L'examen de la sphère de sécurité signifie que les activités se poursuivent comme d'habitude - pour l'instant

L'examen de la sphère de sécurité signifie que les activités se poursuivent comme d'habitude – pour l'instant

Par Danny Bradbury • 7 October 2025

Septembre a marqué un tournant pour les entreprises européennes souhaitant partager des données avec les États-Unis. Le Tribunal de l'Union européenne a rejeté une contestation d'un cadre de protection de la vie privée entre les deux pays. Cela signifie que les organisations américaines peuvent continuer à importer des données personnelles depuis l'UE.

La contestation du Cadre de protection des données UE-États-Unis (DPF) émanait du parlementaire français Philippe Latombe. Il était mécontent des modalités de ce Cadre, qui permet à des milliers d'entreprises américaines de transférer légalement des données personnelles de l'UE. Il avait contesté une décision de l'UE autorisant le DPF à fonctionner, pour deux motifs.

Premièrement, il a affirmé que la Cour de contrôle de la confidentialité des données (DPRC) des États-Unis n'était ni indépendante ni impartiale. Cette cour, mandatée par le Cadre, est un organisme géré par les États-Unis qui examine les plaintes des résidents de l'UE concernant le traitement de leurs données. Il a également dénoncé la collecte massive de données par les agences de renseignement américaines sans l'autorisation préalable de la Cour, qui violait la Charte des droits fondamentaux de l'UE.

Ce n'était pas la première fois que l'UE était confrontée à des contestations de cadres de protection de la vie privée. L'avocat Max Schrems avait déjà contesté deux tentatives de cadres d'équivalence entre l'UE et les États-Unis.

Schrems a déposé sa première plainte en 2013, contestant les transferts de données de Facebook aux États-Unis dans le cadre du Safe Harbor, suite aux révélations d'Edward Snowden sur la surveillance de la NSA. L'arrêt Schrems I d'octobre 2015 a invalidé entièrement le Safe Harbor, jugeant que les lois américaines sur la surveillance autorisaient des interférences allant au-delà du « strictement nécessaire ».

L'UE et les États-Unis ont réessayé avec le Privacy Shield, qui a remplacé le Safe Harbor en 2016. Mais l'arrêt Schrems II a immédiatement contesté le nouveau cadre et les clauses contractuelles types, arguant que les autorités de surveillance américaines sous-jacentes restaient inchangées. La décision Schrems II de juillet 2020 a invalidé le Privacy Shield tout en confirmant les clauses contractuelles types (CCT), des accords européens que les organisations peuvent utiliser pour autoriser les transferts de données. Ces accords nécessitent des analyses d'impact sur les transferts (AIT), qui obligent les entreprises à effectuer leurs propres vérifications préalables pour déterminer si les données de l'UE seront protégées dans le pays de destination.

Un échec à convaincre la Cour

Si Latombe avait obtenu gain de cause dans sa contestation initiale, les entreprises auraient été replongées dans le monde complexe des SCC. Cependant, la Cour ne lui a pas donné raison. Les juges ne peuvent être nommés à la Cour que par le procureur général, a-t-elle soutenu, estimant que cela correspondait à la définition de l'indépendance. Elle a également ajouté que les tribunaux de collecte de masse n'exigeaient pas d'approbation préalable pour la collecte de masse en vertu de l'arrêt Schrems II. Elle a plutôt déclaré : ex post Une autorisation (après coup) suffit. La DPRC le prévoit déjà.

Tout cela indique que les protections prévues par la loi américaine sont « essentiellement équivalentes » à celles prévues par la loi européenne, selon la décision, selon la Annonce de la CJUE.

Ce n'est pas fini tant que ce n'est pas fini

Alors, qu'est-ce que cela signifie pour le statu quo ? À première vue, cela suggère que les entreprises américaines peuvent continuer à transférer les données des citoyens de l'UE en toute impunité. Mais ne négligeons pas encore les textes de loi ; de nouvelles actions en justice sont déjà en cours, ce qui laisse penser que le problème n'est pas résolu.

NOYB (l'organisation de Schrems, acronyme de « None Of Your Business ») soutient que le DPF ne fait que reformuler les mêmes pouvoirs de surveillance que la CJUE a rejetés à deux reprises. « Les protections prévues par le nouvel accord sont quasiment identiques aux accords précédents que la CJUE a jugés illégaux dans les affaires Schrems I et Schrems II », a-t-elle déclaré. « Sur certains points, les protections sont encore plus faibles que dans l'ancien décret, qui n'étaient pas suffisantes pour la CJUE. Il est donc surprenant que le Tribunal ait rendu une décision différente sur la troisième version de l'accord UE-États-Unis par rapport aux deux versions précédentes. »

Latombe peut désormais faire appel, la date limite de dépôt étant fixée à la mi-novembre de cette année. Face aux critiques des défenseurs de la vie privée concernant cette décision, il est probable que le DPF soit confronté à de nouvelles attaques.

Dans cette optique, les organisations auraient intérêt à adopter une approche multidimensionnelle du transfert de données, la stratégie la plus juridiquement résiliente, affirment les juristes. Les règles d'entreprise contraignantes (REC) jouent également un rôle à cet égard. Il s'agit d'accords que les entreprises concluent avec les autorités de régulation pour transférer des données au sein de leurs propres bureaux au-delà des frontières nationales.

« Pour l'instant, le DPF reste une voie valide et simplifiée pour les transferts de données personnelles de l'UE vers les États-Unis. » Explique Cabinet d'avocats Clifford Chance. « Construisez autour de ce principe, tenez à jour les manuels SCC/BCR, actualisez les évaluations d'impact des transferts (en faisant référence à l'EO 14086 et au DPRC, le cas échéant) et surveillez à la fois les appels et le contexte de surveillance américain », a conseillé le cabinet.

En 2021, le Comité européen de la protection des données (CEPD) a également lignes directrices publiées Ce document explique comment les exportateurs de données peuvent contribuer à préserver la protection des données de l'UE lors de l'exportation de données vers d'autres pays. Il recommande aux exportateurs de documenter intégralement leurs transferts de données et de vérifier l'outil de transfert utilisé conformément à l'article 46 du RGPD. Outre les CSP et les BCR, d'autres outils de ce type incluent les codes de conduite, les mécanismes de certification et les clauses contractuelles ad hoc. En l'absence d'accord d'adéquation, ils doivent également évaluer la législation du pays de destination. Il recommande également des mesures supplémentaires, telles que le chiffrement des données, dont les clés sont conservées dans l'UE.

Pour l'instant, la situation se poursuit normalement, mais les responsabilités en matière de gestion des risques imposent un plan de secours. Face au chaos gouvernemental à l'Ouest et au risque de nouvelles contestations judiciaires en Europe, les entreprises ne devraient pas se fier entièrement au DPF.

Danny Bradbury

Danny Bradbury est journaliste de presse écrite spécialisé en technologie depuis 1989 et écrivain indépendant depuis 1994. Il a écrit pour des publications nationales des deux côtés de l'Atlantique et a remporté des prix pour son travail de journalisme d'investigation sur la cybersécurité.

Lire la suite de Danny Bradbury

La cyber-sécurité 13 November 2025

Évaluation du changement de cap de l'administration Trump en matière de politique de cybersécurité américaine

Les récentes mesures exécutives et restructurations d'agences marquent un changement significatif dans la stratégie fédérale en matière de cybersécurité, soulevant des questions sur la résilience nationale...

Danny Bradbury

La cyber-sécurité 23 October 2025

Pourquoi l'enquête de la FTC sur les chatbots devrait inquiéter les entreprises B2B

Le mois de septembre a marqué un tournant pour les défenseurs de l'éthique de l'IA. La FTC a émis des ordonnances en vertu de l'article 6(b) contre sept grandes entreprises technologiques qui produisent des chatbots…

Danny Bradbury

La cyber-sécurité 23 September 2025

bannière lorsque les systèmes existants échouent

Lorsque les systèmes existants échouent : les leçons de la violation des tribunaux fédéraux

Des cyberattaques se produisent quotidiennement, mais certaines sont particulièrement effrayantes. Une attaque cet été contre le système judiciaire américain aurait dû faire froid dans le dos…

Danny Bradbury

L'examen de la sphère de sécurité signifie que les activités se poursuivent comme d'habitude – pour l'instant

Un échec à convaincre la Cour

Ce n'est pas fini tant que ce n'est pas fini

Danny Bradbury

Articles connexes

Évaluation du changement de cap de l'administration Trump en matière de politique de cybersécurité américaine

Contrôle continu en action : nouvelles API et mises à jour d’intégration d’IO

Ce que l'affaire Deloitte Australie révèle sur les risques liés à la gestion de l'IA

Lire la suite de Danny Bradbury

Évaluation du changement de cap de l'administration Trump en matière de politique de cybersécurité américaine

Pourquoi l'enquête de la FTC sur les chatbots devrait inquiéter les entreprises B2B

Lorsque les systèmes existants échouent : les leçons de la violation des tribunaux fédéraux