Le 3 septembre 2025, le Tribunal de l’Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis.
Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.
🟠 Par cette décision, le Tribunal confirme que, au moment de son adoption, la Commission pouvait valablement considérer que les États-Unis assuraient un niveau de protection « substantiellement équivalent » à celui exigé par le droit de l’Union Européenne, pour les transferts vers les entités américaines certifiées par le ministère du commerce.
Deux griefs majeurs avaient été soulevés par le requérant :
- Le manque d’indépendance de la Data Protection Review Court (DPRC), organe américain de recours pour les citoyens européens ;
- L’absence d’encadrement suffisant de la collecte en vrac de données par les agences de renseignement américaines.
🟠 Le Tribunal a estimé que la DPRC présente des garanties d’indépendance suffisantes : ses juges sont nommés avec des conditions strictes, ne peuvent être révoqués que pour motif valable, et ne sont pas soumis à l’influence des agences de renseignement ou du procureur général.
Concernant la collecte en vrac de données, le Tribunal rappelle que l’arrêt Schrems II n’exige pas une autorisation préalable indépendante, mais un contrôle judiciaire a posteriori. Or, le système américain prévoit bien un tel contrôle via la DPRC.
🟠 Enfin, le Tribunal souligne que la Commission européenne demeure tenue de surveiller en permanence l’évolution du cadre juridique américain. Elle conserve ainsi la possibilité de suspendre ou modifier la décision d’adéquation en cas de changement substantiel.
🟠 Conclusion : cette décision conforte la légalité du Data Privacy Framework et permet, pour l’heure, la poursuite des transferts de données UE-USA sans mesures supplémentaires (clauses contractuelles types, BCR, etc.), à condition que les entités américaines soient certifiées. Toutefois, la question reste sensible et susceptible d’un éventuel réexamen par la CJUE.
Pour en savoir plus / sources : https://curia.europa.eu/juris/document/document.jsf?text=&docid=303827&doclang=FR |
Le 3 septembre 2025, le Tribunal de l'Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis. Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.
Dans le cadre de son plan d’action initié en 2019 pour encadrer l’usage des cookies numériques, la CNIL a récemment prononcé deux sanctions majeures à l’encontre de Google et Shein, illustrant sa volonté de renforcer la protection des données personnelles des internautes.
Par une décision n° 2025‑1154 Question Prioritaire de Constitutionnalité (QPC) rendue le 8 août 2025, le Conseil constitutionnel a opéré un revirement majeur …
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.