Le 3 septembre 2025, le Tribunal de l’Union européenne a rejeté la requête d’annulation introduite par le député français Philippe Latombe contre le Data Privacy Framework (DPF), permettant la poursuite légale des transferts de données personnelles de l’UE vers certaines organisations certifiées aux États-Unis. Le Tribunal a estimé que le DPF assure un niveau de protection « essentiellement équivalent » à celui du GDPR. Il s’agit d’un jugement en première instance, non encore confirmé par la Cour de justice de l’Union européenne (CJUE).
Cadre légal de référence
Selon le chapitre V du RGPD, les transferts de données hors UE nécessitent soit des garanties contractuelles (SCC/BCR), soit une décision d’adéquation (article 45 RGPD).
L’adéquation a été octroyée au DPF par la Commission en juillet 2023, appuyée par l’Executive Order 14086, introduisant réformes des pratiques de surveillance et instituant la Data Protection Review Court (DPRC).
Latombe contestait l’indépendance de la DPRC et dénonçait les capacités de surveillance de masse comme contraires au RGPD, reprenant les arguments des arrêts « Privacy Shield » (2020) et « Safe Harbor » (2015).
Principaux enseignements du Tribunal
Un examen au fond plutôt que sur la recevabilité : le Tribunal a choisi de juger directement la validité du DPF, sans trancher la question de l’admissibilité du recours.
Une évaluation au moment de l’adoption : la légalité s’apprécie au regard du contexte existant en juillet 2023, non des évolutions ultérieures.
La notion d’« équivalence essentielle » confirmée : le niveau de protection exigé n’implique pas une stricte identité avec le RGPD, mais une équivalence globale dans les garanties offertes.
Indépendance de la DPRC reconnue : le Tribunal a estimé que les mécanismes de nomination et les garanties d’impartialité suffisent à garantir son indépendance.
Collecte massive encadrée : l’absence d’autorisation préalable est compensée par des contrôles ex post, jugés conformes aux standards européens.
Conséquences pour les entreprises
Le DPF demeure un mécanisme valide pour les transferts UE–États-Unis.
Elle renforce la crédibilité des cadres suisses et britanniques, calqués sur le modèle européen.
Toutefois, les entreprises doivent conserver en parallèle des mécanismes alternatifs (SCC ou BCR) pour se prémunir en cas d’évolution jurisprudentielle.
Une vigilance constante reste nécessaire : la Commission européenne devra surveiller la mise en œuvre du DPF et intervenir si les garanties venaient à être affaiblies.
🔒 Sécurisez vos transferts de données
Avec Dastra, documentez vos transferts internationaux (DPF, SCC, BCR) et conservez une preuve de conformité en cas de contrôle.
Rappel opérationnel sur le DPF
Pour bénéficier du mécanisme, les organisations américaines doivent :
s’auto-certifier auprès du Département du Commerce des États-Unis ;
respecter des principes stricts : transparence, minimisation des données, droits d’accès et de recours ;
renouveler leur certification chaque année, celle-ci étant publiée sur le registre officiel.
Les responsables de traitement européens doivent impérativement vérifier que leurs partenaires figurent sur cette liste avant tout transfert.
À retenir
Le Tribunal de l'Union Européenne confirme que le DPF constitue aujourd’hui un mécanisme robuste et conforme pour les transferts transatlantiques. Pour les entreprises, il s’agit d’une solution privilégiée, mais qui doit être utilisée avec prudence, en conservant des solutions de repli et en restant attentives aux prochains développements, notamment un éventuel appel devant la CJUE.
🚀 Boostez votre conformité RGPD
Automatisez la documentation de vos transferts internationaux et gagnez en sérénité.
Dastra vous accompagne pour sécuriser vos flux transatlantiques.