Points clés
La décision d'adéquation relative au cadre de protection des données UE-États-Unis (DPF), adoptée en juillet 2023, est confrontée en 2026 à des risques politiques, juridiques et opérationnels qui convergent. Le décret présidentiel 14086 sous-tend le cadre, mais reste vulnérable aux inflexions de la politique américaine. Les contentieux Schrems III pourraient déclencher une troisième invalidation, après le Safe Harbor et le Privacy Shield. Les équipes de protection des données qui gèrent des transferts transfrontaliers multi-entités ont besoin de mécanismes de repli, d'un registre des traitements centralisé et d'une recertification automatisée afin de maintenir leur état de préparation à la conformité, quel que soit le sort du DPF.
Définitions
Qu'est-ce que le cadre de protection des données UE-États-Unis (DPF) ?
Le cadre de protection des données UE-États-Unis est un cadre d'adéquation adopté par la Commission européenne le 10 juillet 2023 au titre de l'article 45 du RGPD. Il permet le transfert de données à caractère personnel de l'UE vers des organisations américaines certifiées, sans nécessiter de garanties de transfert supplémentaires telles que les clauses contractuelles types. Le cadre a remplacé le Privacy Shield UE-États-Unis, invalidé. Source : Commission européenne — Transferts de données UE-États-Unis
Qu'est-ce qu'une décision d'adéquation au sens du RGPD ?
Une décision d'adéquation est une décision de la Commission européenne, au titre de l'article 45 du RGPD, constatant qu'un pays tiers assure un niveau de protection des données adéquat, essentiellement équivalent à celui garanti au sein de l'UE. Les décisions d'adéquation permettent aux données à caractère personnel de circuler librement vers le pays tiers, sans garanties supplémentaires.
Qu'est-ce que le décret présidentiel 14086 ?
Le décret présidentiel 14086, signé le 7 octobre 2022, a introduit des garanties renforcées pour les activités de renseignement d'origine électromagnétique américaines et a établi la Cour de réexamen en matière de protection des données (DPRC) en tant que mécanisme de recours pour les personnes physiques de l'UE. La Commission européenne a cité ces protections comme fondement de la décision d'adéquation du DPF. Source : CEPD — Note d'information sur les transferts de données UE-États-Unis
Que sont les clauses contractuelles types (CCT) ?
Les clauses contractuelles types sont des clauses contractuelles préapprouvées adoptées par la Commission européenne au titre de l'article 46, paragraphe 2, point c) du RGPD, qui offrent des garanties appropriées pour les transferts internationaux de données. Les CCT constituent le principal mécanisme de transfert de repli lorsqu'aucune décision d'adéquation n'est en place.
Qu'est-ce qu'une analyse d'impact des transferts (TIA) ?
Une analyse d'impact des transferts est une évaluation requise par l'arrêt Schrems II de la CJUE (affaire C-311/18) afin de déterminer si le cadre juridique du pays destinataire offre une protection essentiellement équivalente à celle de l'UE. Des TIA doivent être menées pour chaque transfert reposant sur des CCT ou d'autres mécanismes de l'article 46. Source : Recommandations 01/2020 du CEPD
Questions fréquentes
Quel est l'état actuel du cadre de protection des données UE-États-Unis en 2026 ?
La décision d'adéquation du DPF adoptée en juillet 2023 reste en vigueur, mais traverse sa période de réexamen la plus déterminante. Trois vecteurs de risque convergent : un risque politique lié à d'éventuelles modifications du décret présidentiel 14086, un risque juridique lié aux contentieux Schrems III attendus de la part d'organisations telles que noyb, et un risque opérationnel lié au mécanisme de réexamen annuel intégré au cadre. Le réexamen périodique de la Commission européenne évalue si les États-Unis continuent d'assurer une protection adéquate au titre de l'article 45 du RGPD.
Qu'est-ce que Schrems III et pourrait-il invalider le DPF ?
Schrems III désigne les contentieux attendus faisant valoir que le décret présidentiel 14086 ne satisfait pas au critère d'« équivalence essentielle » de la CJUE établi dans l'arrêt Schrems II (affaire C-311/18). La CJUE a précédemment invalidé le Safe Harbor en 2015 (Schrems I, affaire C-362/14) et le Privacy Shield en 2020 (Schrems II). Selon l'IAPP, des organisations de défense de la vie privée, dont noyb, ont publiquement annoncé leur intention de contester le DPF devant la CJUE.
