Aristotelis Zervos
Aristotelis Zervos, directeur de la rédaction de 2B Advice, allie expertise juridique et journalistique en Protection des données, la conformité informatique et la réglementation de l'IA.
Le 3 septembre 2025, le Tribunal de l'Union européenne (TUE) a rendu une décision importante concernant la protection transatlantique des données dans l'affaire T-553/23 (Latombe/Commission). Par cet arrêt, la Cour rejette le recours contre la Décision d'adéquation du 10 juillet 2023 et confirme ainsi la validité du cadre UE-États-Unis sur la protection des données. Pour les entreprises de l'UE, cela signifie pour l'instant une sécurité juridique en matière de Transmission de données à caractère personnel vers les États-Unis. Toutefois, les entreprises restent tenues de gérer activement le transfert de données vers les États-Unis.
Le cadre de protection des données UE-USA au banc d'essai
La décision de la CJCE se rattache à une longue histoire juridique. Après les arrêts de la CJCE "Schrems I" (2015) et "Schrems II" (2020), les anciens cadres de protection des données "Sphère de sécurité" et "Bouclier de protection des données" a été déclaré nul et non avenu.
Car les Transmission des données à caractère personnel de l'UE vers des pays tiers est soumise à des critères stricts qui sont ancrés dans l'article 8, paragraphe 1, de la Charte des droits fondamentaux de l'UE et dans l'article 16, paragraphe 1, du TFUE. Sur cette base, la RGPD (art. 45 et suivants) prévoit que les transferts de données sont autorisés sans autre autorisation si la Commission constate un niveau de protection des données adéquat pour le pays tiers concerné.
Par la décision d'exécution (UE) 2023/1795, la Commission a admis l'existence d'un tel niveau de protection pour les États-Unis. Les réformes introduites par le décret présidentiel 14086 et les mesures d'accompagnement prises par le procureur général des États-Unis ont joué un rôle déterminant à cet égard. Ces mesures renforcent la protection des données dans le domaine des services de renseignement et établissent un nouvel organe de contrôle judiciaire : le Data Protection Review Court (DPRC). Cet organe de contrôle indépendant doit garantir aux personnes concernées de l'UE une protection juridique efficace.
Le requérant conteste la décision d'adéquation
Le requérant, de nationalité française Philippe Latombe, a demandé l'annulation de la décision. Il a fondé son recours sur deux arguments principaux :
- Manque d'indépendance du DPRCIl a fait valoir que la nouvelle Cour de protection des données n'était pas indépendante, mais dépendait de l'exécutif.
- Collectes illégales de données par les services de renseignement américainsIl a dénoncé la pratique des autorités américaines, données à caractère personnel sans autorisation préalable n'est pas réglementée de manière suffisamment précise et est donc illégale.
Le TPI rejette les objections au cadre de protection des données UE-USA
Sur l'indépendance du DPRC
Le TPI a rejeté cette objection. La nomination des juges est liée à des garanties et leur révocation n'est possible que pour des raisons valables. De plus, l'influence de l'exécutif est limitée par des garanties procédurales. L'indépendance institutionnelle est donc suffisamment garantie.
Concernant la collecte collective de données à caractère personnel
Le tribunal a également rejeté le deuxième moyen. Il a précisé que l'arrêt Schrems II, il ne s'ensuit pas que toute forme de collecte doive obligatoirement faire l'objet d'une autorisation préalable par une autorité indépendante. Ce qui est déterminant, c'est qu'un contrôle judiciaire ultérieur soit possible. Celui-ci est désormais garanti aux États-Unis par le DPRC, de sorte qu'il existe un niveau de protection essentiellement équivalent à celui de l'Europe.
Première mise à l'épreuve après Schrems I et II
Avec sa décision, le TPICE a, pour la première fois après les deux arrêts Schrems, rendu un jugement transatlantique sur la question de la protection des données. Décision d'adéquation a été confirmé. Dans le même temps, le tribunal atteste que les Etats-Unis disposent d'un système de contrôle opérationnel, ce qui devrait permettre de répondre aux préoccupations exprimées jusqu'à présent.
Il reste toutefois critique que l'évaluation dépende fortement de l'efficacité pratique du DPRC. S'il s'avérait que les mécanismes de contrôle ne répondent pas aux exigences dans la pratique, la CJCE pourrait à nouveau intervenir pour corriger le tir dans le cadre d'un recours.
La décision du TPICE a une grande importance pratique : elle confirme que les États-Unis sont actuellement un pays compatible avec le RGPD offrir un niveau de protection des données substantiellement équivalent. La Commission européenne reste néanmoins tenue de surveiller régulièrement la mise en œuvre effective du cadre et d'assurer le Décision d'adéquation pour les États-Unis, à suspendre ou à adapter si nécessaire.
L'arrêt peut encore faire l'objet d'un recours devant la CJCE.
Le transfert de données vers les États-Unis doit tout de même être géré : Ce à quoi les entreprises doivent faire attention
Même si le Décision d'adéquation États-Unis, les entreprises restent tenues de gérer activement les transferts de données vers les États-Unis. La décision dispense Responsable ne sont pas dispensés de leurs obligations en matière de responsabilité et de documentation en vertu de la RGPD.
Les entreprises devraient être particulièrement attentives aux points suivants :
- Respecter les obligations de transparence: Personnes concernées doivent être informés de manière claire et compréhensible lorsque leurs données sont transférées vers les États-Unis.
- Minimisation des données vérifierles données ne doivent être transmises que si elles sont nécessaires à la finalité poursuivie
- Couvrir les contrats: Même en cas de Décision d'adéquation il est conseillé Clauses contractuelles types et de prévoir des mesures de protection complémentaires, notamment lorsque les données sont transmises à des sous-traitants.
- Contrôle des bénéficiairesLes entreprises devraient vérifier régulièrement si leurs prestataires de services américains sont effectivement certifiés dans le cadre du Data Privacy Framework UE-USA.
- Mettre en œuvre la gestion des risquesLes processus internes et les mesures techniques doivent garantir que les exigences en matière de protection des données sont également respectées dans le cadre des flux de données transatlantiques.
Ainsi, le transfert de données vers les États-Unis reste certes plus simple d'un point de vue juridique, mais il nécessite toujours une gestion active de la conformité et des risques.
Avec Ailance, le transfert de données est juridiquement sûr
Le respect des obligations en matière de protection des données lors du transfert de données vers les États-Unis peut être complexe. Surtout lorsque les entreprises travaillent avec de nombreux prestataires de services différents. Avec Ailancevous permet de garder une vue d'ensemble à tout moment :
- Surveillance automatisée des transferts de données
- Documentation de toutes les mesures de protection des données
- Évaluation des risques et recommandations d'action en temps réel
- Intégration transparente dans les processus existants
Apprenez-en plus sur Ailance et gérez votre transfert de données en toute sécurité juridique !
Aristotelis Zervos est directeur éditorial chez 2B Advice, juriste et journaliste avec un savoir-faire approfondi en matière de protection des données, RGPD, la conformité IT et la gouvernance de l'IA. Il publie régulièrement des articles approfondis sur la réglementation de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French