Glossaire · Droit européen des transferts de données Schrems I (Schrems v. Data Protection Commissioner (Case C-362/14, 2015))
Arrêt de la CJUE de 2015 ayant invalidé le cadre Safe Harbor UE-États-Unis après les révélations d'Edward Snowden, jugeant que les lois de surveillance américaines empêchaient une protection adéquate des données personnelles UE.
## Ce qu'était réellement Schrems I
Schrems I est l'abréviation de l'arrêt de 2015 **Schrems c. Data Protection Commissioner (affaire C-362/14)** rendu par la Cour de justice de l'Union européenne (CJUE). La cour a invalidé le **cadre Safe Harbor UE-États-Unis** — le mécanisme de transfert de données qui, depuis 2000, avait permis aux entreprises américaines de recevoir des données personnelles UE en s'auto-certifiant conformes aux standards de confidentialité UE.
L'affaire a été portée par l'activiste autrichien de la vie privée **Maximilian Schrems**, dont la contestation du transfert par Facebook de ses données personnelles aux États-Unis a déclenché l'arrêt.
## Le contexte historique
En **juin 2013**, le sous-traitant de la NSA **Edward Snowden** a divulgué des documents révélant la surveillance de masse américaine des données de communication, y compris via des programmes comme PRISM qui obtenaient des données auprès des grandes entreprises tech américaines.
L'argument de Schrems était simple : le cadre Safe Harbor supposait une protection américaine adéquate des données UE, mais les révélations de Snowden ont rendu clair que les lois de surveillance américaines (FISA section 702, décret 12333) ne fournissaient aucune protection significative pour les personnes non américaines. La fondation du Safe Harbor était donc fausse.
La CJUE a donné raison.
## Ce que la CJUE a réellement jugé
L'arrêt d'octobre 2015 a constaté que :
1. La décision d'adéquation Safe Harbor de la Commission européenne était **invalide**
2. Les autorités nationales de protection des données disposent d'un **pouvoir indépendant** d'enquêter sur les revendications de transfert même lorsqu'une décision d'adéquation existe
3. Les personnes concernées UE doivent disposer d'un **recours judiciaire effectif** contre l'accès par surveillance — ce que le droit américain ne fournissait pas
4. L'accès par surveillance doit être **proportionné** — les programmes américains qui collectaient les données en masse ne l'étaient pas
L'arrêt a invalidé le Safe Harbor immédiatement, créant le chaos pour les milliers d'entreprises américaines qui s'y appuyaient pour les transferts de données UE.
## Ce qui a suivi Schrems I
### Privacy Shield (2016)
L'UE et les États-Unis ont négocié un cadre successeur : le **Privacy Shield**. Il a renforcé certaines dispositions du Safe Harbor (rôle de médiateur, engagements écrits des agences de renseignement américaines sur les limites d'accès). Entré en vigueur en juillet 2016.
### Schrems II (2020)
Schrems a contesté le Privacy Shield sur les mêmes motifs. La CJUE a jugé dans **Schrems II (affaire C-311/18, 2020)** que le Privacy Shield était *également* invalide parce que la même question fondamentale persistait : le droit de surveillance américain fournissait une protection inadéquate.
Voir [Schrems II](/fr/glossary/schrems-ii/) pour la deuxième affaire.
### Cadre de protection des données UE-États-Unis (2023)
Après Schrems II, l'UE et les États-Unis ont négocié encore un autre successeur : le [Cadre de protection des données UE-États-Unis](/fr/glossary/eu-us-data-privacy-framework/), entré en vigueur en juillet 2023. Schrems a indiqué qu'il a l'intention de le contester aussi sur des motifs substantiellement similaires.
## Pourquoi Schrems I compte toujours
### 1. A établi le schéma juridique
Schrems I a créé le cadre analytique encore utilisé : lorsque les transferts de données UE dépendent de mécanismes d'adéquation ou équivalents, ces mécanismes doivent être évalués par rapport aux lois de surveillance réelles des pays tiers — et non par rapport à des engagements sur papier.
### 2. A permis l'application du RGPD
Schrems I a établi que les autorités de protection des données ont un pouvoir d'enquête indépendant. Cela est devenu important lorsque le RGPD est entré en vigueur en 2018.
### 3. A créé le problème structurel
La question structurelle identifiée par Schrems I — que les lois de surveillance américaines ne peuvent satisfaire l'adéquation UE sans réforme légale — a persisté à travers trois cadres successifs (Safe Harbor → Privacy Shield → EU-US DPF). Sans réforme de la surveillance américaine, cela continue probablement.
### 4. A façonné l'industrie tech européenne
Schrems I, II et la tension sous-jacente ont créé une demande continue pour des alternatives résidant dans l'UE et soumises à la juridiction UE à la tech américaine — une grande partie de ce que BetterInEurope catalogue.
## Ce que Schrems I signifie en pratique
Pour les entreprises européennes aujourd'hui :
### La chaîne des affaires
Lorsque vous évaluez si vous pouvez transférer des données personnelles à des fournisseurs américains, vous naviguez la chaîne que Schrems I a démarrée : Safe Harbor invalidé → Privacy Shield invalidé → EU-US DPF (actuel, vulnérable à contestation).
### La question plus profonde
Schrems I a rendu clair que le transfert de données UE-États-Unis est fondamentalement une question de réforme de la surveillance américaine, pas seulement de paperasse. Tant que FISA 702 et le CLOUD Act existent, les cadres construits dessus restent structurellement vulnérables.
### Pourquoi « résidant dans l'UE, juridiction UE » compte
Les entreprises qui sont véritablement européennes (pas seulement des filiales opérant dans l'UE d'entreprises américaines) évitent l'ensemble du problème de la lignée Schrems. Elles ne sont pas soumises au CLOUD Act ou à FISA 702.
## Implications pratiques
Pour la plupart des acheteurs tech européens :
- **Schrems I est de l'histoire**, mais ses conséquences façonnent les décisions actuelles
- **L'EU-US DPF est la loi actuelle**, mais les contestations de la lignée Schrems sont en cours
- **Les véritables alternatives européennes** contournent entièrement la question
- **Les évaluations de l'impact des transferts** ([TIA](/fr/glossary/tia/)) sont requises lorsque les transferts continuent
La voie la plus simple vers une conformité durable est de choisir des fournisseurs où la question ne se pose pas.
Cela vous a-t-il été utile ?
Merci pour votre retour !