Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 16 juillet 2026
RGPD

Data Privacy Framework : transférer aux USA en 2026

Data Privacy Framework : transférer des données aux États-Unis en 2026, vérifier une certification DPF et anticiper le risque Schrems III.

La majorité de vos outils numériques — messagerie, CRM, hébergement cloud, analytics — reposent sur des prestataires américains. Depuis le 10 juillet 2023, le Data Privacy Framework (DPF) permet de leur transférer des données personnelles sans clauses contractuelles ni analyse d’impact, à une condition : que l’entreprise destinataire soit certifiée. Mais un arrêt de la Cour suprême américaine du 29 juin 2026 a ravivé la menace d’une invalidation. Voici ce qu’il faut comprendre — et sécuriser dès maintenant.

Qu’est-ce que le Data Privacy Framework ?

Le Data Privacy Framework (« cadre de protection des données UE–États-Unis ») est le mécanisme juridique qui autorise le transfert de données personnelles depuis l’Union européenne vers des entreprises établies aux États-Unis. Il repose sur une décision d’adéquation de la Commission européenne — la décision d’exécution (UE) 2023/1795 du 10 juillet 2023 — adoptée sur le fondement de l’article 45 du RGPD.

Concrètement, une décision d’adéquation signifie que la Commission estime que le pays destinataire offre un niveau de protection « substantiellement équivalent » à celui garanti dans l’UE. Lorsqu’un tel constat existe, le transfert peut avoir lieu sans autorisation préalable et sans mesure supplémentaire, comme s’il s’agissait d’un flux intra-européen. C’est exactement le régime décrit dans mon guide sur les décisions d’adéquation de l’article 45 RGPD.

La particularité du DPF est qu’il ne couvre pas tout le territoire américain. Il s’agit d’une adéquation partielle et conditionnelle : elle ne bénéficie qu’aux organisations qui se sont volontairement inscrites et engagées à respecter les principes du cadre. Une entreprise américaine non certifiée reste soumise au régime de droit commun des transferts internationaux.

Du Privacy Shield au DPF : une troisième tentative

Le DPF est le troisième dispositif transatlantique en une décennie. Le Safe Harbor a été invalidé par la CJUE en 2015 (arrêt Schrems I), puis le Privacy Shield a subi le même sort le 16 juillet 2020 (arrêt Schrems II, affaire C-311/18). À chaque fois, la Cour de justice a jugé que les programmes de surveillance américains et l’absence de recours effectif pour les Européens ne garantissaient pas une protection équivalente.

Pour répondre à ces critiques, les États-Unis ont adopté le décret exécutif 14086 (octobre 2022), qui encadre l’accès des services de renseignement aux données et crée une juridiction de recours dédiée, la Data Protection Review Court (DPRC). C’est sur cette base renforcée que la Commission a délivré son adéquation en 2023.

Comment fonctionne la certification DPF ?

Le DPF repose sur un mécanisme d’auto-certification auprès du Department of Commerce américain. Pour figurer sur la liste officielle (accessible sur dataprivacyframework.gov), une entreprise américaine doit notamment :

  • adopter une politique de confidentialité conforme aux principes du DPF (finalité, minimisation, sécurité, transfert ultérieur, etc.) ;
  • désigner un point de contact interne pour la conformité DPF ;
  • mettre en place un mécanisme de recours indépendant gratuit pour les personnes concernées ;
  • s’engager à recourir à l’arbitrage contraignant en dernier ressort ;
  • renouveler sa certification chaque année.

La certification n’est pas globale : elle précise si l’organisation couvre les données RH, les données commerciales, ou les deux. Vérifier ce périmètre est essentiel avant de vous appuyer sur le DPF.

La vérification en pratique : trois réflexes

Dans mes missions de conseil, je constate que beaucoup d’entreprises « supposent » qu’un prestataire américain connu est couvert. C’est une erreur. Avant de fonder un transfert sur le DPF, je recommande trois vérifications :

  1. Consulter la liste officielle sur dataprivacyframework.gov et rechercher la raison sociale exacte de l’entité destinataire (souvent une filiale américaine, pas la marque commerciale).
  2. Contrôler le statut : il doit être « Active ». Un statut « Inactive » ou une certification non renouvelée fait tomber le fondement juridique.
  3. Vérifier le périmètre des données : une certification limitée aux données RH ne couvre pas un transfert de données clients.

Cette vérification doit être documentée et versée à votre registre des activités de traitement, au titre de la traçabilité des transferts.

DPF ou clauses contractuelles types : que choisir ?

Le DPF ne rend pas les clauses contractuelles types (CCT) obsolètes. Les deux mécanismes coexistent, et le choix dépend de la situation du destinataire.

Si l’entreprise américaine est certifiée DPF, le transfert est couvert par la décision d’adéquation : aucune mesure supplémentaire n’est en principe requise, et vous n’avez pas à réaliser d’analyse d’impact du transfert. C’est le régime le plus simple.

