OPINION. « Les transferts de données personnelles entre l’UE et les USA restent autorisés »

À la surprise générale, un arrêt de la Cour de justice de l’Union européenne du 3 septembre 2025 a validé le troisième cadre UE-USA pour la protection des données personnelles (DPF ou Data Privacy Framework)), autorisant ainsi les transferts de données (personnelles) entre l’Europe et les États-Unis, contrairement aux deux premiers accords, Safe Harbor et Privacy Shield, qui avaient été annulés par cette même cour. Le député Philippe Latombe revient bredouille de son action contre le DPF et Max Schrems, l’activiste qui était venu à bout de Safe Harbor et Provacy Shield est furieux.

Pourquoi la Cour, alors que Trump ne nous ménagera pas non plus sur le RGPD, a pris cette posture ?

Deux points du DPF étaient attaqués :

• La Data Protection Review Court (DPRC), censée traiter les plaintes des Européens qui pensent être surveillés par les agences de renseignement américaines, n’est pas considérée comme vraiment impartiale ou indépendante : elle a été instaurée par un décret présidentiel et reste sous influence du pouvoir exécutif, que ce soit sous Biden ou (surtout) Trump. Sa création par simple décret présidentiel soulève des interrogations sur sa neutralité.
• Les services de renseignement américains continuent de collecter en masse des données personnelles provenant de l’UE, sans autorisation préalable d’un juge ou d’une autorité indépendante, ce qui ne respecte pas l’esprit du RGPD. Ce troisième accord de transfert UE-USA (le DPF donc) n’a pas mis fin à cette pratique.

Tout semblait aligné pour une troisième annulation…

La cour dit non

Pour la Cour européenne de justice, la nomination des juges du DPRC et son fonctionnement ne posent pas de problème : leur désignation se fait après consultation du Privacy and Civil Liberties Oversight Board, garant de la vie privée et des libertés civiles aux États-Unis. Même si la cour dépend du pouvoir exécutif, sa mission même lui assure une indépendance suffisante selon le Tribunal européen.

Les juges de la DPRC ne peuvent être révoqués que par le procureur général (le ministre de justice) et seulement pour un motif valable. Ni le procureur général ni les agences de renseignement ne peuvent influencer leur travail. En pratique, ils ne sont pas supervisés quotidiennement par le procureur général, ce qui garantit leur indépendance.

Et puis, dit la Cour, la Commission européenne a le pouvoir de suspendre, de modifier ou d’abroger ce troisième accord ou de limiter sa portée si dérive il y a dans l’indépendance du DPRC. Bref, dit la Cour, le DPRC n’est pas coupable d’absence d’indépendance… et si c’est le cas, à la Commission de tout annuler…

Concernant la collecte en vrac des données entre l’UE et les États-Unis, la Cour rappelle que l’arrêt Schrems II qui annule Privacy Shield n’imposait pas non plus d’autorisation préalable d’une autorité indépendante. Cette collecte doit simplement être validée a posteriori, ce qui est le rôle du DPRC. Ainsi, cet argument de P. Latombe est rejeté. Cela va plus loin : la collecte en vrac de données entre les États-Unis et l’UE n’est pas une collecte ciblée. Cette pratique a déjà été validée par le passé, dont un arrêt de la Cour européenne des droits de l’homme (arrêt Big Brother Watch). Il suffit que la sécurité nationale soit en jeu.

Schrems furieux

Max Schrems qui n’a pas dit son dernier mot craint que Donald Trump puisse à tout moment remettre en cause l’indépendance du DPRC, lui qui a déjà annulé plusieurs ordres exécutifs de Biden. Il estime que le DPRC deviendra tôt ou tard une cible. La Cour européenne le sait : dans son arrêt, soulignant que, au moment de son adoption (sous la présidence Biden, pas maintenant), les États-Unis garantissaient un niveau adéquat de protection des données.

ARRÊT DU TRIBUNAL (dixième chambre élargie) — 3 septembre 2025 — Transfert de données à caractère personnel vers les États-Unis

Charles Cuvelliez et Francis Hayen