La validation du Data Privacy Framework devant le juge de l’Union : vers une équivalence substantielle assouplie
En rejetant le recours Latombe, le Tribunal de l’Union européenne a confirmé la validité du Data Privacy Framework. Il a préféré juger au fond plutôt que de trancher la recevabilité, admettant la légalité d’un mécanisme de recours inédit et d’un encadrement assoupli de la surveillance américaine en vrac. Ce choix sécurise les transferts transatlantiques mais laisse ouvertes d’importantes interrogations sur l’effectivité des droits des personnes concernées et sur la portée de l’« équivalence substantielle ».
Le recours Latombe et la stratégie contentieuse du Tribunal
Le contentieux des transferts de données vers les États-Unis est devenu l’un des terrains privilégiés où s’affirme la portée extraterritoriale du droit de l’Union. Après l’invalidation du Safe Harbor en 2015 (CJUE 6 oct. 2015, Schrems I, aff. C-362/14, AJDA 2015. 2257, chron. E. Broussy, H. Cassagnabère et C. Gänser 
; D. 2016. 111 , note B. Haftel ; ibid. 88, point de vue C. Castets-Renard ; ibid. 2025, obs. L. d’Avout et S. Bollée ; AJ pénal 2015. 601, obs. E. Daoud ; Dalloz IP/IT 2016. 26, étude C. Théard-Jallu, J.-M. Job et S. Mintz ; JAC 2015, n° 29, p. 11, obs. E. Scaramozzino ; JT 2015, n° 180, p. 14, obs. E. Scaramozzino ; Rev. crit. DIP 2022. 287, étude U. Kohl ; RTD eur. 2015. 786, obs. M. Benlolo Carabot ; ibid. 2017. 361, obs. F. Benoît-Rohmer ; ibid. 365, obs. F. Benoît-Rohmer ) puis du Privacy Shield en 2020 (CJUE 16 juill. 2020, Schrems II, aff. C-311/18, Dalloz actualité, 22 juill. 2020, obs. C. Crichton ; D. 2020. 2432 , note C. Castets-Renard ; ibid. 2022. 2002, obs. W. Maxwell et C. Zolynski ; AJ contrat 2020. 436 , obs. T. Douville ; Dalloz IP/IT 2020. 640, obs. B. Bertrand et J. Sirinelli ; Rev. crit. DIP 2020. 874, Eclairages A. d’Ornano ; ibid. 2022. 287, étude U. Kohl ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer ), la Commission a adopté, le 10 juillet 2023, une nouvelle décision d’adéquation fondant le Data Privacy Framework (DPF). Cette troisième tentative visait à restaurer une base juridique sûre pour les flux transatlantiques, alors que les services numériques européens reposent massivement sur des solutions américaines.
C’est dans ce contexte que le député français Philippe Latombe a introduit un recours en annulation devant le Tribunal de l’Union (TFUE, art. 263), contestant la décision d’adéquation. L’initiative était inédite : jusque-là, les annulations avaient résulté de questions préjudicielles posées par des juridictions nationales, saisies par des utilisateurs ou des associations (High Court irlandaise dans Schrems II).
Or, les conditions de recevabilité des recours directs en annulation sont strictes. La décision d’adéquation est bien un acte réglementaire sans mesures nationales d’exécution, immédiatement applicable et de portée générale. Les autorités nationales de contrôle comme la CNIL assurent un suivi, toutefois ce rôle ne saurait être assimilé à une « mesure d’exécution ». Mais restait à déterminer si un particulier pouvait être considéré comme « directement concerné ». La jurisprudence exige en effet que l’acte produise immédiatement des effets sur sa situation juridique, sans intermédiaire ni marge d’appréciation.
Deux lectures étaient possibles. On pouvait soutenir que l’acte autorise immédiatement les transferts vers les organisations américaines inscrites sur la liste du Department of Commerce et affecte donc directement les données de M. Latombe, utilisateur de services comme Microsoft 365, Google ou Doctolib. À l’inverse, on pouvait estimer que la décision vise d’abord les responsables de traitement et les exportateurs de données, les citoyens n’étant touchés qu’indirectement, via leurs relations contractuelles. L’existence d’autres bases juridiques pour les transferts (clauses contractuelles types, règles d’entreprise contraignantes, dérogations de l’art. 49 RGPD) affaiblissait encore le lien de causalité directe.
