Illustration : Flock
Microsoft veut avoir son mot à dire sur le Data Privacy Framework, autrement dit le cadre transatlantique qui permet aux entreprises américaines certifiées de recevoir des données personnelles transférées depuis l’Union européenne.
L’éditeur de Windows a obtenu de la Cour de justice de l’Union européenne l’autorisation d’intervenir officiellement dans l’affaire concernant le Data Privacy Framework. Il s’agit du mécanisme qui permet à des entreprises certifiées aux États-Unis de recevoir des données personnelles venues de l’UE.
Microsoft au chevet du robinet des données européennes
Le successeur du Privacy Shield, invalidé en 2020 dans l’arrêt Shrems II, a été adopté trois ans plus tard. Ce nouveau dispositif autorise de nouveau le transfert des données transatlantiques, après que les États-Unis se sont engagés sur des garanties supplémentaires.
Philippe Latombe avait attaqué le Data Privacy Framework devant le Tribunal de l’UE ; le jugement, rendu en septembre 2025, a validé la décision de la Commission européenne. Le député MoDem de Vendée avait alors saisi la Cour de justice de l’UE. Le pourvoi est toujours en discussion, mais la CJUE permet à Microsoft d’intervenir dans le dossier.
La Cour n’a pas dit que le cadre transatlantique de transfert des données était valide, ou invalide. Elle a simplement reconnu à l’éditeur états-unien un intérêt direct et actuel dans l’issue du dossier. Microsoft peut désormais déposer des observations écrites devant la Cour, soutenir juridiquement la position de la Commission européenne, participer à l’audience orale ou encore expliquer pourquoi le Data Privacy Framework est important pour ses activités et celles de ses clients.
« Ce pont juridique essentiel favorise la stabilité, des relations transatlantiques bénéfiques, la croissance économique et la prospérité, tout en maintenant de solides garanties en matière de vie privée. L’affaire Latombe vise à le démanteler », expliquent Jon Palmer, directeur juridique de Microsoft, et Cari Benn, directrice de la protection de la vie privée.
Sauver le soldat Data Privacy Framework
L’enjeu est de taille pour Microsoft. Le mastodonte américain vend en Europe des logiciels et des services infonuagiques (Azure) à des entreprises, administrations et organisations qui doivent transférer ou traiter des données de part et d’autre de l’Atlantique. Une remise en cause du Data Privacy Framework ne fermerait pas le robinet à données du jour au lendemain ; en revanche, cela créerait une incertitude juridique pour les clients européens et les fournisseurs américains.
Philippe Latombe fonde son action sur les risques qui pèsent sur l’indépendance et l’impartialité de la Data Protection Review Court mise en place aux États-Unis. Les Européens doivent pouvoir déposer plainte devant cette Cour d’examen de la protection des données. Plusieurs exemples récents ont montré que l’administration Trump et le président américain lui-même n’hésitent pas à exercer de fortes pressions sur les agences fédérales, les institutions indépendantes et certains contre-pouvoirs.
Max Schrems, de l’association noyb, a déjà fait tomber Safe Harbor (2015) et donc, le Privacy Shield. À l’époque de la décision du Tribunal de l’UE, le juriste avait estimé que le recours Latombe était très étroit, sans doute trop pour remporter l’adhésion de la justice européenne. Un autre recours plus large pourrait porter davantage contre le nouveau cadre entre l’UE et les États-Unis.
En mai 2025, Microsoft assurait l’Union européenne de son soutien, « inébranlable », selon le mot de Brad Smith, président du groupe, pour matérialiser et renforcer « l’interdépendance économique » entre les États-Unis et le vieux continent. Cela se concrétise par exemple par la promesse d’agir devant les tribunaux pour protéger la confidentialité des données européennes face aux demandes du gouvernement américain.
