Décisions d'adéquation de l'UE : liste complète des pays et mises à jour 2026
En vertu de l'article 45 du RGPD, la Commission européenne adopte une décision d'adéquation lorsqu'elle constate qu'un pays non membre de l'UE offre un niveau de protection des données essentiellement équivalent aux normes européennes. Cette reconnaissance permet aux données à caractère personnel de circuler librement de l'UE vers ce pays, sans recourir à des garanties supplémentaires telles que les clauses contractuelles types.
Une décision d'adéquation de l'UE est une constatation formelle de la Commission européenne selon laquelle un pays situé en dehors de l'Espace économique européen (EEE) offre un niveau de protection des données « essentiellement équivalent » à celui garanti au sein de l'UE. Lorsqu'un pays obtient une décision d'adéquation, les données à caractère personnel peuvent circuler librement de l'UE vers ce pays sans que les organisations aient besoin de mettre en place des garanties supplémentaires telles que les clauses contractuelles types (CCT) ou les règles d'entreprise contraignantes.
Le cadre juridique de l'adéquation est établi par l'article 45 du RGPD, qui définit les critères que la Commission doit évaluer ainsi que la procédure d'adoption, de réexamen et d'abrogation. Les décisions d'adéquation figurent parmi les instruments les plus déterminants de la protection internationale des données, car elles conditionnent la possibilité de flux de données transfrontaliers fluides entre l'UE et ses partenaires commerciaux.
Ce guide explique le fonctionnement de l'adéquation, présente chaque pays et organisation bénéficiant actuellement du statut d'adéquation, revient sur le réexamen de 2024 des onze décisions antérieures au RGPD, sur le renouvellement britannique de décembre 2025, sur la décision concernant le Brésil en 2026, sur le cadre de protection des données UE-États-Unis et son historique contentieux, et sur ce que l'adéquation signifie concrètement pour votre organisation.
Le fonctionnement des décisions d'adéquation au titre de l'article 45 du RGPD
L'article 45 du RGPD habilite la Commission européenne à constater qu'un pays tiers, un territoire, un ou plusieurs secteurs déterminés au sein d'un pays tiers, ou une organisation internationale assure un niveau de protection adéquat. La norme juridique applicable n'est pas une protection identique, mais une « équivalence substantielle » avec le droit de l'UE.
Les critères d'évaluation
Pour évaluer l'adéquation d'un pays, la Commission tient compte de plusieurs facteurs énoncés à l'article 45, paragraphe 2 :
État de droit et droits de l'homme : le cadre juridique général du pays, y compris la législation relative à la sécurité nationale, à l'intérêt public, au droit pénal et à l'accès des autorités publiques aux données à caractère personnel. L'existence d'un pouvoir judiciaire indépendant revêt une importance considérable.
Autorité de contrôle indépendante : l'existence, dans le pays concerné, d'une ou plusieurs autorités de protection des données indépendantes disposant de pouvoirs d'exécution suffisants, notamment la capacité d'enquêter, d'intervenir et de sanctionner les violations. Cette autorité doit également apporter une assistance et des conseils aux personnes concernées qui exercent leurs droits.
Engagements internationaux : la participation du pays à des instruments internationaux de protection des données, tels que la Convention 108 du Conseil de l'Europe et son protocole modernisé (Convention 108+), ainsi qu'à des accords bilatéraux ou multilatéraux et à d'autres obligations juridiquement contraignantes.
Droits des personnes concernées : la question de savoir si les personnes disposent de droits effectifs et opposables, notamment les droits d'accès, de rectification, d'effacement et de limitation du traitement, ainsi que d'un droit à un recours administratif et juridictionnel effectif.
Règles relatives aux transferts ultérieurs : la question de savoir si le pays impose des conditions aux transferts ultérieurs de données vers d'autres pays tiers, afin d'empêcher que l'adéquation ne devienne une voie de contournement permettant des flux de données vers des juridictions offrant une protection plus faible.
La procédure d'adoption
L'évaluation de l'adéquation est une procédure longue. La Commission mène son évaluation, souvent sur plusieurs années. Le Comité européen de la protection des données (CEPD) rend un avis sur le projet de décision. Les représentants des États membres, réunis au sein d'un comité de comitologie, votent pour approuver la décision. Le Parlement européen et le Conseil peuvent demander à la Commission de maintenir, de modifier ou de retirer une décision.
De l'évaluation initiale à l'adoption définitive, la procédure dure généralement de deux à quatre ans. Les pays ayant ratifié la Convention 108+, mis en place des autorités de contrôle véritablement indépendantes dotées de réels pouvoirs d'exécution, et adopté une législation complète alignée sur le RGPD, ont tendance à franchir les étapes plus rapidement.
