FR
  • Cyber stabilité
  • Secops
  • Gestion des risques
  • Transformation numérique
  • Souveraineté numérique
  • Cybercriminalité
  • Industrie et OT
  • Fraude
  • Identité numérique
  • Cyber +
    • Le Data Privacy Framework validé par le Tribunal de l’UE : une clarification pour les transferts transatlantiques

    Le Data Privacy Framework validé par le Tribunal de l’UE : une clarification pour les transferts transatlantiques

    Écrit par
    Brunessen Bertrand
    11.09.25
    Souveraineté numérique
    07
    MIN
    Le Data Privacy Framework validé par le Tribunal de l’UE : une clarification pour les transferts transatlantiques
    Le Data Privacy Framework validé par le Tribunal de l’UE : une clarification pour les transferts transatlantiques
    Le Data Privacy Framework validé par le Tribunal de l’UE : une clarification pour les transferts transatlantiques
    Image Stratégie nationale cyber : comme un avion sans aile ?  
    Cybersécurité
    17.02.26 Cybersécurité
    Prochain article
    Stratégie nationale cyber : comme un avion sans aile ?  
    Lire
    06
    MIN
    Image BPCE va privilégier le réseau CB pour Apple Pay
    Souveraineté numérique
    17.02.26 Souveraineté numérique
    Prochain article
    BPCE va privilégier le réseau CB pour Apple Pay
    Lire
    02
    MIN
    Image Mistral AI investit 1,2 milliard d’euros dans un centre de données en Suède
    Souveraineté numérique
    13.02.26 Souveraineté numérique
    Prochain article
    Mistral AI investit 1,2 milliard d’euros dans un centre de données en Suède
    Lire
    01
    MIN
    Image Libérer la compétitivité : repenser l’investissement en cybersécurité en Europe
    Cybersécurité
    06.02.26 Cybersécurité
    Prochain article
    Libérer la compétitivité : repenser l’investissement en cybersécurité en Europe
    Lire
    07
    MIN

    Brunessen Bertrand, Professeure à l’Université de Rennes, membre de l’Institut universitaire de France

    Depuis plus de dix ans, la question des transferts de données personnelles vers les États-Unis est au cœur d’une saga juridique à rebondissements. Après deux invalidations spectaculaires par la Cour de justice de l’Union européenne – Schrems I en 2015 (Safe Harbor) puis Schrems II en 2020 (Privacy Shield) – chaque nouvelle tentative d’accord transatlantique fait l’objet d’une attention particulière au regard de la sensibilité des enjeux : la possibilité pour les entreprises de transférer les données personnelles des citoyens d’une façon qui respecte les standards du RGPD, dans un contexte où des milliers d’entreprises européennes dépendent de solutions techniques américaines, notamment pour le stockage de données. Les annulations successives du Safe Harbor et du Privacy Shield étaient fondées non seulement sur l’absence de proportionnalité des programmes de surveillance américains, mais aussi sur le défaut d’accès à un juge indépendant. Chaque annulation plonge les acteurs économiques dans l’incertitude juridique et les expose à des risques de non-conformité : certes, d’autres bases juridiques demeurent (clauses contractuelles types, règles d’entreprise contraignantes ou dérogations prévues par le RGPD), mais elles impliquent une mise en œuvre lourde et ne remplacent pas la sécurité qu’offre une décision d’adéquation. La Commission avait donc relancé les discussions avec les États-Unis pour qu’ils renforcent leurs garanties et atteignent le standard de protection exigé par le RGPD. Les États-Unis ont ainsi adopté l’Executive Order 14086, qui a permis à la Commission d’adopter en juillet 2023 une nouvelle décision d’adéquation, le « Data Privacy Framework » (DPF), afin de rétablir la libre circulation des données entre l’UE et les États-Unis.

    Le 3 septembre 2025, le Tribunal de l’Union européenne a rendu son arrêt dans l’affaire Latombe c. Commission, première contestation contentieuse du DPF. Ce recours émanait d’un député français, Philippe Latombe, qui estimait que le DPF ne corrigeait pas réellement les failles identifiées dans Schrems II.

    Un choix procédural stratégique

    En matière de recours direct contre les actes de la Commission, les particuliers ne peuvent agir que dans des conditions strictes : ils doivent démontrer être directement concernés par un acte réglementaire qui ne comporte pas de mesures nationales d’exécution. Dans le cas du Data Privacy Framework, ces conditions paraissaient difficiles à remplir pour un citoyen européen ; on pouvait considérer que la décision d’adéquation concernait d’abord les responsables de traitement et les exportateurs de données, les citoyens n’étant concernés qu’indirectement, via leur relation contractuelle avec les opérateurs numériques.

    Le Tribunal a donc choisi une voie inhabituelle : juger directement le recours au fond et le rejeter, sans statuer sur la recevabilité. Ce silence équivaut sans doute en creux à admettre que le recours individuel de M. Latombe aurait très probablement été jugé irrecevable. Mais en statuant sur le fond, les juges ont préféré sécuriser le dispositif et lever l’incertitude juridique sur la validité du DPF. 

    Les garanties américaines jugées suffisantes

    Au cœur de l’affaire figurait le nouveau mécanisme de recours américain. Le DPF s’appuie sur l’Executive Order 14086, qui crée notamment la Data Protection Review Court (DPRC), une juridiction spécialisée chargée d’examiner les plaintes de citoyens européens. Contrairement au médiateur du Privacy Shield, critiqué pour son manque d’indépendance et l’absence de caractère obligatoire de ses décisions, la DPRC bénéficie de garanties renforcées : juges nommés sur critères stricts, révocabilité limitée, décisions contraignantes pour les agences de renseignement et pour le gouvernement américain.

