Le 30 janvier 2026, le Département de la Justice américain (DOJ) a rendu publics plus de 3,5 millions de pages de documents, 180 000 images et 2 000 vidéos issus des enquêtes fédérales relatives à Jeffrey Epstein. Cette diffusion massive, fondée sur l’Epstein Files Transparency Act signé par le président Trump le 19 novembre 2025, constitue un acte de transparence inédit dans l’histoire judiciaire américaine.
Le présent article ne porte aucun jugement sur le bien-fondé de cette diffusion et ne s’intéresse pas au contenu des dossiers eux-mêmes. Notre analyse se concentre exclusivement sur la légalité de cette diffusion au regard du Règlement Général sur la Protection des Données (RGPD), règlement européen qui constitue le cadre de référence en matière de protection des données à caractère personnel en Europe, c’est une etude de cas.
La question est simple : une telle diffusion serait-elle possible en France ou en Europe ? Et si elle ne l’est pas, quelles sanctions pourraient être encourues ?
Nature des données diffusées
Sans entrer dans le détail du contenu, il convient de qualifier les données diffusées au sens du RGPD. Les documents rendus publics par le DOJ comprennent des catégories de données extrêmement sensibles au regard de la réglementation européenne :
- Données d’identité : noms, prénoms, photographies de personnes identifiées ou identifiables (article 4 du RGPD)
- Données relatives aux infractions pénales : procès-verbaux d’audition, rapports d’enquête, témoignages de victimes (article 10 du RGPD)
- Données sensibles : données relatives à la vie sexuelle et à l’orientation sexuelle (article 9 du RGPD)
- Données de localisation : registres de vols, itinéraires, journaux de visites
- Données de communication : courriels, messages, carnets d’adresses
- Images et vidéos : 180 000 images et 2 000 vidéos, certaines pouvant constituer des données biométriques
En droit européen, la quasi-totalité de ces données bénéficie d’une protection renforcée. Les données relatives aux infractions pénales (article 10) et les données sensibles (article 9) ne peuvent être traitées que dans des conditions très strictes, et leur diffusion publique et massive poserait d’importants problèmes de conformité.
Un tel scénario serait-il possible en France ?
Le cadre légal français et européen
La réponse est claire : une diffusion de cette ampleur serait très difficilement envisageable en France, et ce pour plusieurs raisons cumulatives :
L’article 10 du RGPD dispose que le traitement des données relatives aux condamnations pénales et aux infractions « ne peut être effectué que sous le contrôle de l’autorité publique ». Même sous ce contrôle, un registre complet des condamnations ne peut être tenu que par l’autorité publique elle-même. La diffusion massive et publique de tels documents dépasserait largement ce cadre.
L’article 9 du RGPD interdit par principe le traitement des données relatives à la vie sexuelle. Les exceptions sont limitées : consentement explicite, motifs d’intérêt public important, procédure judiciaire. Aucune de ces exceptions ne couvre une diffusion publique de masse.
L’article 5 du RGPD impose les principes de minimisation des données et de limitation des finalités. La diffusion de 3,5 millions de pages au public, incluant des données de personnes non concernées par les infractions reprochées, contreviendrait manifestement au principe de proportionnalité.
L’article 6 du RGPD exige une base légale pour tout traitement. Même si le législateur français adoptait une loi similaire à l’Epstein Files Transparency Act, cette loi devrait respecter l’article 6§§3 du RGPD, qui impose que la base légale poursuive un « objectif d’intérêt public » et soit « proportionnée à l’objectif légitime poursuivi ». L’ampleur de la diffusion américaine dépasserait très probablement ce test de proportionnalité.
Le secret de l’instruction et la présomption d’innocence
Au-delà du RGPD, le droit français ajoute des couches de protection supplémentaires. L’article 11 du Code de procédure pénale consacre le secret de l’instruction, qui interdit la divulgation des pièces d’une enquête en cours ou clôturée. La diffusion de procès-verbaux d’audition, de rapports d’enquête du FBI ou de témoignages de victimes serait impensable en France, indépendamment même du RGPD.
De plus, la présomption d’innocence (article 9-1 du Code civil) protège les personnes citées dans des documents judiciaires. La diffusion massive de noms associés à une enquête criminelle, sans condamnation judiciaire, pourrait constituer une atteinte à ce droit fondamental.
Les sanctions auxquelles l’État français s’exposerait
Si l’État français procédait à une diffusion similaire, les sanctions pourraient être considérables :
| Type de sanction | Détail |
| Sanction administrative CNIL | Jusqu’à 20 millions d’euros pour les organismes publics ne réalisant pas de chiffre d’affaires (article 83 du RGPD). Pour un organisme privé, jusqu’à 4 % du CA annuel mondial. |
| Injonction de la CNIL | Mise en demeure de cesser la diffusion, assortie d’astreintes pouvant atteindre 100 000 € par jour de retard. |
| Actions en justice individuelles | Chaque personne concernée pourrait agir en réparation du préjudice subi devant les juridictions compétentes (article 82 du RGPD). Actions de groupe également possibles. |
| Sanctions pénales | L’article 226-16 du Code pénal prévoit jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende pour traitement illicite de données personnelles. |
| Recours européens | Possibilité de saisine de la CJUE et de la Cour européenne des droits de l’homme (article 8 de la CEDH – droit au respect de la vie privée). |
Google et les moteurs de recherche : des responsables sanctionnables ?