Suivi et réexamen périodique
L'article 45, paragraphe 3, impose à la Commission de suivre en permanence l'évolution de la situation dans les pays adéquats. L'article 45, paragraphe 4, l'oblige à rendre compte périodiquement au Parlement européen et au Conseil du fonctionnement des décisions. Si la Commission constate qu'un pays n'assure plus une équivalence substantielle, elle peut modifier, suspendre ou abroger la décision.
Les pays bénéficiant d'une décision d'adéquation de l'UE
En 2026, la Commission européenne a adopté des décisions d'adéquation pour 17 pays, territoires et organisations. Cette liste comprend à la fois des décisions antérieures au RGPD (initialement adoptées au titre de la directive de 1995 sur la protection des données et demeurant en vigueur en vertu de l'article 45, paragraphe 9, du RGPD) et des décisions adoptées depuis l'entrée en application du RGPD en mai 2018.
Décisions d'adéquation antérieures au RGPD (ère de la directive)
Ces décisions ont été adoptées au titre de la directive 95/46/CE, avant l'entrée en application du RGPD le 25 mai 2018. Elles demeurent en vigueur tant qu'elles ne sont pas abrogées ou modifiées.
Andorre (adoptée en octobre 2010) : la loi qualifiée de 2003 relative à la protection des données à caractère personnel et son autorité de contrôle indépendante (APDA) ont fondé la constatation d'adéquation. Le réexamen de janvier 2024 de la Commission a confirmé que l'adéquation demeurait justifiée.
Argentine (adoptée en juin 2003) : la loi argentine sur la protection des données à caractère personnel (loi 25 326) et l'Agencia de Acceso a la Información Pública (AAIP) constituent le fondement de l'adéquation. L'Argentine demeure le seul pays d'Amérique du Sud, hormis le Brésil, à bénéficier de l'adéquation de l'UE.
Canada (adoptée en décembre 2001, adéquation partielle) : l'adéquation du Canada se limite aux organisations soumises à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) dans le cadre de leurs activités commerciales. Le traitement effectué par le secteur public, les organisations non soumises à la LPRPDE et les législations provinciales non reconnues comme substantiellement similaires à la LPRPDE sont exclus du champ d'application.
Îles Féroé (adoptée en mars 2010) : un territoire autonome du Royaume du Danemark doté de sa propre législation sur la protection des données.
Guernesey (adoptée en novembre 2003) : dépendance de la Couronne britannique dotée d'une législation sur la protection des données alignée sur le UK GDPR depuis le Brexit.
Île de Man (adoptée en avril 2004) : dépendance de la Couronne britannique dotée d'un régime de protection des données indépendant relevant de l'Information Commissioner's Office (île de Man).
Israël (adoptée en janvier 2011) : la loi israélienne de 1981 sur la protection de la vie privée (Privacy Protection Act) et la Privacy Protection Authority ont fourni le cadre juridique. Israël s'efforce de moderniser sa législation sur la protection de la vie privée afin de la rapprocher des normes du RGPD.
Jersey (adoptée en mai 2008) : dépendance de la Couronne britannique dotée de sa propre législation sur la protection des données et de sa propre autorité de contrôle (ODPA).
Nouvelle-Zélande (adoptée en décembre 2012) : le Privacy Act néo-zélandais et l'Office of the Privacy Commissioner ont fondé l'adéquation. La Nouvelle-Zélande a adopté un Privacy Act largement modernisé en novembre 2020.
Suisse (adoptée en juillet 2000) : l'une des premières décisions d'adéquation. La Suisse a adopté une loi fédérale sur la protection des données révisée (nLPD), entrée en vigueur le 1er septembre 2023, qui modernise son cadre juridique pour le rapprocher davantage du RGPD. La Commission a examiné si la nLPD renforçait la position d'adéquation de la Suisse.
Uruguay (adoptée en août 2012) : la loi uruguayenne sur la protection des données (loi 18 331) et l'Unité de régulation et de contrôle des données personnelles (URCDP) ont étayé la constatation d'adéquation.
Décisions d'adéquation postérieures au RGPD
Japon (adoptée en janvier 2019) : la première décision d'adéquation adoptée sous le régime du RGPD. La loi japonaise sur la protection des informations personnelles (APPI) a été complétée par des garanties supplémentaires négociées spécifiquement avec l'UE, portant notamment sur des règles plus strictes en matière de données sensibles, de transferts ultérieurs et de droits individuels. La Commission a achevé son premier réexamen en avril 2023, concluant que l'adéquation demeurait justifiée compte tenu de l'alignement continu de l'APPI sur les principes du RGPD.
