Sans surprise, le Tribunal a rejeté le recours (PDF), considérant que, « à la date d’adoption de la décision attaquée, les États-Unis assuraient un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies dans ce pays ».
Rappelons que le Data Privacy Framework est un cadre d’échanges entre l’Europe et les États-Unis. Il établit que les protections offertes outre-Atlantique sont équivalentes à celles présentes en Europe. Le DPF est largement attaqué depuis sa sortie, d’autant plus qu’il est venu remplacer le Privacy Shield, qui avait déjà pris la relève du Safe Harbor, tous deux tombés après avoir été attaqués par Max Schrems.
Le DPF résiste malgré les soubresauts
Philippe Latombe souhaitait voir disparaitre cet accord d’adéquation, pour les mêmes raisons que les deux précédents cadres. À l’automne 2023, il expliquait ainsi que les conceptions européenne et américaine des données étaient irréconciliables : l’Europe considère que les données appartiennent à ceux qui les émettent, les États-Unis à ceux qui les collectent. Pour le député, la Data Protection Review Court mise en place aux États-Unis n’était par ailleurs ni indépendante ni impartiale.
Chez l’association noyb, Max Schrems affiche sa déception : « Nous voyons actuellement Trump destituer des responsables ‘indépendants’ de la FTC ou de la Réserve fédérale. La Cour en question n’est même pas établie par la loi, mais seulement par un ordre exécutif du président – et peut donc être révoquée dans la foulée. Il est très surprenant que la Cour de justice de l’Union européenne ait jugé cela suffisant. Si l’on compare cette affaire avec des affaires internes à l’UE telles que celles concernant la Pologne ou la Hongrie, il faut faire preuve d’une grande souplesse mentale pour accepter qu’il s’agisse d’une Cour indépendante ».
Rien n’empêche cependant Philippe Latombe de faire appel de la décision.