Le DPF, l’accord de transfert de données entre les États-Unis et l’Union européenne, ne va pas (pour l’instant) connaître le même sort que ces prédécesseurs, tous deux annulés par la justice européenne. Ce mercredi 3 septembre, le tribunal de l’Union européenne (UE) a rejeté le recours initié par le député de Vendée Philippe Latombe en septembre 2023.
L’élu français (Les Démocrates) demandait ni plus ni moins l’annulation de cet accord qui a remplacé le Privacy Shield et le Safe Harbor, les deux précédents textes retoqués par la justice européenne en 2020 et 2015. Deux ans plus tôt, le parlementaire nous avait expliqué son « coup de poker » : il estimait, comme Max Schrems, le fondateur de NOYB, l’association autrichienne à l’origine des deux premières « invalidations », que l’accord officialisé en juillet 2023 était « une copie conforme de cet accord précédent », le Privacy Shield.
Résultat, ce texte ne protège pas suffisamment les données personnelles des Européens, une fois aux États-Unis, soutenait-il – un avis partagé par le Parlement européen, les CNILs européennes, et des associations comme NOYB ou la Quadrature du Net, entre autres.
À lire aussi : Pourquoi le transfert de vos données personnelles aux Etats-Unis est un incroyable casse-tête
Lorsque l’on publie des stories sur Instagram, que l’on effectue des recherches sur Google Research, ou que l’on donne son avis sur un produit acheté sur Amazon, des données sur nos centres d’intérêt, sur nos habitudes, notre pouvoir d’achat ou notre localisation sont récupérées par les géants américains. Ces dernières finissent aux États-Unis, où elles ne sont pas autant protégées qu’en Europe, plaidait le député.
Nos données collectées par les agences US, selon le député
Les services secrets américains y ont notamment accès, en masse, en vertu d’une loi locale, la loi FISA. Ce texte autorise un accès massif et sans distinction aux données personnelles des Européens par le Renseignement américain. Or en Europe, nos lois imposent, pour tout transfert de nos données vers d’autres pays, que la règle suivante soit respectée : la protection de nos data (couvertes notamment par le RGPD, le Règlement européen sur les données personnelles) dans le pays de destination (donc les États-Unis) doit être équivalente à celle qui existe en Europe.
Et par deux fois, les juges européens ont estimé, en 2015 et en 2020, que ce n’était pas le cas. Les juges relevaient notamment des « ingérences dans les droits fondamentaux des personnes dont les données étaient transférées ». Ce constat appartiendrait désormais au passé, puisque ce « décalage » serait compensé, selon la Commission européenne, grâce au DPF, le nouvel accord transatlantique conclu en juillet 2023.
L’avis n’était pas partagé par Philippe Latombe, qui soutenait par exemple que le système de recours mis en place pour les Européens, aux États-Unis, n’était pas suffisant. Ainsi la « Data Protection Review Court (DPRC), la cour chargée aux États-Unis du contrôle de la protection des données » des Européens, n’était « ni impartiale ni indépendante, mais dépendante du pouvoir exécutif », expliquait-il.
À lire aussi : L’Europe est-elle vraiment sur le point de livrer nos données biométriques aux États-Unis ?
Un recours qui n’avait « jamais été fait auparavant »
Pour rappel, le recours initié par le parlementaire français contre le DPF n’avait « jamais été fait auparavant ». Le député nous avait expliqué agir, à titre individuel, sur le fondement d’un article du Traité sur le fonctionnement de l’UE (TFUE). L’article 263, alinéa 4 du TFUE, permet aux citoyens européens d’attaquer une décision de la Commission européenne, en formant un recours en annulation contre « les actes réglementaires qui les concernent directement et qui ne comportent pas de mesures d’exécution ». Et justement, le nouvel accord, le DPF, cocherait toutes les cases, voulait croire le député.
À tort, puisque ce mercredi, les juges européens ont finalement décidé que le recours n’était pas recevable. Le tribunal de l’UE estime que « le droit des États-Unis assure une protection juridique substantiellement équivalente à celle qui est garantie par le droit de l’Union ». Sollicité par 01net.com, le député n’avait pas répondu à notre demande, à l’heure de la publication de cet article. Max Schrems s’estime, de son côté, « très surpris de ce résultat ».
Dans un article publié sur le site de son association ce mercredi, le militant autrichien, qui attaque régulièrement les géants américains, explique être « convaincu qu’un examen plus large du droit américain – en particulier l’utilisation de décrets par l’administration Trump – devrait aboutir à un résultat différent. Nous examinons nos options pour introduire un tel recours ». Et « si la Commission a peut-être gagné une année supplémentaire, nous n’avons toujours pas de certitude juridique pour les utilisateurs et les entreprises », avance-t-il.
Note de la rédaction : cet article a été modifié pour ajouter la réaction de Max Schrems, fondateur de NOYB, ce mercredi 3 septembre (dernier paragraphe).
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Arrêt du tribunal de l'Union européenne du 3 septembre 2025
