Accueil Cloud Data Privacy Framework : Microsoft défend les transferts de données UE–États-Unis

Data Privacy Framework : Microsoft défend les transferts de données UE–États-Unis

Microsoft a été autorisé à intervenir dans l’affaire Latombe contre Commission, actuellement examinée par la Cour de justice de l’Union européenne. L’éditeur soutient la validité du Data Privacy Framework, le cadre qui encadre depuis 2023 les transferts de données personnelles entre l’Union européenne et les entreprises américaines certifiées. Un dossier très juridique, mais aux effets directs pour les fournisseurs cloud et leurs clients européens.

Microsoft entre dans la procédure

Microsoft a confirmé, le 28 juin, son intervention dans l’affaire Latombe contre Commission devant la Cour de justice de l’Union européenne. Le groupe américain soutient la position de la Commission européenne, qui défend la décision d’adéquation adoptée en juillet 2023 autour du Data Privacy Framework.

L’affaire, enregistrée sous la référence C-703/25 P, fait suite à l’appel formé par Philippe Latombe contre l’arrêt du Tribunal de l’Union européenne du 3 septembre 2025. Ce dernier avait rejeté son recours visant à faire annuler le cadre encadrant les transferts de données personnelles de l’Union européenne vers les États-Unis.

L’intervention de Microsoft n’est pas anodine. Pour être admise, l’entreprise devait démontrer un intérêt direct à l’issue du litige. La Cour a accepté sa demande, ce qui lui permettra de déposer des observations écrites et de participer aux audiences.

Un socle juridique pour les services numériques

Le Data Privacy Framework permet aux entreprises américaines certifiées de recevoir des données personnelles depuis l’Union européenne sans devoir justifier chaque transfert par un mécanisme distinct. Il a été mis en place après l’invalidation du Privacy Shield par la CJUE en 2020, elle-même précédée par l’annulation du Safe Harbor en 2015.

Pour Microsoft, l’enjeu est très concret. L’éditeur explique que ses propres transferts de données, mais aussi ceux de nombreux clients européens utilisant ses services, reposent sur ce cadre. Messagerie, cloud, outils collaboratifs, cybersécurité, IA ou support client : une partie importante des usages numériques transatlantiques dépend de cette base juridique.

Le groupe défend donc un dispositif qui dépasse largement son cas particulier. Une remise en cause du DPF fragiliserait les transferts actuels et obligerait de nombreuses entreprises à revenir à des analyses plus lourdes, notamment via les clauses contractuelles types et des mesures complémentaires au cas par cas.

Le point sensible reste la surveillance américaine

Le cœur du litige porte sur le niveau de protection accordé aux données européennes transférées aux États-Unis. Après l’arrêt Schrems II, la question centrale reste l’accès possible des autorités américaines aux données et l’existence de recours effectifs pour les citoyens européens.

La Commission européenne estime que les garanties introduites par les États-Unis répondent aux exigences européennes, notamment à travers des limites imposées aux services de renseignement et la création d’un mécanisme de recours spécifique. Microsoft reprend cet argument, en mettant en avant la Data Protection Review Court comme l’un des éléments clés du nouveau dispositif.

Cette lecture reste contestée par les opposants au DPF, qui jugent ces garanties insuffisantes au regard du droit européen. La CJUE devra donc dire si le compromis trouvé entre Bruxelles et Washington tient juridiquement, ou si ce troisième cadre transatlantique rejoint le Safe Harbor et le Privacy Shield dans la liste des accords invalidés.

Une incertitude persistante pour les entreprises

L’affaire Latombe contre Commission ne concerne pas seulement les grands acteurs américains. Elle intéresse directement les entreprises européennes qui utilisent des services cloud, SaaS ou d’IA impliquant des transferts vers les États-Unis. Tant que le DPF reste valide, il offre un cadre de conformité relativement lisible. S’il devait être remis en cause, les organisations devraient réexaminer leurs flux de données, leurs contrats et leurs dépendances fournisseurs. C’est précisément cette stabilité que Microsoft cherche aujourd’hui à défendre devant la Cour.

Le dossier rappelle surtout la fragilité chronique des transferts transatlantiques. Depuis dix ans, chaque nouveau cadre est présenté comme une réponse aux failles du précédent, avant d’être à son tour contesté. Le Data Privacy Framework tient encore, mais son avenir dépend désormais de l’examen de la CJUE.