Si l’entreprise américaine n’est pas certifiée — ou si sa certification ne couvre pas la catégorie de données concernée — il faut revenir au régime de l’article 46 du RGPD : signature des clauses contractuelles types de la Commission (décision 2021/914) et réalisation d’une analyse d’impact du transfert (Transfer Impact Assessment, ou TIA). Cette évaluation, obligatoire depuis l’arrêt Schrems II, doit documenter l’accès possible des autorités américaines et les mesures supplémentaires adoptées. J’ai détaillé la méthode dans mon modèle de TIA / analyse d’impact du transfert.

Mon conseil : même lorsque vous vous appuyez sur le DPF, conservez une stratégie de repli contractuelle. Un DPF invalidé du jour au lendemain — le scénario Schrems III — vous laisserait sans base légale si vous n’avez rien signé d’autre. Beaucoup de directions juridiques prévoient désormais des CCT « dormantes » dans leurs contrats avec des prestataires américains, prêtes à s’activer.

Pour une vue d’ensemble des mécanismes disponibles (adéquation, CCT, BCR, dérogations de l’article 49), consultez mon guide dédié aux transferts de données hors UE.

Le DPF est-il toujours valable en 2026 ?

Oui, au moment où j’écris ces lignes, le Data Privacy Framework reste juridiquement en vigueur. La décision d’adéquation 2023/1795 produit tous ses effets tant qu’elle n’est pas abrogée par la Commission ou annulée par les juridictions de l’Union. Mais deux évolutions récentes justifient une vigilance accrue.

Le recours Latombe rejeté, puis porté en appel

Le député européen français Philippe Latombe a contesté la validité du DPF devant le Tribunal de l’Union européenne, estimant qu’il n’assure pas une protection essentiellement équivalente. Le 3 septembre 2025, le Tribunal a rejeté son recours et confirmé la validité du cadre. M. Latombe a formé un pourvoi devant la Cour de justice de l’UE le 31 octobre 2025 (affaire C-703/25 P), toujours pendant en 2026.

L’arrêt de la Cour suprême américaine du 29 juin 2026

Élément plus préoccupant : le 29 juin 2026, la Cour suprême des États-Unis a jugé, par 6 voix contre 3, que les restrictions légales encadrant la révocation par le Président des commissaires de la Federal Trade Commission (FTC) étaient contraires à la Constitution. Ce raisonnement fragilise l’idée d’un contrôle indépendant et effectif — précisément l’exigence que la CJUE avait posée dans Schrems II. Plusieurs experts estiment que la CJUE pourrait rendre un avis fin 2026 ou début 2027, avec un risque réel d’invalidation si elle suit la logique de ses arrêts précédents.

Autrement dit, le DPF est valable aujourd’hui, mais son avenir n’est pas garanti. Toute stratégie de conformité qui repose exclusivement sur lui prend un risque juridique que je déconseille.

Ce qu’il faut retenir

  • Le Data Privacy Framework permet, depuis le 10 juillet 2023, de transférer des données personnelles vers les entreprises américaines certifiées, sur le fondement d’une décision d’adéquation (art. 45 RGPD).
  • La certification est une auto-certification annuelle auprès du Department of Commerce : vérifiez toujours le statut « Active » et le périmètre (données RH / commerciales) sur dataprivacyframework.gov.
  • Pour un destinataire non certifié, il faut revenir aux clauses contractuelles types (art. 46) assorties d’une analyse d’impact du transfert (TIA).
  • Documentez chaque transfert dans votre registre et conservez une solution de repli contractuelle en cas d’invalidation.
  • Le DPF reste valable en 2026, mais le pourvoi Latombe (C-703/25 P) et l’arrêt de la Cour suprême du 29 juin 2026 font peser un risque de Schrems III à horizon 2026-2027.

FAQ

Comment savoir si une entreprise américaine est certifiée DPF ?

Consultez la liste officielle sur dataprivacyframework.gov et recherchez la raison sociale exacte de l’entité destinataire. Vérifiez que le statut est « Active » et que le périmètre couvre bien la catégorie de données transférée (données commerciales et/ou RH).

Faut-il encore signer des clauses contractuelles types si mon prestataire est certifié DPF ?

Ce n’est pas juridiquement obligatoire : la décision d’adéquation suffit. Mais compte tenu du risque d’invalidation, il est prudent de prévoir des clauses contractuelles types « de repli » dans le contrat, activables immédiatement si le DPF venait à tomber.

Le Data Privacy Framework couvre-t-il tout transfert vers les États-Unis ?

Non. Le DPF ne bénéficie qu’aux organisations inscrites et certifiées. Un transfert vers une entreprise américaine non certifiée relève du régime de l’article 46 du RGPD (clauses contractuelles types) et exige une analyse d’impact du transfert.

Que se passe-t-il si le DPF est invalidé comme le Privacy Shield ?

Les transferts fondés sur le DPF perdraient leur base légale. Il faudrait alors basculer en urgence vers les clauses contractuelles types accompagnées d’une TIA, voire suspendre certains flux. C’est pourquoi une stratégie de repli contractuelle est vivement recommandée dès aujourd’hui.


Vous voulez rester informé des évolutions du Data Privacy Framework et anticiper un éventuel Schrems III ? Recevez nos analyses conformité chaque semaine — décryptages juridiques, décisions CNIL et guides pratiques directement dans votre boîte mail.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →