Affaire T-553/23

Philippe Latombe

contre

Commission européenne

Arrêt du Tribunal du 3 septembre 2025

« Transfert de données à caractère personnel vers les États-Unis – Décision d’exécution de la Commission constatant l’adéquation du niveau de protection des données à caractère personnel assuré par les États-Unis – Droit à un recours effectif – Droit à la vie privée et familiale – Décisions fondées exclusivement sur le traitement automatisé des données à caractère personnel – Sécurité du traitement des données à caractère personnel »

1. Recours en annulation – Recevabilité – Rejet d’un recours sur le fond sans statuer sur la recevabilité – Pouvoir d’appréciation du juge de l’Union

   (Art. 263 TFUE)

   (voir points 14, 15)

2. Recours en annulation – Contrôle de légalité – Critères – Prise en compte des seuls éléments de fait et de droit existant à la date d’adoption de l’acte litigieux

   (Art. 263 TFUE)

   (voir point 22)

3. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Transfert de données à caractère personnel vers des pays tiers – Adoption par la Commission d’une décision constatant un niveau de protection adéquat dans un pays tiers – Décision 2023/1795 constatant un niveau de protection adéquat assuré par les États-Unis – Violation du droit à une protection juridictionnelle effective – Violation du droit d’accès à un tribunal indépendant et impartial, établi préalablement par la loi – Absence

   (Art. 2 TUE ; charte des droits fondamentaux de l’Union européenne, art. 47, 2e al. ; règlement du Parlement européen et du Conseil 2016/679, art. 45, § 2)

   (voir points 24, 35-37, 39, 42, 46, 51, 53-58, 60, 62, 64, 66-82)

4. Droits fondamentaux – Droit à une protection juridictionnelle effective – Consécration aux articles 47, deuxième alinéa, de la charte des droits fondamentaux et 6, paragraphe 1, de la convention européenne des droits de l’homme – Sens et portée identiques – Niveau de protection assuré par la charte ne méconnaissant pas celui garanti par ladite convention

   (Art. 6, § 3, TUE ; charte des droits fondamentaux de l’Union européenne, art. 47, 2e al., et 52, § 3)

   (voir points 27-30)

5. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Transfert de données à caractère personnel vers des pays tiers – Adoption par la Commission d’une décision constatant un niveau de protection adéquat dans un pays tiers – Décision 2023/1795 constatant un niveau de protection adéquat assuré par les États-Unis – Collecte en vrac de données à caractère personnel en transit depuis l’Union par les agences de renseignement des États-Unis – Violation des droits au respect de la vie privée et à la protection des données à caractère personnel – Absence – Conditions

   (Charte des droits fondamentaux de l’Union européenne, art. 7 et 8 ; règlement du Parlement européen et du Conseil 2016/679, art. 45)

   (voir points 83, 92, 98, 105-108, 113, 117, 119, 122, 123, 128, 137-146, 148, 150-153)

Résumé

Dans son arrêt, le Tribunal, statuant en formation élargie, rejette le recours en annulation introduit par un citoyen français et dirigé contre la décision d’adéquation de la Commission européenne qui met en place le nouveau cadre transatlantique de flux de données à caractère personnel entre l’Union européenne et les États-Unis ( 1 ). Ce faisant, tout en s’inscrivant dans la continuité de la jurisprudence de la Cour en la matière ( 2 ), le Tribunal fournit des éclairages quant à l’appréciation de l’impartialité et de l’indépendance de la Data Protection Review Court ( 3 ) (Cour chargée du contrôle de la protection des données, États-Unis d’Amérique, ci-après la « DPRC »), ainsi qu’à l’examen de la légalité de la collecte en vrac, par les agences de renseignement de ce pays, des données à caractère personnel en transit depuis l’Union.