République de Corée (Corée du Sud) (adoptée en décembre 2021) : la loi coréenne sur la protection des informations personnelles (PIPA), substantiellement modifiée en 2020, et la Commission de protection des informations personnelles (PIPC) ont étayé cette constatation. La Corée a pris des engagements supplémentaires concernant l'accès des autorités publiques aux données à des fins répressives et de sécurité nationale.
Royaume-Uni (adoptée en juin 2021, renouvelée en décembre 2025) : la décision d'adéquation concernant le Royaume-Uni est traitée en détail dans une section dédiée ci-dessous.
États-Unis (DPF) (adoptée en juillet 2023) : la décision d'adéquation ne s'applique qu'aux organisations américaines certifiées au titre du cadre de protection des données UE-États-Unis (DPF). Il n'existe aucune constatation d'adéquation générale pour les États-Unis. Les transferts vers des organisations américaines non certifiées requièrent toujours des CCT ou d'autres garanties.
Brésil (adoptée le 26 janvier 2026) : la décision d'adéquation la plus récente et la plus complète à ce jour, et le premier dispositif d'adéquation mutuelle. Voir la section détaillée ci-dessous.
Organisation européenne des brevets (adoptée le 15 juillet 2025) : la toute première décision d'adéquation adoptée pour une organisation internationale. Elle permet des flux de données fluides entre les entités de l'UE et l'OEB, à l'appui de la transformation numérique de la procédure de délivrance des brevets.
Le réexamen de janvier 2024 des onze décisions antérieures au RGPD
Le 15 janvier 2024, la Commission européenne a publié son rapport sur le premier réexamen périodique du fonctionnement des onze décisions d'adéquation adoptées au titre de la directive 95/46/CE (document SWD(2024) 3 final, accompagnant la communication de la Commission COM/2024/7). Les onze décisions examinées concernaient : Andorre, l'Argentine, le Canada, les îles Féroé, Guernesey, l'île de Man, Israël, Jersey, la Nouvelle-Zélande, la Suisse et l'Uruguay.
Conclusion : les onze décisions continuent d'assurer l'adéquation
La conclusion générale de la Commission est que les onze pays et territoires continuent d'assurer un niveau de protection des données adéquat et qu'aucune des décisions ne doit être retirée ou modifiée à ce stade.
Observations propres à chaque pays
Ce réexamen n'a pas été une simple validation de pure forme. La Commission a recensé des points spécifiques justifiant un suivi continu :
S'agissant de l'Argentine, la Commission a relevé la nécessité pour le pays d'achever son processus de réforme législative afin de moderniser sa loi de 2000 sur la protection des données et de la rapprocher des normes du RGPD, et a appelé à la nomination d'un nouveau responsable de l'autorité de contrôle AAIP.
S'agissant d'Israël, la Commission a observé une réforme législative en cours visant à actualiser le Privacy Protection Act et a noté que l'ampleur et la portée de cette réforme seraient pertinentes pour une future évaluation de l'adéquation.
S'agissant du Canada, la Commission a signalé le processus de réforme en cours de la LPRPDE (projet de loi C-27) et a noté que la mise en œuvre de cette réforme influerait sur les futurs réexamens de l'adéquation.
S'agissant de la Nouvelle-Zélande, la Commission a souligné l'incidence positive des réformes du Privacy Act de 2020 et a salué le bon fonctionnement de l'autorité de contrôle indépendante du pays.
La Commission a confirmé que les décisions d'adéquation concernant Guernesey, l'île de Man, Jersey, les îles Féroé, Andorre, la Suisse et l'Uruguay continuaient de fonctionner de manière satisfaisante, tout en recommandant un suivi étroit et continu des évolutions réglementaires dans chacune de ces juridictions.
La décision d'adéquation du Royaume-Uni : clause de caducité, prolongation et renouvellement de décembre 2025
La décision d'adéquation concernant le Royaume-Uni présente un historique plus complexe que toute autre décision d'adéquation, en raison de la clause de caducité unique insérée lors de son adoption initiale.
La décision initiale de 2021 et la clause de caducité
La Commission a adopté la décision d'adéquation concernant le Royaume-Uni le 28 juin 2021, juste avant l'expiration du dispositif transitoire prévu par l'accord de commerce et de coopération entre l'UE et le Royaume-Uni. À la différence de toute autre décision d'adéquation, la décision britannique comportait une clause de caducité de quatre ans, entraînant son expiration automatique le 27 juin 2025, sauf renouvellement. Cette clause a été insérée parce que la Commission souhaitait pouvoir réévaluer le cadre de protection des données britannique à mesure qu'il évoluerait indépendamment du droit de l'UE après le Brexit.
La prolongation technique de juin 2025
À l'approche de la date d'expiration du 27 juin 2025, la Commission n'avait pas encore achevé sa procédure formelle de renouvellement. Le 24 juin 2025, elle a adopté une brève prolongation technique des décisions d'adéquation britanniques fondées à la fois sur le RGPD et sur la directive relative aux autorités répressives (LED), afin de préserver les flux de données pendant la finalisation de l'évaluation en vue du renouvellement.
