BCFC - stock.adobe.com
La justice européenne maintient le Data Privacy Framework
Le Tribunal de l'UE confirme la validité du EU-US Data Privacy Framework, qui apporte – du moins pour l'instant – une certaine sécurité aux entreprises qui échangent des données avec les États-Unis. Un appel pourrait être interjeté prochainement.
La Cour générale européenne (aussi appelée Tribunal) a rejeté l'action en justice intentée par le député de la 1ʳᵉ circonscription de Vendée, Philippe Latombe (qui se présentait à la Cour en tant que citoyen français), visant à annuler le cadre de protection des données entre l'UE et les États-Unis (Data Privacy Framework ou DPF).
Elle considère que ce cadre, sur lequel s'appuient les entreprises pour transférer des données entre l'UE et les États-Unis, garantit « un niveau adéquat » de protection des données à caractère personnel transitant entre l'UE et les États-Unis.
En octobre 2023, Philippe Latombe a contesté la légalité du cadre de protection des données entre l'UE et les États-Unis au motif que les services de renseignement américains collecteraient en masse des données en transit provenant de l'UE sans garanties adéquates pour la vie privée des citoyens européens.
Il a fait valoir que la Cour américaine de révision de la protection des données (DPRC), créée pour entendre les plaintes des citoyens européens qui estiment que leurs droits à la vie privée ont été violés par les agences de renseignement américaines, n'était ni impartiale ni indépendante du pouvoir exécutif américain.
La Cour luxembourgeoise a rejeté ces deux arguments, estimant que rien dans la jurisprudence européenne – établie dans l'affaire Schrems II en 2020 – n'obligeait les agences de renseignement américaines à demander une autorisation avant d'intercepter des données personnelles en vrac provenant de l'UE.
Les agences de renseignement américaines peuvent entamer ces collectes en vrac uniquement en dehors des États-Unis, après une validation des priorités de renseignement par le responsable de la protection des libertés civiles du directeur du renseignement national.
En outre, la Cour a estimé qu'il suffisait que les agences de renseignement américaines soient soumises au contrôle judiciaire du DPRC « a posteriori ».
Concernant la remise en cause de l’impartialité du DPRC, la Cour générale européenne statue que les États-Unis ont mis en place des garanties suffisantes pour assurer l'indépendance de ses membres vis-à-vis du pouvoir exécutif.
Les juges du DPRC ne peuvent être révoqués que par le procureur général, et uniquement pour un motif valable, et les agences de renseignement ne peuvent entraver ou influencer indûment leur travail, explique la Cour générale. S’ils sont nommés par le président des États-Unis, leur sélection est
« Par conséquent, la Cour générale estime qu'il ne peut être considéré que la collecte massive de données à caractère personnel par les agences de renseignement américaines ne satisfait pas aux exigences découlant de l'arrêt Schrems II [...] ou que la législation américaine ne garantit pas un niveau de protection juridique essentiellement équivalent à celui garanti par le droit de l'Union européenne », écrit-elle dans un communiqué.
Cette décision conforte les organisations et aux entreprises qui s'appuient sur le DPF pour échanger des données entre l'UE et les États-Unis.
Toutefois, l'arrêt rendu par la Cour le 3 septembre pourrait encore faire l'objet d'un recours devant la Cour de justice de l'Union européenne, qui a déjà invalidé deux accords précédents sur le partage de données entre l'UE et les États-Unis.
Max Schrems envisage de faire appel
La dernière contestation de l'accord de partage de données entre l'UE et les États-Unis fait suite à deux contestations antérieures introduites par l'avocat autrichien Max Schrems.
La Cour de justice de l'Union européenne a invalidé l'accord Safe Harbour entre l'UE et les États-Unis en octobre 2015, dans une affaire connue sous le nom de Schrems I.
En juillet 2020, dans l'affaire Schrems II, la Cour a invalidé l'accord qui lui a succédé, le Privacy Shield, au motif qu'il ne garantissait pas aux citoyens européens un droit de recours adéquat lorsque leurs données étaient collectées par les services de renseignement américains.
Les États-Unis ont adopté le décret présidentiel (Executive Order) 14086 en octobre 2022 afin de renforcer la protection des personnes surveillées par les agences de renseignement américaines. Une ordonnance du procureur général rendue la même année a conduit à la création de la Cour de révision de la protection des données.
Max Schrems, président honoraire de nyob, une organisation à but non lucratif qui milite pour la protection des données et la vie privée, envisage de faire appel de la décision du Tribunal de confirmer le cadre de protection des données.
Il affirme que le Tribunal de la Cour générale européenne semble s'être « considérablement écarté » de l'arrêt rendu par la Cour de justice de l'Union européenne dans l'affaire Schrems II, qui a invalidé l'accord précédant le cadre de protection des données en 2020.
Selon Max Schrems, les actions du président Trump aux États-Unis, qui a menacé de révoquer les dirigeants indépendants de la Réserve fédérale et de la Commission fédérale du commerce, montrent que l'indépendance de la Cour d'examen de la protection des données ne peut être garantie.
« La cour en question n'est même pas établie par la loi, mais simplement par un décret présidentiel, et peut donc être supprimée en un clin d'œil. Il est très surprenant que la Cour de justice de l'Union européenne estime que cela soit suffisant », avance-t-il.
Cette éventualité n’est pas véritablement écartée par la Cour générale européenne.
« Si le cadre juridique en vigueur aux États-Unis au moment de l’adoption de la décision attaquée change, la Commission peut décider, si nécessaire, de suspendre, modifier ou abroger la décision attaquée ou d’en restreindre le champ d’application. », souligne-t-elle.
Les transferts de données entre l'UE et les États-Unis protégés pendant « un certain temps »
Joe Jones, directeur de la recherche et des études à l'International Association of Privacy Professionals (IAPP), considère que la décision de la Cour maintient les transferts de données entre l'UE et les États-Unis « à flot » pendant un certain temps et soutiendrait une « part importante » du commerce transatlantique.
« Tous les regards se tournent désormais vers la Cour de justice de l’UE, qui a traditionnellement adopté une approche plus extensive dans les affaires relatives à la protection des données et qui a rejeté deux décisions sur deux concernant l'adéquation des données entre l'UE et les États-Unis », ajoute-t-il.
La Business Software Alliance, un organisme professionnel représentant l'industrie du logiciel américaine, cette décision apportent une stabilité aux entreprises et aux consommateurs de l'UE et des États-Unis qui dépendent des flux transfrontaliers de données.
Selon la BSA, le cadre de protection des données UE-États-Unis est essentiel pour l'économie numérique et aide les entreprises à adopter des technologies qui stimulent la croissance et la compétitivité.
« Les garanties intégrées dans le cadre assurent un niveau élevé de protection de la vie privée », assure un porte-parole.
La Commission européenne s'est opposée à la contestation judiciaire de Philippe Latombe, soutenue par l'Irlande et les États-Unis.
Pour approfondir sur Réglementations et Souveraineté
-
![]()
InCyber Forum 2025 : la confiance numérique dans la tourmente de l’ère Trump
Par: Alain Clapaud
-
![]()
IA : Meta prêche l’harmonisation des réglementations européennes
Par: Gaétan Raoul
-
![]()
Broadcom mise sur la souveraineté pour promouvoir VMware en Europe
Par: Yann Serra
-
![]()
Data privacy Framework : un accord qui passe difficilement en Europe
Par: Gaétan Raoul