    Le Tribunal valide également le rôle du Civil Liberties Protection Officer (CLPO), qui agit en première instance et dont les décisions peuvent être réformées par la DPRC. Le fait que ces organes soient placés dans la sphère exécutive américaine ne remet pas en cause leur indépendance, selon les juges européens, dès lors que les garanties procédurales sont jugées suffisantes. Ce raisonnement s’inscrit dans l’approche constante de la Cour : il ne s’agit pas d’exiger une identité des systèmes juridiques, mais une équivalence substantielle des garanties offertes. L’appréciation du Tribunal demeure toutefois fragile : c’est dans la mise en pratique et la capacité réelle de la DPRC à s’imposer face aux agences de renseignement américaines que cette équivalence sera jugée crédible.

    La question sensible de la surveillance de masse

    Le requérant insistait sur un point particulièrement sensible : la collecte en vrac de données par les services de renseignement américains. En l’absence d’autorisation préalable d’une autorité judiciaire indépendante, n’y a-t-il pas violation des articles 7 et 8 de la Charte des droits fondamentaux de l’UE ?

    L’arrêt distingue trois notions souvent confondues : la collecte ciblée, qui vise une personne ou un compte précis ; la collecte en vrac, qui intercepte de grands volumes de données sans ciblage préalable mais uniquement pour des objectifs limités de sécurité nationale ; et la collecte massive, c’est-à-dire indifférenciée et sans garanties, qui n’est pas autorisée en droit américain. En d’autres termes, le droit des États-Unis admet le filet large (bulk collection), mais encadré par des finalités strictement énumérées, tout en interdisant le chalutage généralisé. La distinction pourrait toutefois s’avérer plus théorique que réelle si ces finalités venaient à être interprétées de manière extensive par les autorités américaines.

    Le Tribunal écarte d’abord l’argument relatif au §702 du FISA, qui n’autorise que des collectes ciblées et ne concerne donc pas la collecte en vrac. L’examen se concentre dès lors sur cette dernière, définie par l’EO 14086 comme l’interception de grandes quantités de données en transit sans discriminants techniques, mais strictement encadrée par des finalités précises (terrorisme, espionnage, cybermenaces, etc.) et des garanties procédurales. Surtout, les recours introduits par les personnes concernées peuvent donner lieu à un contrôle juridictionnel a posteriori devant la DPRC, dont les décisions sont contraignantes pour les agences américaines de renseignement comme pour le gouvernement.

    En résumé, le Tribunal admet que l’absence d’autorisation préalable est compensée par un contrôle a posteriori efficace, et juge que les garanties offertes sont substantiellement équivalentes à celles exigées en droit de l’Union. Cette équivalence reste cependant une construction fragile, dépendante de l’interprétation des finalités de sécurité nationale et de la pratique future des organes américains.

    Une clarification, mais pas un épilogue

    Cette décision stabilise les échanges transatlantiques, mais elle n’éteint pas les débats de façon définitive.

    L’arrêt constitue une victoire pour la Commission européenne et apporte une sécurité juridique aux transferts de données personnelles vers les États-Unis, mais cette clarification pourrait n’être que temporaire : M. Latombe peut former un pourvoi devant la Cour de justice, et d’autres contestations ne sont pas à exclure, y compris par le biais de questions préjudicielles posées par les juridictions nationales.

    Plus fondamentalement, la question de la surveillance américaine reste sous tension. La DPRC doit encore faire ses preuves dans la pratique, et une évolution du droit américain (notamment les prorogations et réformes du FISA) pourrait remettre en cause cette appréciation de validité. La Commission est en effet tenue d’assurer un suivi permanent et pourrait être contrainte de réévaluer sa décision en cas de manquement. L’histoire des transferts de données entre l’UE et les États-Unis a déjà montré que la confiance juridique pouvait être fragile : la clarification apportée par le Tribunal pourrait n’être qu’un sursis.

    Brunessen Bertrand
    11.09.25
    Continuer ma lecture
    1
    07.09.22 Gestion des risques
    Twitter : des « lacunes extrêmes » en termes de sécurité
    Lire
    02
    MIN
    2
    21.03.22 Cybercriminalité
    Connaître l’ennemi et se connaître soi-même : la clé pour contrer une cyberattaque
    Lire
    08
    MIN
    3
    29.06.22 Cybercriminalité
    En fermant son site vitrine, Conti achève son « auto-dissolution »
    Lire
    01
    MIN
    4
    09.11.22 Gestion des risques
    Entretien Bernard Montel : « il faut adopter une véritable hygiène cyber »
    Lire
    09
    MIN
    Image Stratégie nationale cyber : comme un avion sans aile ?  
    Cybersécurité
    17.02.26 Cybersécurité
    Prochain article
    Stratégie nationale cyber : comme un avion sans aile ?  
    Lire
    06
    MIN
    Image BPCE va privilégier le réseau CB pour Apple Pay
    Souveraineté numérique
    17.02.26 Souveraineté numérique
    Prochain article
    BPCE va privilégier le réseau CB pour Apple Pay
    Lire
    02
    MIN
    Image Mistral AI investit 1,2 milliard d’euros dans un centre de données en Suède
    Souveraineté numérique
    13.02.26 Souveraineté numérique
    Prochain article
    Mistral AI investit 1,2 milliard d’euros dans un centre de données en Suède
    Lire
    01
    MIN
    Image Libérer la compétitivité : repenser l’investissement en cybersécurité en Europe
    Cybersécurité
    06.02.26 Cybersécurité
    Prochain article
    Libérer la compétitivité : repenser l’investissement en cybersécurité en Europe
    Lire
    07
    MIN
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.