Le Tribunal de l’Union européenne confirme la validité du Data Privacy Framework, nouveau mécanisme encadrant les transferts de données personnelles vers les États-Unis.
Une décision qui rassure les entreprises et les professionnels du numérique.
1. Un cadre transatlantique enfin stabilisé ?
Depuis l’invalidation du Privacy Shield en 2020, les transferts de données personnelles vers les États-Unis étaient juridiquement fragiles. Pour y remédier, la Commission européenne a adopté en juillet 2023 une décision d’adéquation fondée
sur le Data Privacy Framework, appuyé notamment sur le décret présidentiel américain n014086 du 7 octobre 2022.
Cette décision vient d’être validée par le Tribunal de l’UE (TUE, 3 sept. 2025, aff. 553/23), qui rejette le recours en annulation intenté par un député européen.
2. Une protection jugée « substantiellement équivalente »
Le Tribunal reconnaît que :
- Le système américain prévoit des règles claires et précises encadrant la collecte de données par les agences de renseignement
- La Data Protection Review Court, organe indépendant, assure un contrôle a posteriori des pratiques
- Les objectifs de collecte sont strictement limités (terrorisme, cybermenaces, espionnage, etc.)
- Le RGPD reste applicable dans la majorité des cas, notamment lorsque le responsable de traitement est établi dans l’UE
Résultat : le niveau de protection est jugé substantiellement équivalent à celui garanti par le RGPD.
3. Ce que cela change pour les entreprises
Les organisations qui transfèrent des données vers les États-Unis peuvent désormais s’appuyer sur le Data Privacy Framework sans craindre une invalidation immédiate. Cela concerne notamment :
- Les entreprises du numérique (SaaS, cloud, e-commerce)
- Les sous-traitants américains de données européennes
- Les responsables de traitement opérant des flux transatlantiques
Attention : la CJUE pourrait être saisie à son tour. La solidité du cadre dépendra de l’évolution du droit américain et du respect effectif des garanties annoncées.
En résumé
- Le Data Privacy Framework est validé par le Tribunal de l’UE
- Il offre un cadre juridique sécurisé pour les transferts de données vers les États-Unis
- Les entreprises peuvent s’y appuyer, tout en restant vigilantes sur les évolutions à venir
Vous transférez des données vers les États-Unis ? Notre cabinet vous accompagne dans la mise en conformité RGPD et l’analyse des risques transfrontaliers. Contactez-nous pour un audit personnalisé.
