judiciaire ou administrative préalable. Le Tribunal a rejeté cet argument. Il a estimé qu’aucune collecte indifférenciée ou massive de données n’était autorisée aux États-Unis. Ce n’est que lorsque la collecte ciblée serait impossible que des données à caractère personnel peuvent être collectées « en masse », de manière limitée et sous certaines conditions. Toutefois, ces opérations doivent être nécessaires et proportionnées et peuvent être contrôlées a posteriori par un organisme indépendant.
Une interdiction générale de la prise de décision purement automatisée (sans intervention humaine) telle qu’imposée par le RGPD n’est pas reprise par les États-Unis. Aux États-Unis, les règles relatives à la prise de décision automatisée varient selon le secteur et le type d’organisation. Néanmoins, le Tribunal estime que le système américain offre une protection suffisante, car le DPF impose certaines obligations de transparence aux organisations et les citoyens ont le droit de demander une « révision humaine » d’une décision automatisée. Il existe également des mécanismes de contrôle qui permettent de traiter les plaintes des citoyens.
Alors que le RGPD prévoit une obligation générale contraignante de sécuriser les données à caractère personnel, cette obligation ne s’applique aux États-Unis qu’aux organisations qui adhèrent formellement au DPF. Selon le Tribunal, la Commission européenne a suffisamment examiné si le système de certification américain offre une protection adéquate. Étant donné que les organisations affiliées s’engagent contractuellement à prendre des mesures de sécurité appropriées et sont soumises à une autorité de contrôle, le Tribunal estime qu’il existe bel et bien un niveau de protection comparable.
Le Tribunal souligne systématiquement que le système américain ne doit pas être identique aux dispositions du RGPD, tant que le niveau de protection est « substantiellement équivalent» dans la pratique. Bien que le DPF soit provisoirement maintenu, certains signes indiquent toutefois que son avenir n’est pas tout à fait certain.
Outre un éventuel recours que Latombe pourrait introduire contre cet arrêt, plusieurs organisations de défense de la vie privée, dont NOYB (None of Your Business) – fondée par Max Schrems – ont déjà annoncé leur intention de contester le DPF sur des bases plus larges, tant par voie administrative que judiciaire.
Enfin, les décisions d’adéquation, telles que le DPF, sont réévaluées tous les quatre ans. La première évaluation du DPF aura donc lieu au plus tard en 2027. La Commission européenne devra alors vérifier si les États-Unis continuent à respecter effectivement les garanties promises. Dans le climat politique imprévisible actuel, marqué par les guerres commerciales et les changements de cap politique, la question reste ouverte…