Dans les arrêts Schrems I et Schrems II, la Cour a invalidé les deux précédentes décisions d’adéquation, au motif que les systèmes de la « sphère de sécurité » et du « bouclier de protection » régissant le transfert de données à caractère personnel depuis l’Union vers les États-Unis ne garantissaient pas un niveau de protection des libertés et des droits fondamentaux substantiellement équivalent à celui garanti par le droit de l’Union. Par la suite, la Commission a entamé des pourparlers avec le gouvernement des États-Unis en vue d’adopter une éventuelle nouvelle décision d’adéquation qui respecterait les exigences du règlement général sur la protection des données ( 4 ), telles qu’elles ont été interprétées par la Cour.

Le 7 octobre 2022, les États-Unis d’Amérique ont adopté l’Executive Order 14086 (décret présidentiel no 14086, ci-après l’« E. O. 14086 »), qui renforce les mesures de protection de la vie privée régissant les activités de renseignement d’origine électromagnétique menées par les agences de renseignements établies aux ÉtatsUnis. Ce décret a été complété par l’Attorney General Order 28 CFR Part 201 (règlement du procureur général 28 CFR Part 201, ci-après le « règlement AG ») qui a modifié les dispositions encadrant la création et le fonctionnement de la DPRC.

Le 10 juillet 2023, après examen de ces évolutions réglementaires, la Commission a adopté la décision attaquée. Saisi du présent recours en annulation, le Tribunal est amené à examiner la légalité de cette décision, notamment, au regard du RGPD ainsi que de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).

Appréciation du Tribunal

Dans un premier temps, le Tribunal se prononce sur la question de savoir si la Commission a violé l’article 47, deuxième alinéa, de la Charte et l’article 45, paragraphe 2, du RGPD, dès lors que, dans la décision attaquée, elle a considéré que la DPRC offrait un « niveau de protection adéquat » en ce qui concernait le droit des citoyens de l’Union à accéder à un tribunal indépendant et impartial établi préalablement par la loi.

Dans ce cadre, il rejette, en premier lieu, le grief tiré de ce que la DPRC n’est pas un tribunal indépendant et impartial, mais constitue un organe dépendant du pouvoir exécutif.

Pour ce faire, il écarte, premièrement, l’argument selon lequel la DPRC n’est pas un tribunal indépendant et impartial, dès lors que sa mission consiste à réexaminer les décisions du Civil Liberties Protection Officer of the Director of National Intelligence (Responsable de la protection des libertés civiles du directeur du renseignement national, ci-après le « CLPO »), rattaché au bureau du directeur du renseignement national des États-Unis.

À cet égard, il relève que l’examen des garanties relatives à l’indépendance du CLPO est sans pertinence pour apprécier si la DPRC constitue un tribunal indépendant et impartial. En effet, la DPRC a été instituée en tant qu’organe de contrôle indépendant du CLPO et plusieurs garanties ont été prévues dans l’E. O. 14086 pour que les décisions du CLPO puissent être réexaminées et, le cas échéant, réformées de manière indépendante et impartiale par la DPRC.

Le requérant n’est donc pas fondé à soutenir qu’une insuffisance des garanties applicables au CLPO affecte l’indépendance et l’impartialité de la DPRC.

Deuxièmement, le Tribunal rejette l’argument selon lequel la DPRC n’est pas un tribunal indépendant et impartial, dès lors qu’elle est composée de juges nommés par le procureur général après consultation du Privacy and Civil Liberties Oversight Board (Conseil de surveillance de la vie privée et des libertés civiles, ci-après le « PCLOB »), qui est un organe dépendant du pouvoir exécutif.

Tout d’abord, il constate que, bien que le PCLOB ait été institué au sein du pouvoir exécutif, il est, au regard de sa composition, une agence indépendante, dont la mission consiste à superviser, de manière impartiale, le travail mené par le pouvoir exécutif en vue de protéger, notamment, la vie privée et les libertés civiles.

Ainsi, le fait que le PCLOB ait été institué au sein du pouvoir exécutif ne permet pas en soi de conclure que, en raison de sa consultation avant la nomination des juges de la DPRC, cette dernière n’est pas un tribunal indépendant et impartial.

