EU-US Data Privacy Framework : le Tribunal de l’UE rejette le recours Latombe

Sep 3, 2025

Introduction

Le 3 septembre 2025, le Tribunal de l’Union européenne a rendu une décision très attendue : il a rejeté le recours introduit par l’eurodéputé Philippe Latombe contre la décision d’adéquation de la Commission européenne relative au EU-US Data Privacy Framework (DPF).

Cette décision confirme que, au moment de son adoption, le nouveau cadre transatlantique assurait un niveau de protection adéquat pour les données personnelles transférées vers les États-Unis. Pour les entreprises, cela signifie un répit bienvenu dans la longue saga des « Safe Harbor », « Privacy Shield » et « Schrems II ».

Quel était l’objet du litige ?

Philippe Latombe contestait deux aspects essentiels du nouveau cadre :

  • L’indépendance du nouveau tribunal de recours américain, le Data Protection Review Court (DPRC). Selon lui, ce mécanisme ne garantissait pas une protection équivalente à celle exigée par l’article 47 de la Charte des droits fondamentaux de l’UE.

  • La légalité des collectes massives effectuées par les services de renseignement américains, qu’il estimait contraires aux principes de nécessité et de proportionnalité.

Ce qu’a décidé le Tribunal ?

Le Tribunal a balayé ces critiques et confirmé la validité du EU-US Data Privacy Framework :

  • Indépendance du DPRC : ses juges bénéficient de garanties statutaires et sont protégés contre toute influence extérieure. L’ingérence injustifiée des autorités américaines est explicitement interdite.

  • Collectes de données : la jurisprudence Schrems II (CJUE, 16 juillet 2020) n’exige pas une autorisation préalable pour chaque collecte, mais une surveillance a posteriori par un organe indépendant. Le DPRC remplit cette fonction.

  • Contrôle dynamique : la Commission européenne surveille de manière continue l’évolution du cadre et peut le suspendre ou l’adapter en cas de défaillance des garanties américaines.

Conséquences pour les entreprises

Concrètement, le jugement sécurise les transferts de données personnelles vers les États-Unis, mais sous conditions :

  • Les données peuvent être transférées sans garanties supplémentaires aux organisations américaines certifiées dans le cadre du EU-US DPF.

  • Pour tout autre destinataire américain, les entreprises européennes doivent recourir à des instruments de transfert appropriés (par ex. clauses contractuelles types – CCT, art. 46 RGPD).

  • La vigilance reste de mise : un changement du droit américain pourrait amener la Commission à revoir ou suspendre la décision d’adéquation.

Un débat loin d’être clos

Même si le Tribunal a écarté le recours Latombe, la partie n’est pas définitivement terminée. Un pourvoi devant la Cour de justice de l’Union européenne (CJUE) peut encore être formé dans un délai de deux mois et dix jours.

Un hypothétique « Schrems III » n’est donc pas totalement exclu – mais pour l’instant, le EU-US Data Privacy Framework continue de constituer une base légale valable pour les transferts transatlantiques.

Conclusion

Le jugement du 3 septembre 2025 apporte une stabilité juridique bienvenue après des années d’incertitude. Toutefois, les entreprises doivent rester prudentes :

  • S’assurer que leurs partenaires américains sont effectivement certifiés DPF.

  • Prévoir des clauses contractuelles types pour les transferts hors DPF.

  • Suivre de près l’évolution du droit américain et les futurs contrôles de la Commission européenne.

Chez Balthasar Legal, nous accompagnons les organisations dans la mise en conformité de leurs flux de données internationaux – avec pragmatisme, efficacité et transparence.

Votre contact

Portrait Dr. iur. Michèle Balthasar
Bruno Schnarwiler

Konsulent Informationssicherheit

Bruno Schnarwiler ist ein Experte in Wirtschaftsinformatik mit über 30 Jahren Erfahrung als Auditor, Projektmanager, Berater und Führungskraft. Mit Abschlüssen als Eidg. Dipl. Wirtschaftsinformatiker, CISA und ISO 27001 Lead Auditor verfügt er über Fachkenntnisse in Informationssicherheit, Krisen- und Risikomanagement sowie digitalen Archivierungslösungen. Er hatte Schlüsselrollen wie Leiter IT-Revision und Risikomanagement in einer Bank, Leiter Softwareentwicklung und Berater für Sicherheit. Diese Tätigkeiten gaben ihm umfassende Einblicke in Branchen und Prozesse. Er trägt zur Implementierung sicherer IT-Umgebungen, Optimierung interner Kontrollsysteme und Entwicklung nachhaltiger Lösungen bei, die moderne Anforderungen erfüllen.
Edith Luginbühl

Assistante

Edith Luginbühl est une assistante engagée et expérimentée avec plus de 50 ans d'expérience professionnelle. Sa carrière professionnelle a commencé par une formation commerciale dans une grande banque et l'a menée dans différents secteurs, dont la restauration, l'hôtellerie, la location de voitures, les agences de voyage et la rédaction de journaux. Parmi ses points forts, on peut citer son caractère aimable et professionnel, sa fiabilité ainsi que son sens aigu du détail.

Alex Wild

L'étudiant

Alexander Wild a commencé ses études de droit à l'Université de Zurich en 2019. Avant et pendant ses études, il a déjà pu acquérir une première expérience dans un département de compliance d'une banque, a travaillé en tant que support informatique ainsi que dans un département juridique d'une entreprise pharmaceutique active au niveau international. Ses activités comprenaient entre autres la vérification/le respect des instructions bancaires, des sanctions, des clients et du risque pays ; l'évaluation du risque client général pour la banque ; le support Wet Ink ainsi que le support dans l'optimisation des processus de signature de contrats. Depuis 2022, il travaille comme assistant juridique chez Balthasar Legal AG et LR | Rechtsanwälte. Il devrait terminer ses études de master en 2025.

Sangmo Agontsang

Paralegal

Sangmo Agontsang a obtenu son diplôme d'économiste à la Kaderschule de Zurich en 2012. Après l'obtention de son diplôme, elle a travaillé comme assistante du CEO, notamment pour Freitag lab ag et CBM Suisse. Elle a en outre acquis de l'expérience dans l'organisation de la Kaderschule Zürich et a travaillé pendant trois ans dans le département Intellectual Property de Freitag lab ag. Elle y a travaillé au niveau international avec une équipe d'avocats pour défendre les droits de l'entreprise. Depuis 2022, elle travaille comme parajuriste chez Balthasar Legal AG.

Markus Bruggmann

MLaw Conseiller principal

MLaw Markus Bruggmann a terminé ses études de droit à l'Université de Zurich en 2013. Depuis, il a travaillé entre autres pour une banque, un cabinet d'avocats d'affaires et une compagnie d'assurance, où il s'est spécialisé dans le conseil ainsi que dans la vérification et la rédaction de contrats dans les domaines du droit de la communication et de la technologie (protection des données), en tenant compte du droit de la responsabilité civile et de la propriété intellectuelle. Parmi ses points forts figurent ses capacités d'analyse et sa vaste expérience.