Que doivent faire les équipes de protection des données pour se préparer à une éventuelle invalidation du DPF ?
Les équipes de protection des données devraient : (1) tenir un registre des activités de traitement à jour couvrant tous les flux de données transfrontaliers ; (2) mettre en place des clauses contractuelles types accompagnées d'analyses d'impact des transferts en tant que mécanismes de repli ; (3) automatiser les flux de recertification afin de permettre des mises à jour rapides au sein de toutes les entités ; et (4) centraliser la documentation pour que les mécanismes de transfert puissent être mis à jour à partir d'une source unique de vérité. Les Recommandations 01/2020 du CEPD fournissent des orientations détaillées sur les mesures supplémentaires applicables aux transferts internationaux.
Combien d'analyses de transfert une organisation de taille intermédiaire pourrait-elle devoir mener si le DPF est invalidé ?
Une organisation de taille intermédiaire comptant 15 entités et plus de 200 activités de traitement pourrait devoir mener plus de 500 analyses de transfert individuelles, selon les estimations fondées sur le travail de Priverion auprès d'équipes de protection des données multi-entités. Chaque activité de traitement impliquant un sous-traitant ou un sous-traitant ultérieur basé aux États-Unis nécessiterait une analyse d'impact des transferts distincte, conformément aux orientations du CEPD.
Qu'est-ce que le mécanisme de réexamen annuel du DPF ?
Au titre de l'article 45, paragraphe 3, du RGPD, la Commission européenne doit réexaminer périodiquement les décisions d'adéquation. Le DPF comprend un mécanisme de réexamen annuel par lequel la Commission évalue si les États-Unis continuent d'assurer une protection adéquate. Chaque cycle de réexamen crée une incertitude opérationnelle pour les organisations qui s'appuient sur la décision d'adéquation, la Commission pouvant suspendre, modifier ou abroger la décision à tout moment.
Qu'est-il advenu du Safe Harbor et du Privacy Shield ?
Le Safe Harbor a été invalidé par la CJUE en octobre 2015 dans l'arrêt Schrems I (affaire C-362/14), qui a constaté que les programmes de surveillance de masse américains n'offraient pas une protection adéquate. Le Privacy Shield a été invalidé en juillet 2020 dans l'arrêt Schrems II (affaire C-311/18), qui a constaté que les lois de surveillance américaines, en particulier l'article 702 du FISA, étaient incompatibles avec les droits fondamentaux de l'UE. Les deux arrêts sont disponibles sur EUR-Lex.
Statistiques et sources
Selon l'IAPP, la profession mondiale de la protection des données a dépassé les 500'000 praticiens, ce qui reflète la complexité croissante de la conformité des transferts transfrontaliers de données. Les Recommandations 01/2020 du CEPD décrivent un processus en six étapes pour évaluer et compléter les mécanismes de transfert — un processus qui doit être répété pour chaque flux de données lorsqu'une décision d'adéquation est invalidée. Deux cadres d'adéquation UE-États-Unis précédents ont été invalidés par la CJUE : le Safe Harbor en 2015 et le Privacy Shield en 2020. Selon la Commission européenne, plus de 5'300 organisations américaines étaient certifiées au titre du DPF en 2024. Le mécanisme de réexamen annuel du DPF, au titre de l'article 45, paragraphe 3, du RGPD, signifie que le statut d'adéquation n'est jamais permanent : il exige une surveillance continue et une préparation opérationnelle.
Comparaison : mécanismes de transfert UE-États-Unis
| Mécanisme | Base légale | Statut (2026) | Risque principal | Repli requis ? |
|---|
| Cadre de protection des données UE-États-Unis (DPF) | Décision d'adéquation, article 45 du RGPD | Actif, en cours de réexamen | Contentieux Schrems III ; revirement sur le décret 14086 | Oui — CCT + TIA recommandées |
| Clauses contractuelles types (CCT) | Article 46, paragraphe 2, point c) du RGPD | Actif | Nécessite une analyse d'impact des transferts par flux | Des mesures supplémentaires peuvent être nécessaires |
| Règles d'entreprise contraignantes (BCR) | Article 47 du RGPD | Actif | Processus d'approbation de 18 à 24 mois | Des mesures supplémentaires peuvent être nécessaires |
| Dérogations (art. 49) | Article 49 du RGPD | Actif (portée limitée) | Inadapté aux transferts systématiques ou répétés | S.O. — au cas par cas uniquement |