Ensuite, le Tribunal précise, d’une part, que, pour s’assurer que les juges de la DPRC soient indépendants du pouvoir exécutif, l’E. O. 14086 prévoit que, lors de leur nomination, le procureur général doit respecter un certain nombre de critères et conditions.

D’autre part, les juges de la DPRC ne peuvent être révoqués que par le procureur général et uniquement pour un motif valable, après avoir dûment pris en compte les normes applicables aux juges fédéraux énoncées dans les règles relatives à la déontologie judiciaire et à la procédure d’incapacité judiciaire.

Le Tribunal en déduit que les règles portant sur la nomination et la révocation des juges de la DPRC ne sauraient remettre en cause son indépendance et son impartialité.

Enfin, le Tribunal relève que la Commission est tenue de suivre de manière permanente l’application du cadre juridique sur lequel se fonde la décision attaquée, dans le but de déterminer si les États-Unis d’Amérique continuent d’assurer un niveau de protection adéquat. Ainsi, si le cadre juridique en vigueur aux États-Unis au moment de l’adoption de la décision attaquée change, la Commission peut décider, si nécessaire, de suspendre, modifier ou abroger la décision attaquée ou d’en restreindre le champ d’application.

Troisièmement, le Tribunal rejette l’argument selon lequel la DPRC n’est pas un tribunal indépendant et impartial, dès lors que le règlement AG n’exclut pas la possibilité que ses juges subissent des formes de supervision autres que quotidiennes de la part du pouvoir exécutif.

Le Tribunal note à cet égard que, s’il résulte du dossier que les juges de la DPRC ne doivent pas être assujettis à la supervision quotidienne du procureur général, la décision attaquée indique également que, au titre de l’E. O. 14086, les agences de renseignement et le procureur général ne doivent pas entraver ou influencer indûment le travail de la DPRC. En outre, il ressort du dossier que ce décret présidentiel et le règlement AG limitent la possibilité pour le pouvoir exécutif d’influencer le travail de la DPRC en établissant que ses juges ne peuvent être révoqués que par le procureur général et uniquement pour un motif valable.

En second lieu, le Tribunal rejette le grief tiré de ce que la DPRC n’a pas été établie préalablement par la loi, dans la mesure où elle n’a pas été créée par une loi adoptée par le Congrès des États-Unis, mais par un acte de l’exécutif, à savoir une décision du procureur général.

Le Tribunal rappelle, tout d’abord, que, pour apprécier si les exigences qui découlent de l’article 47, deuxième alinéa, de la Charte sont remplies, il ne faut pas se limiter à apprécier la nature formelle du texte juridique établissant un tribunal et définissant ses règles de fonctionnement, mais il convient de vérifier si ce texte juridique prévoit des garanties suffisantes visant à assurer son indépendance et son impartialité vis-à-vis des autres pouvoirs, notamment du pouvoir exécutif.

Ensuite, le Tribunal relève que, comme cela a été jugé par la Cour dans les arrêts Schrems I et Schrems II, dans le cadre d’une décision d’adéquation, la Commission n’est pas tenue de s’assurer que les dispositions pertinentes du pays tiers sont identiques à celles en vigueur dans l’Union, mais qu’elles sont substantiellement équivalentes à celles garanties par le droit de l’Union en vertu du RGPD, lu à la lumière de la Charte. Il s’ensuit que, en l’espèce, le Tribunal est tenu de vérifier le bien-fondé du constat d’adéquation effectué par la Commission dans la décision attaquée, selon lequel les dispositions du droit des États-Unis concernant l’établissement et le fonctionnement de la DPRC offrent des garanties substantiellement équivalentes à celles prévues par le droit de l’Union à l’article 47, deuxième alinéa, de la Charte. De telles garanties sont offertes, en particulier, lorsque le texte juridique établissant ce tribunal et définissant ses règles de fonctionnement vise à assurer son indépendance et son impartialité à l’égard des autres pouvoirs, notamment du pouvoir exécutif, et ce malgré le fait que ledit texte ne constitue pas, d’un point de vue formel, une loi.

