Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Elevate
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Le Tribunal de l’UE a validé le Data Privacy Framework, cadre des transferts de données UE–États-Unis. Soulagement côté business, mais inquiétudes sur l’usage des données européennes par Washington et la capacité de Bruxelles à garantir leur protection.
La troisième fois, sera-t-elle la bonne ? Le Tribunal de l’Union européenne a rejeté, le 3 septembre, le recours du député français Philippe Latombe qui demandait l’annulation du Data Privacy Framework (DPF). Adopté en 2023, ce mécanisme organise les transferts de données personnelles entre l’UE et les États-Unis et était menacé de subir le même sort que ses prédécesseurs, le Safe Harbour et le Privacy Shield, invalidés en 2015 et 2020. Pour les entreprises, en particulier les sociétés qui dépendent de ces flux pour fournir des services cloud, d’analyse ou d’IA, la décision est un énorme soulagement : l’incertitude juridique aurait paralysé une partie du commerce numérique transatlantique. Mais derrière ce répit, des interrogations demeurent sur la réalité des garanties offertes aux citoyens européens.
Les précédents pèsent lourd
Le DPF a été conçu pour combler les failles relevées par la Cour de justice de l’UE dans l’affaire Schrems II. Les critiques visaient alors la surveillance américaine jugée trop intrusive et l’absence de recours effectif pour les Européens. Washington avait promis des garde-fous : limitation des collectes massives par ses agences, mise en place d’un tribunal de recours spécifique au sein du Département de la Justice, et rôle renforcé du PCLOB (Privacy and Civil Liberties Oversight Board). Mais le retour de Donald Trump à la Maison-Blanche a fragilisé ce dispositif : plusieurs membres du PCLOB ont été écartés, relançant les doutes sur son indépendance. Pour Philippe Latombe, le DPF reste insuffisant : recours limités, décisions automatisées mal encadrées et protections trop vagues face aux lois américaines de renseignement.
Les entreprises veulent de la stabilité, Bruxelles reste prudente
Les lobbies du numérique comme la BSA | The Software Alliance saluent une décision qui « apporte stabilité et confiance aux entreprises et aux consommateurs ». Pour elles, le DPF est essentiel à la compétitivité et à l’adoption de technologies numériques. Pourtant, la Commission européenne reste discrète. Officiellement, elle défend le cadre qu’elle a négocié avec Washington, mais en coulisses, l’exécutif européen sait que la bataille pourrait se rejouer devant la CJUE si un appel venait à être déposé. Bruxelles est donc coincée entre deux impératifs : donner de la visibilité aux entreprises tout en rassurant une opinion publique de plus en plus méfiante sur l’usage de ses données personnelles.
Les données européennes sous contrôle américain ?
La question centrale reste celle-ci : une fois exportées aux États-Unis, les données des Européens bénéficient-elles du même niveau de protection qu’en Europe ? Juridiquement, le DPF affirme que oui. Politiquement, c’est plus fragile. Les lois américaines, comme le Patriot Act ou le Foreign Intelligence Surveillance Act, permettent toujours aux agences de renseignement d’accéder à certaines données pour des raisons de sécurité nationale. Les recours existent sur le papier, mais leur efficacité réelle est discutée. L’IAPP, association internationale des professionnels de la vie privée, salue une « construction juridique solide » mais souligne que rien ne garantit que les conditions initiales soient encore toutes respectées aujourd’hui. Autrement dit, la validation du DPF donne un répit, mais pas une immunité.
Et maintenant ?
La décision du Tribunal est une étape, pas un point final. Un appel devant la CJUE reste possible et pourrait rouvrir le dossier. En attendant, les entreprises respirent, mais les Européens, eux, restent exposés à la gestion de leurs données de l’autre côté de l’Atlantique. L’histoire des transferts transatlantiques l’a montré : entre besoin de fluidité économique et exigence de souveraineté numérique, le fil reste tendu. Pour l’instant, les données continuent de circuler. Mais entre Washington qui garde la main et Bruxelles qui hésite à montrer les dents, la question demeure : les Européens contrôlent-ils vraiment le destin de leurs données ?
