La réglementation européenne prévoit que les transferts de données vers des pays hors de l’Union Européenne doivent être encadrés :

• soit par une décision d’adéquation de la Commission européenne, lorsque la législation nationale du pays destinataire permet de conclure à un niveau de protection des données personnelles similaire au cadre européen ;
• soit par des accords entre entreprises (clauses contractuelles types, BCR, etc.) permettant de garantir un niveau de protection équivalent. 

Le cas des transferts UE-USA est particulièrement éloquent. Après avoir fait succomber les deux premiers accords transatlantiques, respectivement en 2015 et 2020, la Cour de Justice de l’Union européenne n’a plus eu à se prononcer sur leur légalité.

Le Data Privacy Framework, adopté en juillet 2023, a été épargné par le récent jugement du Tribunal de l’Union Européenne (3 Septembre 2025, N°106/2025). Cependant, un recours devant la CJUE est à envisager, et d’autres pourraient être portés devant le TUE sur de nouveaux fondements, ces derniers ne semblant pas manquer. 

Alors, que retenir de la saga judiciaire la plus iconique du droit des données personnelles ?

L’enseignement est probablement celui-ci : plus que jamais, le contexte géopolitique, autant que les mésaventures juridiques des accords d’adéquation, semblent indiquer que la place des entreprises est centrale dans l’application du Règlement Général sur la Protection des Données.  

C’est donc en faveur d’un véritable empowerment des entreprises sur le sujet de la privacy que se positionne ce billet. Le RGPD le permet, et tous les outils contractuels sont à la disposition des acteurs économiques pour prendre la place, légitime, qui est la leur sur ce sujet. 

Cette petit accalmie judiciaire accordée aux rapports UE-USA devrait ainsi surtout agir comme une piqûre de rappel pour les entreprises disposant de sous-traitants (ou de donneurs d’ordre) critiques localisés aux États-Unis d’Amérique.  

Motivation du recours

Dans notre affaire, le recours en annulation de l’accord de transfert de données UE – USA, aussi appelé « cadre transatlantique de protection des données » ou encore « Data Privacy Framework », était porté par le député français M. Philippe Latombe. 

Le recours était fondé notamment sur les points suivants : 

• L’insuffisance de garanties du respect de la vie privée et familiale au regard des collectes massives et « en vrac » de données personnelles par les agences de renseignement américaines ; 
• L’absence de garantie d’un droit à un recours effectif, au motif que l’autorité de recours mise en place (la Commission de Contrôle) est créée par le pouvoir exécutif et non la loi, et n’offre pas de garanties similaires à celles requises par le droit de l’Union ;
• L’absence de garantie générale à l’encontre des décisions automatisées ;
• Le manque de garanties relatives à la sécurité des données personnelles, notamment du fait du caractère vague des mesures établies par le droit étasunien.

Les sujets portent donc à la fois sur des reproches historiques faits aux USA, et sur des inquiétudes ravivées par les circonstances politiques et économiques actuelles. 

D’une part, la collecte massive et indifférenciée de données personnelles par les agences de renseignements étasuniennes n’est pas nouvelle, et les requêtes Schrems portaient déjà en leur sein des critiques semblables.

Ces critiques sont fondées de longue date sur les révélations portées à la connaissance du monde par M. Edward Snowden en 2013. Ces agissements, de prime abord contraires aux principes du droit européen des données, nourrissent les inquiétudes d’atteintes multiples et protéiformes à la vie privée des citoyens européens. Notamment, ils portent en leur sein un risque de surveillance généralisée par l’État étasunien, appuyé par les sociétés privées américaines.

Ces sociétés, pour ne pas les citer, entre autres, Meta (anciennement Facebook), collectent et utilisent des quantités astronomiques de renseignements sur les personnes physiques. Autant d’informations que la NSA n’a pas hésité à exploiter précédemment (cf. révélations d’E. Snowden). Cependant, le risque n’a pas été de nature à faire tomber l’accord permettant de tels transferts.

D’autre part, M. Latombe soulève des moyens éclairés à la lumière du contexte géopolitique. L’indépendance de l’autorité de contrôle américaine est remise en cause. En effet, cette institution n’a pour origine fondatrice qu’un décret présidentiel, et non le fondement de la loi. Dans cette hypothèse, la conjecture actuelle ne rassure pas sur sa pérennité. 