En l’espèce, il ressort de la décision attaquée, que la DPRC n’a pas été constituée par une loi adoptée par le pouvoir législatif, à savoir le Congrès des États-Unis, mais par un acte émanant du pouvoir exécutif.

Dans ce contexte, le Tribunal vérifie si, de manière substantiellement équivalente au droit de l’Union, l’E. O. 14086 et le règlement AG prévoient des garanties visant à assurer l’indépendance et l’impartialité de la DPRC.

Après avoir notamment examiné les modalités d’institution de la DPRC en tant qu’organe indépendant doté d’un pouvoir de décision, les modalités de nomination et de révocation de ses juges, ainsi que les garanties procédurales entourant l’accomplissement de leur mission, le Tribunal constate qu’il a été remédié aux carences relevées par la Cour dans l’arrêt Schrems II.

Eu égard à l’ensemble des considérations qui précèdent, le Tribunal rejette le moyen tiré de la violation de l’article 47, deuxième alinéa, de la Charte et de l’article 45, paragraphe 2, du RGPD dans son intégralité.

Dans un second temps, le Tribunal se prononce sur la question de savoir si la Commission a violé les articles 7 et 8 de la Charte, relatifs respectivement au respect de la vie privée et à la protection des données à caractère personnel, dans la mesure où elle a considéré que les États-Unis d’Amérique assuraient un niveau de protection adéquat en ce qui concernait la collecte en vrac, par les agences de renseignement de ce pays, de données à caractère personnel, malgré le fait que l’E. O. 14086 n’établit pas l’obligation, pour ces agences de renseignement, d’obtenir, en amont de la collecte en vrac de données à caractère personnel, l’autorisation préalable d’une autorité judiciaire ou administrative.

Dans ce cadre, le Tribunal rejette, en premier lieu, l’argument tiré de ce que la collecte en vrac de données à caractère personnel, effectuée par les agences de renseignement des États-Unis, ne fait pas l’objet d’une surveillance judiciaire et n’est pas encadrée par des règles suffisamment claires et précises.

Tout d’abord, le Tribunal souligne qu’aucun élément dans l’arrêt Schrems II ne suggère que la collecte en vrac de données à caractère personnel doit obligatoirement faire l’objet d’une autorisation préalable délivrée par une autorité indépendante. Au contraire, il ressort de cet arrêt que la décision autorisant une telle collecte doit, au minimum, faire l’objet d’un contrôle judiciaire a posteriori.

En l’espèce, l’E. O. 14086 et le règlement AG assujettissent les activités de renseignement d’origine électromagnétique menées par les agences de renseignement des États-Unis à la surveillance judiciaire a posteriori de la DPRC. Par conséquent, il ne saurait être considéré que la collecte en vrac de données à caractère personnel effectuée par les agences de renseignement sur la base de la décision attaquée ne satisfait pas aux exigences découlant de l’arrêt Schrems II à cet égard.

Ensuite, le Tribunal observe que l’E. O. 14086 établit que la collecte en vrac n’est autorisée que pour faire progresser une priorité validée en matière de renseignement qui ne peut pas être raisonnablement obtenue par une collecte ciblée, fixe des exigences fondamentales s’appliquant à toutes les activités de renseignement d’origine électromagnétique et établit des garanties spécifiques s’appliquant à la collecte en vrac de données à caractère personnel.

Dans ces conditions, le Tribunal considère qu’il ne saurait être valablement soutenu que la mise en œuvre de la collecte en vrac n’est pas encadrée de manière suffisamment claire et précise.

