ds
ds
ds
ds
ds
ds
Défilez vers le bas
Data

Le Data Privacy Framework américain consolidé ? 

29 octobre 2025

Par décision du 3 septembre 2025, le Tribunal de l’Union Européenne a rejeté un recours qui avait été introduit par un parlementaire français, M. Philippe Latombe, contre la décision d’adéquation de la Commission européenne du 10 juillet 2023 qui avait admis la conformité de la législation américaine aux exigences du RGPD européen et plus largement aux « garanties essentielles européennes » telles que rappelées par le Comité Européen de Protection des Données (CEPD) dans son avis 02/2020 du 10 novembre 2020.  

Est-ce que pour autant, on doit considérer comme close la difficile question de la compatibilité entre la réglementation américaine permettant l’accès aux données par les autorités gouvernementales, d’une part, et la réglementation européenne qui prohibe celle-ci hormis dans le cas d’accords d’entraide judiciaire ou d’encadrements réglementaires substantiellement équivalents, d’autre part ?  

Pour mémoire, la Commission européenne avait rendu cette décision d’adéquation après analyse du Data Privacy Framework le nouvel encadrement réglementaire américain régissant les possibilités pour les autorités américaines d’accéder aux données personnelles d’européens (notamment en vertu du CLOUD Act).  

Ce Data Privacy Framework avait été adopté par l’administration Biden dans le cadre d’un « executive order», pour pallier aux non-conformités du précédent programme le « Privacy Shield » (invalidé suite à la décision « Schrems II » de la Cour de Justice de l’Union Européenne du 16 juillet 2020). 

En effet, le CEPD avait rappelé, suite à cette jurisprudence retentissante, que les législations du pays étranger qui sont susceptibles de permettre l’accès des autorités locales aux données personnelles d’européens (dite « ingérence ») devaient respecter les « garanties essentielles » suivantes :  

  1. Licéité de l’ingérence : l’ingérence (l’accès et l’utilisation ultérieure des données par l’autorité étrangère) doit reposer sur des règles claires, précises et accessibles, définies au sein d’une loi qui définit les circonstances, motifs et limites de l’ingérence, exclusive de toute forme d’abus ou d’arbitraire. Il s’agit ici du principe classique selon lequel une atteinte ne peut être imposée à un droit fondamental que si elle est strictement justifiée par le législateur souverain. A titre d’exemple, les règles d’interception de conversations téléphoniques ou de correspondances électroniques doivent être justifiées par une loi motivée par un intérêt général (et cette loi doit respecter des principes fondamentaux) ; 
  1. Nécessité et proportionnalité de l’ingérence : l’atteinte à un droit fondamental doit être strictement nécessaire à l’objectif poursuivi, et proportionnée. Ces critères s’apprécient au regard de l’importance de l’objectif d’intérêt général qui fonde l’ingérence : sauvegarde de la sécurité nationale, lutte contre le terrorisme, etc. Seules les données nécessaires et proportionnées à cet impératif doivent pouvoir être collectées.  
  1. Mécanisme de surveillance indépendant : l’accès aux données doit être soumis à la surveillance d’un juge ou d’un autre organe impartial (tel qu’une autorité administrative indépendante). A titre d’exemple, l’accès ou l’interception des données doit procéder de la décision d’un magistrat indépendant, et le dispositif d’interception lui-même ne doit permettre que ce qui a été autorisé par le magistrat. Cette indépendance exclut tout organe seulement politique ou émanant du seul exécutif local, ainsi bien entendu que tout conflit d’intérêts ; 
  1. Voies de recours effectives : outre la surveillance de l’ingérence par une autorité indépendante, la quatrième garantie essentielle réside dans la faculté pour les personnes concernées d’introduire elles-mêmes un recours en cas d’atteinte injustifiée à leurs droits, et donc à la confidentialité de leurs données. L’existence de voies de recours effectives, indépendantes et accessibles est un pilier des états de droit. Ce recours doit permettre notamment à la personne concernée d’accéder aux données interceptées, demander leur suppression ou s’opposer à l’ingérence. La CJUE a rappelé que la personne devait donc être informée de ladite ingérence (sauf si une telle information ruine le motif d’intérêt général pour lequel l’ingérence est mise en œuvre…). 