Position du Tribunal de l’UE

Le TUE rejette le recours de M. Latombe. 

Il souligne que les conditions de nomination des membres de la Commission américaine de contrôle de la protection des données et son fonctionnement présentent des garanties assurant l’indépendance de l’institution. 

Le Tribunal ajoute que cette même autorité assure le contrôle judiciaire, a posteriori, des collectes massives par les agences de renseignement étasuniennes. En ce sens, le Tribunal retient que les conditions sont conformes à l’arrêt Schrems II. 

Cette solution paraît on ne peut plus critiquable, et l’éventualité d’un recours porté devant la CJUE ne peut être ignorée. 

Arrêts Schrems I et Schrems II

Pourtant, les deux accords du Safe Harbour et du Privacy Shield ont auparavant succombé face aux exigences européennes.

La CJUE avait statué dans deux arrêts, dits Schrems I et Schrems II, en défaveur de ces cadres, prononçant leur illégalité et annulant de ce fait le cadre des transferts de données transatlantiques.

Ce n’est qu’en 2023 que le Data Privacy Framework a rouvert le bal, permettant aux entreprises de se soulager d’une conformité par le contrat et les initiatives individuelles. 

Réaction de NOYB

Noyb (None Of Your Business), l’association dont le fondateur Max Schrems avait porté les recours contre les premiers accords transatlantiques, fait savoir dans un communiqué² que la solution adoptée par le TUE s’écarte de la jurisprudence de la CJUE.

Elle s’inquiète notamment de la ressemblance criante entre les accords annulés et le nouveau Data privacy Framework, maintenu. Le contexte actuel ne laisse pourtant pas subsister de garanties d’indépendance suffisantes, notamment car l’administration Trump pourrait mettre à mal la Cour de contrôle de la protection des données par simple décret présidentiel. 

Déclarations de Trump sur la réglementation européenne du numérique

Le contexte international actuel laisse planer un doute certain sur la pérennité de l’institution. Les récentes déclarations du Président Trump relatives aux législations européennes sur le numérique ne calment pas ces incertitudes. 

Un pourvoi prochain contre l’arrêt du TUE devant la CJUE est à envisager, et il ne sera probablement pas le dernier recours, au vu de la fragilité juridique du Data Privacy Framework.

Mise à jour du 10/11/2025 : L’appel de cette décision devant la CJUE a été accepté et est en cours d’instruction³ .

Recommandations

Pour résumer cette situation en un conseil aux entreprises réalisant des transferts de données vers les États-Unis : sécurisez vos relations de sous-traitance avec les États-Unis dès maintenant, notamment par la conclusion de clauses contractuelles types.

Ne laissez pas une prochaine décision judiciaire interrompre brutalement vos opérations de traitement.

Auteur : Clara Tabuteau

1. Communiqué de presse du TUE n°106/25 au sujet de l’arrêt du Tribunal dans l’affaire T-553/23 | Latombe/Commission ︎
2. Communiqué de NOYB sur l’arrêt Latombe ︎
3. Appel sur le site de la CJUE ︎

L’article Transfert de données aux États-Unis : que retenir du rejet du recours Latombe ?  est apparu en premier sur Vettier Avocat - Avocat RGPD, Data, Numérique et Affaires.

Cybersécurité du cabinet d’avocat

L’occasion de sensibiliser les confrères sur la menace cyber pesant sur les cabinets d’avocats, illustrée par des exemples réels de tentatives d’attaques, et de présenter les bonnes pratiques d’hygiène informatique.

Formation dispensée le 2 juin 2025 à la Maison de l’Avocat, aux côtés d’Arnaud Adelise, avocat en droit pénal.

RGPD et cabinet d’avocat

Il s’agissait d’attirer l’attention des avocats concernant leurs obligations en matière de protection des données à caractère personnel, et de leur fournir des outils concrets pour sécuriser leurs pratiques professionnelles.

2 sessions ont eu lieu le 12 et le 20 juin 2025, à la Maison de l’Avocat.

L’article Formations dispensées par le cabinet : cybersécurité et RGPD pour les avocats est apparu en premier sur Vettier Avocat - Avocat RGPD, Data, Numérique et Affaires.