En deuxième lieu, le Tribunal écarte l’argument selon lequel la collecte en vrac, par les agences de renseignement des États-Unis, de données à caractère personnel en transit depuis l’Union devrait faire l’objet d’une autorisation préalable, au titre de l’arrêt La Quadrature du Net e.a ( 5 ).

Le Tribunal constate, à cet égard, que l’hypothèse en cause dans l’affaire ayant donné lieu à l’arrêt La Quadrature du Net e.a. diffère de celle qui est en cause en l’occurrence et en conclut que la référence audit arrêt est sans pertinence.

En troisième lieu, le Tribunal rejette l’argument selon lequel la collecte en vrac, par les agences de renseignement des États-Unis, de données à caractère personnel en transit depuis l’Union devrait faire l’objet d’une autorisation préalable, au titre de l’arrêt de la Cour EDH Big Brother Watch ( 6 ).

Le Tribunal, après avoir constaté qu’une opération de collecte en vrac de données à caractère personnel, telle que celle faisant l’objet de la décision attaquée, entre dans le périmètre de la première des étapes de l’interception identifiées par la Cour européenne des droits de l’homme dans l’arrêt Big Brother Watch, dans la mesure où elle consiste à recueillir, à des fins de protection de la sécurité nationale, les données personnelles en transit depuis l’Union d’un grand nombre de personnes, tire les conséquences de cet arrêt dans le cadre de l’appréciation de la légalité de la décision attaquée.

Ainsi, le Tribunal relève que la Cour européenne des droits de l’homme a indiqué, dans l’arrêt Big Brother Watch, que l’interception en masse des données à caractère personnel devait être encadrée par plusieurs garanties, telles que l’obtention de l’autorisation d’une autorité indépendante dès la définition de l’objet et de l’étendue de l’opération de surveillance en cause, la mise en place d’un système de supervision et d’un contrôle juridictionnel indépendant a posteriori, ainsi que la prévision de règles juridiques qui permettaient d’assurer, pour chacune des étapes de l’interception, la nécessité et la proportionnalité des mesures prises.

Par ailleurs, la Cour européenne des droits de l’homme a fait valoir que le besoin de prévoir des garanties augmentait au fur et à mesure que le processus franchissait ces différentes étapes et, par conséquent, que l’intensité de l’atteinte au droit au respect de la vie privée devenait plus importante.

Dans ce contexte, le Tribunal rappelle que la Commission n’est pas tenue, dans le cadre d’une décision d’adéquation, de s’assurer que les dispositions pertinentes du pays tiers sont identiques à celles en vigueur dans l’Union, mais qu’elles sont substantiellement équivalentes.

Ainsi, le Tribunal considère, en l’occurrence, que le besoin de prévoir, pour cette phase spécifique de la collecte en vrac, des garanties limitant le pouvoir discrétionnaire des agences de renseignement est plus limité, compte tenu du contexte dans lequel l’interception est effectuée. En effet, ce qui est en cause en l’espèce est uniquement l’interception initiale en vrac de données à caractère personnel par des agences de renseignement, à l’exclusion des activités postérieures.

De plus, le Tribunal rappelle que le fait de prévoir une autorisation préalable n’est pas la seule garantie devant entourer l’interception en masse de données à caractère personnel, mais constitue l’un des éléments qui, pris ensemble, constituent la pierre angulaire de tout régime d’interception en masse. À cet égard, le droit des États-Unis en vigueur prévoit des règles juridiques encadrant de manière suffisamment claire et précise la mise en œuvre, par les agences de renseignement des États-Unis, de la collecte en vrac de données à caractère personnel et octroie aux personnes concernées par le transfert de leurs données le droit à un recours juridictionnel effectif devant la DPRC. En outre, les considérants 162 à 169 de la décision attaquée indiquent, sans que le requérant ne le conteste, que les activités de renseignement menées par les agences de renseignement sont contrôlées par le PCLOB qui a été conçu par son statut fondateur comme une agence indépendante. De même, lesdites activités font l’objet d’une supervision, en premier lieu, de la part des responsables juridiques et des délégués qui, au sein de chaque agence de renseignement, sont chargés de la surveillance et du respect dudit droit, en deuxième lieu, de l’inspecteur général indépendant chargé, pour chaque agence de renseignement, de contrôler les activités de renseignement extérieur effectuées par l’agence en cause et, en troisième lieu, de l’Intelligence Oversight Board (Conseil de surveillance du renseignement, États-Unis), créé au sein du President’s Intelligence Advisory Board (Conseil consultatif en matière de renseignement relevant du président, États-Unis) et tenu de superviser le respect de la loi par les autorités des États-Unis ainsi que, en quatrième lieu, des commissions spéciales instituées au sein du Congrès des États-Unis qui exercent des fonctions de surveillance à l’égard de toutes les activités de renseignement extérieur de ce pays.

