Le Data Privacy Framework (DPF) repose, d’un côté, sur une décision d’adéquation (EU 2023/1795) adoptée par la Commission européenne en vertu de l’article 45 du RGPD, et de l’autre, sur un décret présidentiel américain (Executive Order 14086).
Les entreprises américaines doivent s’auto-certifier auprès du Department of Commerce (ministère du commerce américain) et s’engager à respecter un ensemble de principes de protection des données, similaires à ceux du RGPD.
Politiquement, le DPF incarne un compromis entre intérêts économiques et souveraineté numérique. Toutefois, ces garanties américaines reposent sur de décrets présidentiels, ce qui les rend facilement révocables par un changement de président américain.
Il répond aux critiques formulées par la Cour de justice de l’Union européenne dans l’arrêt Schrems II en renforçant l’encadrement des accès des autorités américaines aux données personnelles et en instaurant un droit de recours effectif pour les citoyens européens.
| LES PILIERS | CLARIFICATION |
|---|---|
| Notification | L’entreprise doit informer les personnes concernées des données collectées, des finalités du traitement, des moyens de contacter l’organisation et de leurs droits. |
| Choix | L’individu doit pouvoir s’opposer à certains traitements ou à la transmission de ses données à des tiers, en particulier pour des finalités différentes. |
| Transfert ultérieur | Les données ne peuvent être transmises à des tiers que si ceux-ci offrent un niveau de protection équivalent et contractuellement encadré. |
| Sécurité | L’entreprise doit mettre en place des mesures de sécurité appropriées pour protéger les données personnelles contre tout accès ou usage non autorisé. |
| Intégrité des données et de limitation de la finalité | Les données doivent être exactes, pertinentes et utilisées uniquement pour les finalités pour lesquelles elles ont été collectées, sauf pour des besoins légitimes d’archivage, de recherche ou d’intérêt public. |
| Principe d’accès | Les personnes doivent pouvoir accéder à leurs données et les corriger, modifier ou supprimer si elles sont inexactes ou traitées en violation des principes. |
| Principe de recours, d’application et de responsabilité | L’entreprise doit offrir un mécanisme de recours accessible et se soumettre à des contrôles et sanctions en cas de non-respect des principes. |
En pratique, le DPF facilite les transferts de données personnelles vers les États-Unis, offrant une stabilité juridique pour les acteurs économiques. Toutefois, il ne bloque pas l’application du Cloud Act, qui peut imposer un accès aux données à des fournisseurs soumis au droit américain, même lorsque celles-ci sont hébergées en Europe. Cette situation souligne l’importance de recourir à des solutions de cloud souverain, pleinement hébergées en Union européenne.
Dans son pourvoi du 31 octobre 2025 devant la CJUE, Philippe Latombe conteste l’arrêt du Tribunal du 3 septembre 2025 en soulevant quatre moyens principaux : il reproche au Tribunal des erreurs de droit et d’appréciation concernant l’indépendance et la légalité de la Data Protection Review Court (DPRC), la collecte en vrac des données sans autorisation préalable conformément à Schrems II, le rejet des arrêts de 2020 et 2024 sur la conservation généralisée des données, et le pouvoir du président américain d’actualiser secrètement les objectifs de collecte en vertu de l’Executive Order 14086.