On sait qu’une décision d’adéquation de la Commission européenne a approuvé le nouveau cadre de protection des données transférées vers les États-Unis, ce cadre reposant notamment sur un décret présidentiel américain du 7 octobre 2022 (décision 2023/1795 du 10-7-2023 ; executive order 14086).
Saisi d’un recours contre cette décision d’adéquation, le Tribunal de l’Union européenne juge en premier lieu conforme aux standards européens le mécanisme de contrôle mis en place aux États-Unis, écartant notamment les critiques tirées du risque d’une supervision excessive par le pouvoir exécutif des organes de contrôle et soulignant par ailleurs que le cadre américain interdit expressément toute ingérence des agences de renseignement ou du procureur général dans les travaux de la cour créée pour assurer le contrôle de la protection des données (la « Data Protection Review Court » ou DPRC).
Le tribunal écarte également la critique tirée du fait que le cadre américain de protection des données n’impose pas aux agences de renseignement d’obtenir l’autorisation préalable d’une autorité indépendante en amont de toute collecte « en vrac » de données (c'est-à-dire les interceptions non ciblées, portant sur des ensembles de communications, sans sélection préalable) ; à l'appui du recours il était soutenu que ce type de surveillance, proche d’une surveillance massive, ne serait ainsi ni soumis à un contrôle juridictionnel effectif ni encadré par des règles suffisamment claires et précises.
Le tribunal rappelle à cet égard que, si les régimes de surveillance de masse doivent faire l’objet d’un encadrement strict (CEDH 25-5-2021, Big Brother Watch c/ Royaume-Uni), les limitations prévues par le décret présidentiel américain, combinées au contrôle a posteriori de la Data Protection Review Court, assurent un niveau de protection substantiellement équivalent, au regard des éléments suivants : le décret fixe des règles claires et précises pour la collecte en vrac ; toute activité de renseignement d’origine électromagnétique doit reposer sur une base légale ou une autorisation présidentielle, viser une priorité validée en matière de renseignement et respecter le principe de proportionnalité ; le décret limite la collecte en vrac à six objectifs déterminés : lutte contre le terrorisme, espionnage, prolifération des armes de destruction massive, cybermenaces, menaces dirigées contre le personnel américain ou allié et criminalité transnationale ; l’absence d’autorisation préalable par une autorité judiciaire ou administrative peut être compensée par un contrôle a posteriori par une cour indépendante, comme c’est le cas en l’espèce.
Enfin, en ce qui concerne l’argument selon lequel le dispositif ne garantirait pas une protection équivalente au RGPD, prévoyant que la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé (Règl. 2016-679 du 27-4-2016 art. 22), le Tribunal relève que, dans la plupart des cas, le RGPD reste applicable, notamment lorsque le responsable de traitement est établi dans l’Union européenne ou lorsqu’il cible directement des personnes s’y trouvant. Pour les situations résiduelles, le TUE constate que le droit américain prévoit, dans certains secteurs sensibles, des garanties comparables et que le requérant n’a pas établi l’existence de décisions exclusivement automatisées aux États-Unis. Il en conclut que la décision d’adéquation n’a pas méconnu le RGPGD sous cet angle.
Documents et liens associés :
TUE 3-9-2025 aff. 553/23, Latombe c/ Commission européenne