Le Tribunal a choisi d’éviter ce débat. Sur le fondement de l’article 130 de son règlement de procédure, il a rejeté le recours directement au fond, sans examiner la recevabilité. Cette option, juridiquement possible mais rarement utilisée, traduit une stratégie claire : assurer la sécurité juridique des transferts en évitant de prolonger l’incertitude. En pratique, ce silence équivaut à reconnaître que le recours individuel d’un citoyen aurait probablement été jugé irrecevable, mais sans inscrire cette irrecevabilité dans une jurisprudence qui fermerait la voie à tout contrôle ultérieur.
Ce choix est révélateur. La Cour de justice n’avait pas hésité à invalider Safe Harbor et Privacy Shield par la voie préjudicielle. Ici, le Tribunal privilégie la sécurité juridique immédiate, préférant trancher sur le fond plutôt que de risquer de laisser planer un doute durable sur la validité du DPF.
La DPRC et le CLPO comme figures nouvelles du droit au recours
Le débat portait surtout sur le mécanisme de recours mis en place par l’executive order 14086 du 7 octobre 2022. Cette ordonnance présidentielle visait explicitement à corriger les failles relevées dans Schrems II : absence de juge indépendant, absence de décisions contraignantes, impossibilité pour les individus d’obtenir un contrôle juridictionnel effectif.
Deux organes successifs sont institués. Le Civil Liberties Protection Officer (CLPO), placé auprès du Director of National Intelligence, reçoit les réclamations des individus qui estiment que leurs données ont été collectées en violation du droit applicable. Il est protégé statutairement, ne pouvant être révoqué qu’en cas de faute grave ou de négligence. En appel, la Data Protection Review Court (DPRC), composée de juges nommés par le procureur général après consultation du Privacy and Civil Liberties Oversight Board (PCLOB), peut réformer ses décisions et adresser des injonctions contraignantes aux agences de renseignement comme au gouvernement. Contrairement au médiateur du Privacy Shield, dépourvu de pouvoirs réels, la DPRC dispose donc d’un pouvoir de contrainte.
Le Tribunal valide ce mécanisme, considérant que les garanties d’indépendance et d’impartialité sont suffisantes : critères de nomination et de révocation, assujettissement aux standards éthiques des juges fédéraux, force obligatoire des décisions.
Toutefois, l’effectivité pratique du recours demeure incertaine. Le système repose sur une logique particulière : un citoyen européen peut déposer une plainte sans avoir connaissance d’une interception précise. Le CLPO, puis éventuellement la DPRC, instruisent alors le dossier en consultant les agences et des informations classifiées. Le plaignant ne reçoit qu’une réponse standardisée (« recours examiné et clôturé » ou « mesures correctrices prises »), sans indication sur l’existence d’une surveillance ni sur l’usage concret de ses données. Le justiciable ne dispose donc ni d’un accès à son dossier, ni d’une information sur l’usage de ses données.
Cette opacité est justifiée par la protection du secret du renseignement, mais elle réduit mécaniquement la portée du droit au recours. Là où le droit de l’Union fait du droit à l’information un préalable à l’exercice des voies de droit (RGPD, art. 14 ; Charte UE, art. 47), le système américain substitue une logique de contrainte interne : ce n’est pas l’individu qui contrôle, mais une juridiction spécialisée qui agit ex officio et impose, le cas échéant, des mesures correctrices. L’appréciation du Tribunal demeure toutefois fragile : c’est dans la mise en pratique et la capacité réelle de la DPRC à s’imposer face aux agences de renseignement américaines que cette équivalence sera jugée crédible. L’appréciation de l’effectivité de ce mécanisme pourrait s’avérer délicate pour la Commission européenne dans le cadre du contrôle de l’exécution de ce mécanisme qu’il lui appartient de faire.
Le Tribunal admet cette logique en considérant que l’équivalence substantielle n’exige pas une identité de mécanismes, mais un niveau global de protection. L’absence d’information individuelle serait compensée par l’existence d’un contrôle juridictionnel contraignant a posteriori. Ce raisonnement marque une inflexion par rapport à Schrems II, où la Cour de justice de l’Union européenne avait insisté sur la nécessité de garanties « opposables et effectives » (pts 181-182). Là où la Cour avait exigé la combinaison d’un droit d’accès et d’un recours effectif, le Tribunal admet que la substitution d’un contrôle juridictionnel interne, indépendant mais opaque, peut suffire à satisfaire l’exigence d’« équivalence substantielle ».
On peut y voir un assouplissement pragmatique, dicté par la volonté de stabiliser un cadre transatlantique fragile, mais cette souplesse crée une zone de tension : jusqu’où l’exigence d’équivalence substantielle peut-elle s’accommoder d’un recours dont l’effectivité repose sur une contrainte institutionnelle difficile à mesurer, plutôt que sur la transparence et la participation des individus ?
La collecte en vrac et l’assouplissement du standard européen
Le second point sensible concernait la surveillance en vrac, c’est-à-dire l’interception de volumes importants de données en transit sans discriminants techniques. Le débat souffrait d’ambiguïtés terminologiques. La « collecte massive », entendue comme indifférenciée et dépourvue de garanties, est interdite en droit américain. La « collecte ciblée », fondée sur des identifiants précis, demeure la norme. Entre les deux se situe la « collecte en vrac », permise de façon exceptionnelle lorsqu’une collecte ciblée est impossible pour certaines priorités de renseignement.
L’executive order 14086 encadre cette collecte en la limitant à six objectifs spécifiques (terrorisme, espionnage, prolifération des armes de destruction massive, cybermenaces, menaces contre le personnel, criminalité transnationale). Elle impose une logique de proportionnalité et de nécessité, et prévoit des garanties procédurales (minimisation, contrôle interne, supervision par le PCLOB et par le Congrès).
Le requérant soutenait que l’absence d’autorisation préalable indépendante violait les articles 7 et 8 de la Charte. Le Tribunal rejette l’argument, considérant que, pour l’étape initiale de la collecte en vrac, l’absence de contrôle ex ante peut être compensée par un contrôle ex post contraignant, assuré par la DPRC. Il se réfère à la jurisprudence de la Cour européenne des droits de l’homme (CEDH 25 mai 2021, Big Brother Watch c/ Royaume-Uni, nos 58170/13, 62322/14 et 24960/15, Dalloz actualité, 28 mai 2021, obs. M.-C. de Montecler ; AJDA 2021. 1060 ; D. 2022. 2002, obs. W. Maxwell et C. Zolynski ; Légipresse 2022. 253, obs. N. Mallet-Poujol ; RTD civ. 2021. 843, obs. J.-P. Marguénaud ), qui admet l’interception en masse à condition qu’elle soit encadrée par des garanties à chaque étape.
Ce raisonnement traduit un nouvel infléchissement par rapport à Schrems II, où la Cour de justice avait jugé les programmes américains disproportionnés et dépourvus de garanties opposables. Le Tribunal adopte une conception plus souple de l’équivalence substantielle, estimant qu’un faisceau de garanties ex post peut suffire, même en l’absence d’autorisation préalable. Mais cette distinction entre « collecte en vrac » encadrée et « collecte de masse » prohibée pourrait devenir largement théorique si les finalités autorisées venaient à être interprétées extensivement par les autorités américaines.
Quelles perspectives ?
L’arrêt du 3 septembre 2025 stabilise un cadre juridique après une décennie de turbulences. Mais cette stabilisation demeure fragile : un pourvoi est possible et les juridictions nationales pourraient interroger la Cour par voie préjudicielle.
Deux variables seront décisives. La première est l’effectivité du recours américain : la DPRC devra prouver sa capacité à contraindre réellement les agences, au-delà de réponses standardisées. La seconde est l’évolution du droit du renseignement aux États-Unis, notamment la reconduction du FISA. La Commission, tenue d’un suivi permanent, pourrait devoir réviser sa décision en cas de manquement. De ce point de vue, une clarification sur la recevabilité des recours des particuliers aurait pu être utile pour mesurer la pression contentieuse qui pourrait peser sur la Commission dans cette fonction de suivi.
En validant le DPF, le Tribunal a privilégié la sécurité juridique immédiate et adopté une conception fonctionnelle de l’équivalence substantielle. Reste à savoir si cette lecture assouplie résistera à l’examen, plus exigeant, de la Cour de justice.
Trib. UE 3 sept. 2025, aff. T-553/23
par Brunessen Bertrand, Professeure à l'Université de Rennes, Chaire Jean Monnet - Membre de l'Institut universitaire de France
© Lefebvre Dalloz