La question de la responsabilité de Google et des autres moteurs de recherche est particulièrement intéressante. En indexant et rendant accessibles les documents Epstein, ces plateformes effectuent un traitement de données à caractère personnel au sens de l’article 4 du RGPD.
La jurisprudence Google Spain
La Cour de Justice de l’Union Européenne a établi dans son arrêt Google Spain (13 mai 2014, C-131/12) que l’exploitant d’un moteur de recherche est un responsable de traitement au sens du RGPD. L’indexation, le stockage et la mise à disposition de données personnelles constituent un traitement autonome, indépendant de celui réalisé par l’éditeur du site source.
Concrètement, cela signifie que Google pourrait être sanctionné par la CNIL ou toute autorité européenne de protection des données pour :
- L’indexation de noms et photographies de personnes identifiables dans les documents Epstein
- L’indexation d’images contenant des données sensibles
- Le refus de procéder au déréférencement demandé par les personnes concernées
- L’absence de mesures proactives pour limiter la diffusion de données manifestement illicites au sens du RGPD
Le droit au déréférencement (droit à l’oubli)
L’article 17 du RGPD consacre le droit à l’effacement. Toute personne citée dans les documents Epstein et résidant en Europe pourrait demander à Google de déréférencer les pages la concernant. En cas de refus, la CNIL pourrait intervenir et sanctionner le moteur de recherche.
Rappelons que la CNIL a déjà démontré sa capacité à sanctionner Google de manière significative : 50 millions d’euros en 2019, 150 millions en 2021, et 325 millions d’euros en septembre 2025. Au total, la CNIL a infligé près de 487 millions d’euros d’amendes en 2025, un montant record.
L’application extraterritoriale du RGPD
L’article 3 du RGPD confère au règlement une portée extraterritoriale. Le RGPD s’applique dès lors que le traitement concerne des personnes se trouvant sur le territoire de l’Union européenne, quel que soit le lieu d’établissement du responsable de traitement. Cela signifie que même Google LLC, société américaine, est soumis au RGPD pour le traitement des données des résidents européens.
Peut-on sanctionner le Ministère de la Justice américain ?
La question est légitime mais la réponse est sans ambiguïté : non, en pratique. Et c’est là que le RGPD montre ses limites.
Théoriquement, l’article 3 du RGPD permettrait de considérer que le DOJ traite des données de citoyens européens. Des personnes de nationalité européenne apparaissent dans les documents (la Turquie, la Lituanie et d’autres pays ont déjà ouvert des enquêtes suite à ces révélations). Le RGPD pourrait donc s’appliquer.
Pratiquement, aucune autorité européenne de protection des données ne dispose des moyens de contraindre un ministère américain. Le DOJ n’a ni établissement en Europe, ni actifs saisissables sur le territoire européen. L’immunité souveraine des États constitue un obstacle juridique majeur. Les États-Unis ne sont pas partie au RGPD et ne reconnaîtraient aucune compétence à la CNIL ou au Comité européen de la protection des données (CEPD) pour sanctionner une administration fédérale américaine.
Les limites du RGPD révélées par cette affaire
L’affaire Epstein illustre avec une clarté saisissante les limites structurelles du RGPD :
L’impuissance face aux États tiers
Le RGPD est un règlement européen. Malgré sa vocation extraterritoriale, il ne peut s’imposer à des États souverains qui ne le reconnaissent pas. Quand le DOJ diffuse des données de citoyens européens, l’Europe est spectatrice impuissante. Aucun mécanisme du RGPD ne permet de contraindre un État tiers à respecter les droits des personnes concernées.
Le paradoxe de l’intermédiaire
Si le DOJ est hors d’atteinte, les intermédiaires européens ou opérant en Europe (Google, médias en ligne, réseaux sociaux) ne le sont pas. On aboutit à un paradoxe : l’émetteur de la donnée est insanctionnable, mais ses relais peuvent l’être. Google pourrait être sanctionné pour l’indexation de documents que le DOJ a pourtant lui-même rendus publics en toute légalité américaine.
Le conflit de normes
L’Epstein Files Transparency Act est une loi fédérale américaine, votée par le Congrès à une écrasante majorité (427 voix contre 1 à la Chambre des représentants, unanimité au Sénat). Cette loi oblige le DOJ à diffuser ces documents. Nous sommes donc face à un conflit direct entre une obligation légale américaine et les principes du RGPD, un scénario que le règlement européen n’a pas vocation à résoudre.
L’asymétrie des systèmes juridiques
Cette affaire révèle une asymétrie profonde. Les États-Unis disposent du Cloud Act, du FISA et désormais de l’Epstein Files Transparency Act : autant d’instruments de portée extraterritoriale qui s’imposent de facto au reste du monde. Le RGPD, malgré son ambition extraterritoriale, ne dispose pas de la même force de contrainte. L’Europe protège les données de ses citoyens sur son territoire, mais reste démunie quand ces données sont traitées par un État souverain en dehors de ses frontières.
La fragilité du Data Privacy Framework
La décision d’adéquation de la Commission européenne de juillet 2023 (Data Privacy Framework), qui permet les transferts de données vers les entreprises américaines certifiées, repose sur le décret présidentiel n° 14086 limitant l’accès des services de renseignement américains aux données européennes. La diffusion massive de données personnelles par le gouvernement américain lui-même pose la question de la pérennité de cet accord, déjà menacé après les invalidations successives du Safe Harbor (2015) et du Privacy Shield (2020).
