Le Tribunal de l’Union européenne (première instance) a rendu, le 3 septembre 2025, un arrêt décisif dans l’affaire Latombe c. Commission européenne (affaire T-553/23) : il rejette le recours visant à annuler la décision d’adéquation de la Commission du 10 juillet 2023 relative au Data Privacy Framework (ci-après le « DPF »), permettant le transfert de données personnelles de l’UE vers les États-Unis sans mesures supplémentaires (pour les entreprises certifiées dans ce cadre). Ce jugement assure une stabilité bienvenue aux entreprises transatlantiques… mais invite à rester vigilant.
Contexte et cadre juridique
-
Le DPF, adopté par la Commission européenne en juillet 2023, remplace les précédents accords (Safe Harbor et Privacy Shield) invalidés par la Cour de justice de l’UE (CJUE) en raison d’un niveau de protection jugé insuffisant face aux pratiques de surveillance américaine.
-
Peu après son adoption, Philippe Latombe, député français, avait assigné la Commission en annulation, invoquant notamment le manque d’impartialité de la Data Protection Review Court (Le DPRC est l’instance américaine indépendante chargée d’examiner, a posteriori, les plaintes des citoyens européens relatives aux activités de surveillance menées par les services de renseignement américains, lorsque celles-ci sont susceptibles de contrevenir aux garanties prévues par le Data Privacy Framework) et l’absence de garanties concrètes contre la collecte massive de données à caractère personnel par les services du gouvernement des États-Unis.
La décision du Tribunal
-
Le Tribunal a rejeté la demande d’annulation, estimant que, au moment de son adoption, le DPF garantissait un niveau de protection « adéquat » au sens du RGPD .
-
Concernant la DPRC, le Tribunal a considéré que :
- Le Tribunal a également souligné le devoir de la Commission européenne de surveiller en continu l’évolution du cadre légal américain, et de pouvoir suspendre ou abroger la décision en cas de changements substantiels.
Points de vigilance et critiques de la décision
Même si ce jugement apporte un répit juridique en ce qui concerne la validité du DPF, plusieurs critiques persistent :
-
Certains estiment que le Tribunal a eu raisonnement circulaire : le DPF est jugé adéquat parce qu’une décision de la Commission l’a déclaré comme tel, sans vérification indépendante de l’efficacité réelle des mécanismes de recours auprès du DPRC. En effet, cet organe traite uniquement des recours concernant des cas ou des données personnelles auraient été traitées par la NSA ou une autre agence de renseignement américaine dans le cadre d’une activité de surveillance selon un processus assez opaque (les plaignants n’ont pas accès au contenu de la décision mais sont seulement informés si il y a eu une violation ou pas de leurs droits) et cet organe n’est pas compétent pour d’autres recours notamment en matière de traitements automatisés des données personnelles dans un contexte commercial (par exemple par des entreprises privées américaines comme Google, Meta, Amazon, etc..).
-
Le tribunal n’a pas non plus remis en cause l’indépendance de cet organe alors que cet organe est très lié à l’exécutif et qu’il n’y a pas de possibilité de faire appel de ses décisions. Par ailleurs, certains membres du board du DPRC, le PCLOB (l’organe indépendant chargé de superviser que les agences de renseignement américaines respectent la vie privée et les libertés civiles) ont étés suspendus par l’administration Trump en 2025.
-
Enfin, il faut tenir compte qu’un un appel devant la CJUE n’est pas exclu contre cette décision du Tribunal, ce qui laisse conclure que il n’est pas exclu que le DPF soit annulé par la suite.
Conclusion
Le Tribunal confirme aujourd’hui le cadre juridique du DPF, renforçant la prévisibilité pour les transferts de données transatlantiques. Toutefois, les doutes sur son efficacité pratique, ainsi que la possibilité d’un appel, invitent à rester attentif aux évolutions à venir.
Comment le cabinet MD-LEX peut vous aider ?
MD-LEX est votre partenaire juridique pour vous aider à évaluer vos transferts de données transatlantiques. Notre cabinet reste à votre disposition pour un suivi personnalisé.
Pour plus d’informations ou une consultation sur mesure, n’hésitez pas à nous contacter : info@md-lex.be