Le Data Privacy Framework réorganisait la réglementation américaine pour assurer sa conformité aux exigences essentielles européennes, et précisait, entre autres, que :  

  • Les activités des agences de renseignement américain ne doivent agir qu’en vertu de leurs prérogatives statutaires ou d’un Executive Order ou autre directive présidentielle, conforme à la Constitution américaine. En clair, l’accès à des données personnelles d’européens doit préalablement reposer sur une décision légale au regard du droit américain ; 
  • Ces activités doivent être soumises à des « garanties appropriées » permettant d’assurer le respect de la vie privée et des libertés civiles des individus, après avoir déterminé « sur la base d’une évaluation raisonnable de tous les facteurs pertinents », qu’elles répondent à une « cause probable » et un impératif validé en matière de renseignement ; 
  • Ces activités ne sont menées que « dans la mesure et d’une manière proportionnées à la priorité validée en matière de renseignement pour laquelle elles ont été autorisées », dans le but d’assurer un juste équilibre entre l’objectif de l’investigation et l’impact sur la vie privée et les libertés civiles de toutes les personnes, indépendamment de leur nationalité ou de leur lieu de résidence ; 
  • Les objectifs des activités de renseignement doivent être légitimes (l’Executive Order énumèrait une longue liste des objectifs que les USA considèrent comme légitimes pour se protéger notamment contre le risque terroriste ou le risque climatique, l’espionnage, les armes de destruction massive, etc.) ; 
  • Les objectifs des activités de renseignement ne doivent pas être interdits (l’Executive Order énumérait une liste d’objectifs prohibés tels que les atteintes à la liberté d’expression ou la liberté de la presse, la discrimination fondée sur l’origine ethnique, la religion ou l’identité sexuelle, la protection de la vie privée, ou encore la collecte d’informations commerciales privées étrangères ou de secrets commerciaux dans le but de conférer un avantage concurrentiel aux entreprises américaines) ; 
  • Les priorités du renseignement américain doivent être soumises à une évaluation par le bureau du directeur du renseignement national qui doit vérifier si l’investigation respecte la vie privée et les libertés civiles des personnes, quels que soient leur nationalité ou leur lieu de résidence – donc le respect des droits des européens sur leurs données personnelles au sens du RGPD ; 
  • Un organisme distinct pourra recevoir et instruire les éventuelles plaintes des citoyens européens qui estimeraient que leur vie privée ou leurs droits fondamentaux sont bafoués par une activité de renseignement américaine : « l’Officier de Protection des Libertés Civiles » (CLPO) ; 
  • Les décisions de cet organisme seront en outre susceptibles d’appel devant une nouvelle juridiction spécialisée, la « Data Protection Review Court » (DPRC), dont les membres sont titulaires de compétences spécifiques en matière de protection des droits fondamentaux des individus et qui ne sont pas désignés par le gouvernement américain afin d’assurer leur indépendance, ni soumis aux directives dudit gouvernement. Cette cour doit instruire les plaintes des personnes concernées, en s’appuyant sur des capacités d’enquête et de vérification des activités du renseignement américain ainsi que des pouvoirs de sanction, pouvant aller jusqu’à faire supprimer les données collectées illégalement par le renseignement. 

Dès l’époque de l’adoption du Data Privacy Framework, certaines voix se sont élevées pour mettre en doute la conformité de cette nouvelle réglementation aux exigences essentielles européennes, dont l’association NOYB très en pointe sur ces questions, au motif qu’il ne se serait agi que d’une évolution modeste du précédent Privacy Shield, insusceptible de répondre pleinement aux « garanties essentielles européennes » telles que rappelées par le CEPD.  

C’est toutefois le député français Philippe Latombe qui a introduit un recours, devant le premier degré de la juridiction européenne, au motif essentiellement que (i) la « Data Protection Review Court » n’est ni impartiale ni indépendante, et que (ii) la collecte par les agences de renseignement américaines de données personnelles en transit depuis l’Union européenne sans autorisation préalable d’un juge ou d’une autorité administrative indépendante, est illégale dès lors qu’elle n’est pas encadrée de manière suffisamment claire et précise. 

Le député précisait également que du fait de son rattachement au bureau du Directeur du renseignement national, le CLPO ne pouvait arguer d’une véritable indépendance. 

Cependant, dans son arrêt du 3 septembre 2025, le TUE a rejeté ce recours en estimant que la nomination des juges de la DPRC est effectivement assortie de garanties d’indépendance, et que les autorités américaines (dont les agences de renseignement) ne peuvent pas influencer le travail de la DPRC, dont les décisions s’imposent à ces autorités. 

En particulier, le TUE a considéré que le mode de désignation des membres de la DPRC (après consultation du Conseil de surveillance de la vie privée et des libertés civiles) est effectué selon des critères comparables à ceux qui président à la désignation des juges fédéraux.  

De plus, la DPRC fonctionne selon un mode contradictoire, en recueillant les observations à la fois du plaignant et des agences de renseignement, et elle doit respecter la jurisprudence de la Cour Suprême. De plus, la DPRC n’est pas tenue par les observations du CLPO, et ses décisions s’imposent aux agences de renseignement.  

