Le 3 septembre 2025, le Tribunal de l’Union européenne a confirmé la validité de la décision d’adéquation adoptée par la Commission européenne en faveur des États-Unis. Cette décision, attaquée par le député français Philippe Latombe, avait pour objectif de sécuriser juridiquement les transferts de données personnelles entre l’Union européenne et les États-Unis.
Le Tribunal vient donc confirmer que le cadre mis en place — le Data Privacy Framework (DPF) — est conforme au RGPD. Mais les autorités de protection des données, notamment la CNIL et le Datatilsynet, appellent à la vigilance : les entreprises doivent continuer à prévoir des solutions de secours pour leurs transferts de données.
Un long feuilleton juridique
Depuis l’invalidation du Privacy Shield en 2020 (arrêt Schrems II), les transferts de données vers les États-Unis étaient devenus juridiquement incertains. Pour rétablir un cadre clair, la Commission européenne a adopté, en juillet 2023, une nouvelle décision d’adéquation reconnaissant que les États-Unis offrent désormais un niveau de protection « adéquat » pour les données personnelles transférées depuis l’UE.
Cette décision s’appuie sur de nouvelles garanties mises en place par les autorités américaines, notamment la création d’un Data Protection Review Court, chargé de traiter les plaintes des citoyens européens en cas d’accès abusif à leurs données par les services de renseignement.
Le député Philippe Latombe avait déposé un recours en annulation contre cette décision, estimant que ces garanties restaient insuffisantes. Le Tribunal de l’UE vient de rejeter son recours, confirmant la solidité juridique du dispositif.
Ce que confirme le Tribunal de l’UE
Le Tribunal a jugé que la Commission européenne avait bien démontré que le niveau de protection offert par les États-Unis est essentiellement équivalent à celui garanti par le RGPD. Il reconnaît les progrès réalisés dans la législation américaine, notamment en matière de proportionnalité de la surveillance et de voies de recours pour les citoyens européens.
Concrètement, cette décision sécurise les transferts de données effectués sur la base du Data Privacy Framework, sans qu’il soit nécessaire de recourir à des clauses contractuelles types (SCC) ou à des dérogations particulières.
Pourquoi la prudence reste de mise
Malgré cette validation, plusieurs autorités, dont le Datatilsynet (Norvège), recommandent aux entreprises de rester vigilantes. L’histoire récente a montré que les précédents accords transatlantiques (Safe Harbor, Privacy Shield) ont fini par être invalidés après contestation.
Ainsi, il est conseillé aux organisations de prévoir des stratégies de secours : par exemple, maintenir en parallèle des clauses contractuelles types, évaluer régulièrement le cadre juridique américain, et documenter les analyses de risques liées aux transferts.
Les implications pour les entreprises
Pour les entreprises européennes, cette décision est une bonne nouvelle. Elle leur permet de poursuivre plus sereinement leurs échanges de données avec les prestataires américains — qu’il s’agisse de services cloud, CRM, solutions marketing ou hébergement.
Mais elle ne doit pas être perçue comme une immunité permanente. Les dirigeants et DPO doivent continuer à vérifier que leurs partenaires américains sont bien certifiés Data Privacy Framework et qu’ils respectent effectivement les principes de transparence, de sécurité et de limitation des accès.
Conclusion : un répit, mais pas une garantie éternelle
La validation du cadre transatlantique par le Tribunal de l’UE marque une étape importante pour la stabilité juridique des transferts de données. Mais la prudence reste de rigueur : l’équilibre entre innovation, souveraineté numérique et protection des données personnelles demeure fragile.
Pour les entreprises, cette décision offre une respiration bienvenue, mais aussi une responsabilité accrue : maintenir des pratiques conformes, documentées et adaptables.
