Le Data Privacy Framework fait suite à deux précédents cadres de transfert de données entre l’Union européenne et les États-Unis, invalidés par la Cour de justice dans les arrêts Schrems I et Schrems II, au motif qu’ils ne garantissaient pas un niveau de protection des libertés et droits fondamentaux substantiellement équivalent à celui assuré par le droit de l’Union européenne.
Suite à la dernière de ces invalidations, les États-Unis ont adopté le 7 octobre 2022 un décret présidentiel renforçant les mesures de protection de la vie privée applicables aux activités des agences de renseignement américaines. Ce décret a été complété par un règlement du procureur général modifiant les dispositions encadrant la création et le fonctionnement de la Data Protection Review Court (DPRC), une juridiction chargée du contrôle de la protection des données.
C’est dans ce contexte que la Commission européenne a adopté le 10 juillet 2023 une décision d’adéquation. La décision a fait l’objet d’un recours en annulation devant le Tribunal de l’Union européenne, qui l’a rejeté le 3 septembre 2025. Le recours visait principalement deux aspects : l’indépendance de la DPRC et l’encadrement de la collecte « en vrac » de données par les agences de renseignement américaines.
Le rejet du recours par le Tribunal
Le Tribunal a écarté l’ensemble de ces griefs. S’agissant de l’indépendance de la DPRC, il a relevé que la nomination des juges de la juridiction ainsi que son fonctionnement sont assortis de plusieurs garanties visant à assurer l’indépendance de ses membres.
En ce qui concerne la collecte en vrac de données, le Tribunal a souligné qu’aucun élément dans l’arrêt Schrems II n’exige une autorisation préalable délivrée par une autorité indépendante. La décision autorisant une telle collecte doit au minimum faire l’objet d’un contrôle judiciaire a posteriori, ce que garantit la surveillance exercée par la DPRC[1]. Le Tribunal a également constaté que le décret présidentiel américain fixe des règles claires et précises pour cette collecte, limitée à six objectifs déterminés : lutte contre le terrorisme, espionnage, prolifération des armes de destruction massive, cybermenaces, menaces contre le personnel américain ou allié, et criminalité transnationale[2].
Le Tribunal a enfin rappelé que la Commission européenne est tenue de suivre de manière permanente l’application du cadre juridique américain. Si celui-ci venait à changer, la Commission pourrait décider de suspendre, modifier ou abroger la décision d’adéquation.
Les trois points clés à retenir
- Le Tribunal de l’Union européenne a rejeté le 3 septembre 2025 le recours visant à annuler le Data Privacy Framework, validant ainsi le cadre de transfert de données entre l’Union Européenne et les États-Unis.
- Le Tribunal a confirmé l’indépendance suffisante de la Data Protection Review Court et l’encadrement de la collecte « en vrac » de données par les agences de renseignement américaines.
- La Commission européenne demeure tenue de surveiller l’application du cadre juridique américain et peut suspendre ou modifier la décision d’adéquation en cas d’évolution.
[1] « Transferts de données UE-USA : validation du nouveau cadre par le Tribunal de L’UE », Evolutio, 11/09/25.
[2] « Le nouveau cadre de transfert de données personnelles vers les États-Unis est validé par le juge », Open, 03/12/25.