Le cadre de transfert de données personnelles vers les États- Unis reste valide
Au grand soulagement du monde des affaires, le cadre de protection du transfert de données entre l’UE et les États-Unis (Data Privacy Framework ou « DPF ») n’a pas été invalidé par le Tribunal de l’Union européenne le 3 septembre ! (Affaire T-553/23)
Data Privacy Framework ou « DPF »
Lorsque la Commission européenne estime qu’un pays tiers assure un niveau de protection adéquat, les transferts de données personnelles vers ce pays peuvent avoir lieu sans autre autorisation, sur la base de la décision d’adéquation adoptée par la Commission.
Le 10 juillet 2023, la Commission européenne a officiellement décidé de l’adéquation du Data Privacy Framework ou « DPF » : les organisations américaines certifiées conformes audit cadre, peuvent recevoir des données personnelles provenant de l’Espace économique européen (l’« EEE ») sans qu’il soit nécessaire d’appliquer des garanties supplémentaires, telles que les clauses contractuelles types, et/ou de procéder à l’évaluation des risques du transfert.
Le DPF remplace deux cadres précédents, le Safe Harbor, et son successeur, le Privacy Shield, qui tous deux ont bénéficié successivement d’une décision d’adéquation de la Commission européenne jusqu’à ce que chacune de ces décisions soit, tour à tour, invalidée par la Cour de justice de l’Union européenne (la CJUE), dans les arrêts Schrems I (en 2015) et Schrems II (en juillet 2020).
Le DPF apportait un certain nombre de changements par rapport aux précédents cadres. Un élément clé de l’évaluation par l’UE de la protection offerte par le nouveau cadre est l’Executive Order (décret) du président Biden sur le « renforcement des garanties pour les activités de renseignement sur les transmissions des États-Unis » (l’« EO 14086 »), qui est complété par un règlement de la « Data Protection Review Court » (Cour d’examen de la protection des données) publié par le procureur général (Attorney General) des États-Unis. Ces deux textes visent à répondre aux préoccupations relatives à la surveillance numérique de masse exercée par les services de police et de renseignement américains, qui ont étayé l’arrêt de la CJUE dans l’affaire Schrems II.
Le DPF met en place un mécanisme de recours pour les ressortissants de l’EEE s’ils estiment être illégalement visés par certaines lois américaines, relatives à la sécurité nationale.
Les particuliers peuvent déposer une plainte auprès de leur autorité nationale de protection des données. Les plaintes seront examinées par le « Civil Liberties Protection Officer » (Responsable de la Protection des Libertés Civiles) de la communauté américaine du renseignement. Cette personne est chargée de veiller au respect de la vie privée et des droits fondamentaux par les agences de renseignement américaines. Au deuxième niveau, les particuliers ont la possibilité de faire appel de la décision du Civil Liberties Protection Officer devant la Data Protection Review Court nouvellement créée. La Data Protection Review Court est habilitée à enquêter sur les plaintes déposées par les citoyens de l’UE, notamment pour obtenir des informations pertinentes auprès des services de renseignement, et à prendre des décisions correctives
(Pour plus d’information voir notre article Données personnelles : les États-Unis obtiennent à nouveau l’adéquation…, pour l’instant ).
Recours contre le DPF
M. Philippe Latombe, député français et membre de la CNIL, agissant à titre personnel en tant qu’utilisateur de diverses plateformes informatiques qui collectent ses données personnelles et les transfèrent aux États-Unis, a demandé au Tribunal d’annuler la décision d’adéquation.
Selon M. Latombe, la Data Protection Review Court n’est ni impartiale ni indépendante, mais dépendante du pouvoir exécutif.
Il fait en outre valoir que la pratique des services de renseignement des États-Unis consistant à collecter en masse des données à caractère personnel transitant depuis l’Union européenne, sans l’autorisation préalable d’un tribunal ou d’une autorité administrative indépendante, n’est pas circonscrite de manière suffisamment claire et précise et est, par conséquent, illégale.
Décision de rejet
Dans sa décision du 3 septembre 2025 (aff. T-553/23 | Latombe v Commission) le Tribunal rejette le recours en annulation. Le communiqué de presse indique ce qui suit.
En ce qui concerne la Data Protection Review Court, le Tribunal indique notamment qu’il ressort du dossier que la nomination des juges à la Data Protection Review Court et le fonctionnement de cette dernière s’accompagnent de plusieurs garanties et conditions visant à garantir l’indépendance de ses membres. En outre, les juges de la Commission ne peuvent être révoqués que par le General Attorney et uniquement pour des motifs valables, et le procureur général et les services de renseignement ne peuvent entraver ou influencer indûment leur travail.
Le Tribunal observe également que, en vertu de la décision attaquée, la Commission est tenue de contrôler en permanence l’application du cadre juridique sur lequel cette décision est fondée. Ainsi, si le cadre juridique en vigueur aux États-Unis au moment de l’adoption de la décision attaquée venait à changer, la Commission pourrait décider, si nécessaire, de suspendre, de modifier ou d’abroger la décision attaquée ou d’en limiter la portée.
En ce qui concerne, la collecte massive de données personnelles, le Tribunal souligne, en particulier, que rien dans l’arrêt Schrems II ne suggère que cette collecte doit nécessairement faire l’objet d’une autorisation préalable délivrée par une autorité indépendante. Il ressort plutôt clairement de cet arrêt que la décision autorisant une telle collecte doit, au minimum, faire l’objet d’un contrôle juridictionnel a posteriori. En l’espèce, il ressort du dossier que, en vertu du droit américain, les activités de renseignement d’origine électromagnétique menées par les agences de renseignement américaines sont soumises à un contrôle judiciaire a posteriori par la Data Protection Review Court. Par conséquent, le Tribunal estime qu’il ne saurait être considéré que la collecte massive de données personnelles par les agences de renseignement américaines ne satisfait pas aux exigences découlant de l’arrêt Schrems II à cet égard ou que le droit américain ne garantit pas un niveau de protection juridique essentiellement équivalent à celui garanti par le droit de l’Union.
Suite possible
L’ONG Noyb qui a suivi l’affaire de près, a publié sur son site un commentaire de cette décision. Elle souligne que la contestation était « plutôt limitée » et ne portait que sur des arguments ciblés. Selon Max Schrems, un recours plus large portant sur d’autres aspects de l’accord ne serait pas à exclure. NOYB critique particulièrement la position du Tribunal sur l’indépendance de la Data Protection Review Court. Max Schrems indique que NOYB examine ses options pour introduire un nouveau recours plus large, estimant qu’un examen approfondi du droit américain et de l’utilisation des décrets présidentiels devrait aboutir à un résultat différent.