A l’occasion de deux arrêts rendus début septembre, les juges européens ont apporté des précisions attendues sur le Data Privacy Framework et la notion de donnée pseudonymisée.
Le Tribunal de l’Union européenne confirme la validité du Data Privacy Framework
Par un arrêt du 3 septembre 2025, le Tribunal de l’Union européenne a rejeté le recours déposé par un député français visant à obtenir l’annulation du Data Privacy Framework (« DPF »), instauré par la décision d’adéquation de la Commission européenne du 10 juillet 2023. Ce mécanisme encadre le transfert de données personnelles de l’Union européenne vers les États-Unis.
Le DPF succède au Safe Harbor[1] et au Privacy Shield[2], tous deux invalidés par la Cour de Justice de l’Union européenne (« CJUE ») notamment en raison des risques d’ingérence des autorités américaines de surveillance.
Contrairement à ce que soutenait le requérant, le Tribunal a estimé qu’à la date d’adoption de l’accord, les États-Unis assuraient un niveau adéquat de protection pour les données personnelles transférées depuis l’Union vers des organisations certifiées sur le territoire.
En premier lieu, le Tribunal a écarté le grief portant sur le défaut d’indépendance de la Data Protection Review Court[3](« DPRC »). Il a relevé que les modalités de nomination et de révocation des juges, ainsi que le fonctionnement de cette juridiction spéciale, comportaient des garanties concrètes et suffisantes pour assurer l’indépendance de ses membres. Il a également rappelé qu’aucune ingérence indue de la part du procureur général ou des agences de renseignement ne pouvaient entraver ou influencer leurs décisions.
Le Tribunal a également insisté sur l’obligation continue de la Commission de contrôler la conformité du cadre juridique américain, avec la faculté de suspendre, modifier ou abroger la décision d’adéquation en cas d’évolution susceptible de compromettre ces garanties.
En second lieu, le Tribunal a rejeté le moyen tiré de l’illégalité de la collecte massive de données personnelles par les services de renseignement américains (dite « collecte en vrac »). Il a considéré que la Cour, dans son arrêt Schrems II, ne subordonnait pas la validité de la collecte à une autorisation préalable par une autorité indépendante, mais plutôt à un contrôle juridictionnel a posteriori – contrôle assuré, en droit américain, par la DPRC.
Si le Tribunal reconnaît que le droit américain offre un niveau de protection « substantiellement équivalent » à celui garanti par le droit de l’Union, des incertitudes persistent : la décision reste très sectorielle, le mécanisme repose sur un système d’auto-certification et son avenir pourrait être remis en cause dans le cadre d’un éventuel réexamen par la CJUE.
Dans ce contexte, les recommandations 01/2020 du CEPD[4] relatives aux mesures complémentaires applicables aux transferts vers les pays tiers conservent toute leur portée. Il est donc recommandé de maintenir des mécanismes alternatifs de transfert (clauses types, BCR) et de suivre attentivement l’évolution du cadre juridique transatlantique, notamment compte tenu de l’appel formé par le requérant contre la décision du Tribunal.
La CJUE confirme qu’une donnée pseudonymisée transmise à un tiers ne constitue pas nécessairement une donnée à caractère personnel
Par un arrêt du 4 septembre 2025, la CJUE a apporté des précisions sur la qualification juridique des données pseudonymisées.
Les questions posées à la Cour portaient sur la qualification juridique de commentaires formulés par des personnes physiques, qui avaient été pseudonymisés par le responsable de traitement avant d’être transmis à un destinataire tiers, et sur le maintien, pour ce destinataire, de leur nature de données à caractère personnel.
La Cour a rejeté l’approche stricte défendue par le Comité européen de la protection des données (CEPD) selon laquelle toute donnée pseudonymisée devrait systématiquement être qualifiée de donnée personnelle. Elle adopte au contraire une approche fonctionnelle et contextuelle, fondée sur la capacité de l’acteur concerné à réidentifier les personnes concernées.
Ainsi, la CJUE considère que :
- Pour le responsable de traitement initial, qui détient la clé de réidentification ou peut la reconstituer, la donnée pseudonymisée reste une donnée à caractère personnel ;
- Pour le tiers destinataire qui, en revanche, ne dispose ni de cette clé ni d’un accès raisonnable à des moyens de réidentification, la donnée ne peut être qualifiée de donnée à caractère personnel.
La Cour a également rappelé que l’obligation d’information incombe au responsable de traitement initial qui doit informer la personne concernée, au moment de la collecte, de l’existence d’un transfert de données pseudonymisées.
Cet arrêt souligne l’importance de bien distinguer les rôles et capacités de chaque acteur dans la chaîne de traitement, de documenter et sécuriser l’impossibilité raisonnable pour les destinataires de réidentifier les données, ainsi que d’assurer une information complète et loyale des personnes concernées dès la collecte de leurs données.
Lire l’arrêt du Tribunal de l’Union européenne du 3 septembre 2025, T-553/23
Lire l’arrêt de la Cour de Justice de l’Union européenne du 4 septembre 2025, C 413/23 P
[1] CJUE, 6 octobre 2015, C‑362/14, Maximilian Schrems c/ Data Protection Commissioner, aussi appelé « Schrems I »
[2] CJUE, 16 juillet 2020, C-311/18, Facebook Ireland Ltd c/ Maximillian Schrem, aussi appelé « Schrems II »
[3] La Data Protection Review Court (DPRC), ou Cour de révision pour la protection des données, est une institution mise en place en 2022 et chargée de résoudre les litiges entre les États-Unis et les États européens concernant le traitement des données personnelles.
[4] Recommandations 01/2020 du CEPD sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE
