Le transfert de données personnelles de l’Union européenne vers les États-Unis est depuis longtemps un véritable casse-tête juridique et opérationnel pour les entreprises des deux côtés de l’Atlantique. Invalidations et recours se sont multipliés ces dernières années.
En septembre 2023, le député de Vendée Philippe Latombe avait déposé un recours devant la CJUE, car il considère que le Data Privacy Framework (DPF) ne protège pas assez les données personnelles des européens lorsqu’elles sont hébergées dans le cloud d’opérateurs américains comme Google, Microsoft ou Amazon web service. Le principal axe du recours du député français concerne les collectes en vrac de données personnelles par les agences de renseignement à des fins de sécurité nationale.
Deux ans plus tard, la CJUE estime que « le droit des États-Unis assure une protection juridique substantiellement équivalente à celle qui est garantie par le droit de l’Union ». En un mot, les pratiques de collecte massive de données par les agences de renseignement américaines ont été jugées compatibles avec les droits fondamentaux de l’UE, compte tenu du système de contrôle judiciaire a posteriori.
Un feuilleton qui débute en 2013
Cet arrêt consolide le dernier accord transatlantique sur le transfert de données, le DPF. Toutefois, un recours devant la Cour de justice reste possible, car le cœur du problème est l’incompatibilité fondamentale entre le RGPD de l’UE, qui considère la protection des données comme un droit fondamental, et les lois de surveillance américaines, comme le FISA (Foreign Intelligence Surveillance Act instaurée dès 1978) et le Cloud Act.
Un feuilleton qui dure depuis plus de 10 ans ! Après la divulgation du programme de surveillance de la NSA par Edward Snowden en 2013, Maximilian Schrems (un activiste autrichien militant pour la protection des données privées) avait intenté une action en justice contre Facebook, ce qui a conduit à l’invalidation de Safe Harbor.
Le Privacy Shield avait été mis en place pour le remplacer en 2016, mais il a subi le même sort en 2020, après que Schrems a à nouveau intenté une action en justice. La CJUE avait de nouveau jugé que les programmes de surveillance américains, en particulier la Section 702 du FISA et l’Executive Order, étaient disproportionnés, et a également considéré que le mécanisme de médiation prévu ne se constituait pas un recours juridique suffisant.
C’est dans ce contexte de vide juridique que le DPF a été validé le 3 septembre 2025. La fin d’un long feuilleton ? Pas sûr. Max Schrems et son ONG NOYB restent sceptiques. Ils craignent la fragilité du DPF, car il repose sur un décret présidentiel qui pourrait être révoqué par une future administration, et non sur une loi.
Leur principal reproche ? Une notion de « nécessité et de proportionnalité » qui reste ouverte à l’interprétation et pourrait ne pas suffire à garantir une protection à long terme.
Dans l'actualité
- SAP investit plus de 20 milliards d’euros dans le cloud souverain afin de renforcer la conformité des secteurs régulés
- Microsoft avoue ne pas garantir la confidentialité des données
- Piratage du tiers payant : nos données personnelles sont-elles efficacement protégées ?
- Jean-Noël Patillon : « Il faut s’assurer que toutes les données des entreprises françaises ne soient pas exploitées par les États-Unis. »
- Bientôt la fin de l’été : tout ce qu’il faut savoir sur les îlots de chaleur urbains
- Le CASD, vitrine française de la souveraineté numérique européenne
- La quotidienne : revue de presse du 22 octobre 2025
Dans les ressources documentaires
- NIS2 et ISO/IEC 27001 – Vers une cyberrésilience de l’Union européenne
- Sécurité de l’information, cybersécurité et protection des données de vie privée - NF EN ISO/IEC 27001 : 2023
- Traçabilité et libertés individuelles
- Introduction au Big-Data — stockage, analyse et fouille des mégadonnées
- Système d’information hybride et sécurité : un retour à la réalité