Le TUE a donc bien vu dans cette Cour une juridiction indépendante rendant des décisions ayant autorité de la chose jugée. De manière incidente, le TUE a également considéré que le CLPO ne pouvait être démis de ses fonctions par le Directeur du renseignement national que pour un motif valable et non arbitraire.  

En outre, le Tribunal a estimé que l’absence de contrôle a priori de la collective en masse de données personnelles par les agences américaines n’est pas problématique dans la mesure où une telle collecte fait au minimum l’objet d’un contrôle judiciaire a posteriori. Ainsi, l’Executive Order n°14086 prévoit que les collectes de données « en vrac » ne peuvent être autorisées que pour répondre à une priorité à laquelle une collecte ciblée ne peut suffire à répondre, priorité définie par le Directeur du renseignement national mais selon une procédure spéciale destinée à faire respecter les exigences légales et de proportionnalité des moyens par rapport aux buts poursuivis – avant d’être soumises au Président des USA lui-même. 

Au regard tant des règles de désignation de ses membres que de son fonctionnement, le TUE a par conséquent estimé que la DPRC était suffisamment indépendante du pouvoir exécutif américain, conformément aux « garanties essentielles » exigées par le droit européen. Pour le TUE donc, ces « garanties essentielles » rappelées par le CEPD trouvent chacune une réponse dans le Data Privacy Framework, et remédient ainsi aux manquements dénoncés par la CJUE en 2020. En l’état donc, la décision d’adéquation du Data Privacy Framework ne semble plus encourir le risque d’invalidation qui a frappé son prédécesseur le Privacy Shield et avant lui le Safe Harbor.  

Toutefois, la décision du Tribunal peut faire encore l’objet d’un recours devant la CJUE. Or, un tel recours n’est pas à écarter dans la mesure où l’administration Trump a commencé procède à des coupes sombres dans les effectifs de certains des organismes de contrôle mis en place par le Data Privacy Framework. En effet, il a été observé récemment que des membres clés de la DPRC ont quitté cet organisme de recours, et que le statut du CLPO soumis au Director of National Intelligence était un peu trop flou pour garantir absolument son indépendance.  

L’association NOYB notamment, explique que les éléments d’organisation institutionnelle des Etats-Unis qui ont amené la Commission Européenne à prononcer l’adéquation du Data Privacy Framework sont vidées de leur substance, et évoque également le risque que l’administration Trump ne révoque elle-même plus fondamentalement le Data Privacy Framework lui-même. En effet, des observateurs spécialisés dans l’intelligence économique notent que l’administration américaine actuelle use de l’extraterritorialité de ses législations comme d’une arme de pression économique, et dans un tel contexte, la pérennité des protections mises en place pour assurer une protection équivalente au droit européen est menacée. 

En dépit des évolutions précédentes et de la décision du TUE du 3 septembre 2025, une incertitude demeure donc sur l’avenir du Data Privacy Framework et partant, sur la licéité des transferts internationaux de données et sur le recours en Europe à des prestataires soumis à la juridiction américaine. 

Il est donc fortement recommandé de maintenir, dans les relations contractuelles avec les fournisseurs américains, la mise en place des Clauses Contractuelles Types édictées par la Commission européenne, d’une part, voire des « mesures additionnelles » telles que préconisées par le CEPD d’autre part, au premier rang desquelles le chiffrement robuste et sécurisé des données. 

Par ailleurs, si la situation a donc considérablement évolué pour ce qui concerne la conformité du droit américain avec les exigences fondamentales européennes, le problème demeure intact s’agissant de nombreux autres pays étrangers vers lesquels les données personnelles d’européens peuvent être envoyées et qui ne bénéficient d’aucune décision d’adéquation à ce jour. Pour tous ces pays, la discipline imposée suite à l’arrêt « Schrems II » et détaillée par le CEPD dans son avis 01/2020 du 18 juin 2021, reste de mise. 

Contacter notre expert

Thomas Beaugrand, avocat counsel IT chez DS Avocats

Thomas Beaugrand, Counsel

L’activité de Thomas Beaugrand porte sur le droit du numérique, le droit de la data et le droit de l’e-commerce.

Une question ?

Contacter notre expert
Auteurs
ds
Publications

Parcourez la très grande variété de publications rédigées par les avocats DS.

ds
ds
À la Une

Suivez la vie du cabinet, ses actions et ses initiatives sur les 4 continents.

ds
ds
Événements

Participez aux évènements organisés par DS Avocats à travers le monde.

ds
ds
ds
ds
ds
ds
ds
ds
ds
ds
ds
ds
ds
Compétences
Secteurs
Monde
Information
Compétences
Secteurs
Monde
Information
ds
ds
ds
ds
ds
ds
DS Avocats dans le monde
[mapplic id="10803"]
Choisissez un bureau