Compte tenu de ces considérations, le Tribunal juge que le fait de ne pas prévoir d’autorisation préalable s’appliquant à la collecte initiale en vrac, par les agences de renseignement des États-Unis, de données à caractère personnel en transit depuis l’Union ne suffit pas pour considérer que le droit des États-Unis ne fournit pas des garanties substantiellement équivalentes à celles prévues par le droit de l’Union.

En quatrième et dernier lieu, le Tribunal ne retient pas l’argument selon lequel la collecte en vrac, par les agences de renseignement des États-Unis, de données à caractère personnel en transit depuis l’Union devrait faire l’objet d’une autorisation préalable au titre de l’avis 5/2023, rendu par le Comité européen de la protection des données (CEPD) ( 7 ).

Le Tribunal note, à cet égard, que l’avis 5/2023 a été rendu sur le fondement de l’article 70, paragraphe 1, sous s), du RGPD. Or, lorsqu’il agit sur ce fondement, le CEPD se limite à exercer une fonction de conseil. Ainsi, cet avis ne lie pas la Commission.

En tout état de cause, le Tribunal constate que, dans cet avis, le CEPD n’a pas indiqué que le défaut de mise en place d’un contrôle préalable relatif à la collecte en vrac de données à caractère personnel portait nécessairement atteinte à l’évaluation positive, de la part de la Commission, du caractère adéquat du niveau de protection des données à caractère personnel offert par le cadre de protection des données UE – États-Unis.

Partant, le Tribunal rejette le moyen tiré de la violation des articles 7 et 8 de la Charte, ainsi que le présent recours dans son ensemble.

( 1 ) Décision d’exécution (UE) 2023/1795 de la Commission, du 10 juillet 2023, constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE – États-Unis (JO 2023, L 231, p. 118, ci-après la « décision attaquée »).

( 2 ) Arrêts du 6 octobre 2015, Schrems (C-362/14, ci-après l’« arrêt Schrems I », EU:C:2015:650), et du 16 juillet 2020, Facebook Ireland et Schrems (C-311/18, ci-après l’« arrêt Schrems II », EU:C:2020:559).

( 3 ) Il s’agit de l’organe chargé, aux États-Unis, de contrôler la légalité du transfert de données à caractère personnel depuis l’Union européenne.

( 4 ) Article 45, paragraphe 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (JO 2016, L 119, p. 1, rectificatif JO 2018, L 127, p. 2, ci-après le « RGPD »).

( 5 ) Arrêt du 6 octobre 2020, La Quadrature du Net e.a. (C-511/18, C-512/18 et C-520/18, ci-après l’« arrêt La Quadrature du Net e.a. », EU:C:2020:791).

( 6 ) Arrêt de la Cour EDH du 25 mai 2021, Big Brother Watch et autres c. Royaume-Uni (CE :ECHR :2021 :0525JUD005817013, ci-après l’« arrêt Big Brother Watch »).

( 7 ) Avis 5/2023, du 28 févier 2023, relatif au projet de décision d’exécution de la Commission constatant le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE – États-Unis (ci-après l’« avis 5/2023 »).