Le renouvellement du 19 décembre 2025
Le 19 décembre 2025, la Commission a formellement renouvelé les décisions d'adéquation concernant le Royaume-Uni, tant au titre du RGPD que de la directive relative aux autorités répressives (LED). Les décisions renouvelées courent pour une durée de six ans, jusqu'au 27 décembre 2031. La Commission s'est engagée à procéder à un réexamen à mi-parcours au bout de quatre ans, en étroite collaboration avec le CEPD.
La Commission a conclu que le Royaume-Uni continuait d'assurer une protection des données essentiellement équivalente, malgré plusieurs modifications législatives intervenues depuis 2021. Parmi celles-ci figure en premier lieu l'adoption par le Royaume-Uni du Data (Use and Access) Act 2025 (DUAA), qui a reçu la sanction royale le 19 juin 2025. Le DUAA a remplacé le projet de Data Protection and Digital Information Bill, qui comportait des divergences plus significatives par rapport aux normes du RGPD. La Commission a évalué le DUAA et a constaté que le cadre juridique britannique dans son ensemble demeurait essentiellement équivalent.
L'avis du CEPD et les conditions de suivi
Le CEPD a adopté son avis sur les projets de décisions d'adéquation concernant le Royaume-Uni en octobre 2025. Tout en se félicitant de ce renouvellement, le CEPD a demandé à la Commission d'assurer un suivi effectif de plusieurs points, notamment l'exemption relative à l'immigration prévue par les règles britanniques de protection des données, le UK-US Data Bridge et ses implications pour les transferts ultérieurs de données de l'UE vers les États-Unis, ainsi que le risque de divergence future à mesure que le cadre britannique continuera d'évoluer de manière indépendante.
Ce renouvellement signifie que, pendant la période de six ans allant jusqu'à décembre 2031, les organisations peuvent transférer librement des données à caractère personnel entre l'UE et le Royaume-Uni au titre des décisions d'adéquation. Les organisations s'appuyant sur l'adéquation britannique devraient rester attentives aux conditions de suivi et conserver des plans de secours reposant sur les CCT au cas où la Commission déciderait de ne pas renouveler à nouveau la décision en 2031.
Le Brésil : la décision d'adéquation la plus récente (janvier 2026)
Le 26 janvier 2026, la Commission européenne a adopté la décision d'exécution (UE) 2026/179, reconnaissant que le cadre juridique brésilien issu de la LGPD assure une protection des données adéquate au sens de l'article 45 du RGPD. À la même date, l'autorité brésilienne de protection des données (ANPD) a adopté la résolution CD/ANPD n° 32, reconnaissant mutuellement que l'UE assure une protection adéquate au regard de la loi générale brésilienne sur la protection des données (LGPD).
Ce qui distingue la décision concernant le Brésil
La décision concernant le Brésil se distingue des décisions d'adéquation antérieures à plusieurs égards :
Reconnaissance mutuelle : les deux parties ont reconnu simultanément leur adéquation réciproque, créant ainsi un dispositif véritablement bilatéral. La résolution ANPD n° 32 du Brésil reflète la décision de l'UE et autorise des flux de données libres dans les deux sens.
Le champ sectoriel le plus large : contrairement au Canada (activités commerciales uniquement) et aux États-Unis (organisations certifiées DPF uniquement), l'adéquation du Brésil couvre les transferts effectués tant par le secteur public que par le secteur privé, ce qui en fait le dispositif d'adéquation le plus complet adopté au titre du RGPD.
Exclusion relative à la sécurité : la décision ne s'applique pas aux transferts effectués exclusivement à des fins de défense nationale, de sécurité de l'État ou d'enquête pénale, conformément aux exemptions prévues par la LGPD elle-même dans ces domaines.
Calendrier de réexamen : la décision fait l'objet d'un réexamen formel tous les quatre ans, la Commission travaillant en étroite collaboration avec l'ANPD pour assurer un suivi continu.
Contexte : le cadre juridique brésilien de protection des données
Le Brésil a adopté sa Lei Geral de Proteção de Dados (LGPD) en 2018, entrée en vigueur en septembre 2020. La LGPD reprend de très près la structure et les principes du RGPD, couvrant les bases juridiques du traitement, les droits des personnes concernées, la notification des violations de données et les exigences relatives aux délégués à la protection des données. L'ANPD a été instituée en tant qu'autorité de contrôle indépendante et a publié des règlements d'application relatifs aux mécanismes de transfert international de données et à la notification des incidents de sécurité, ce qui a encore rapproché le cadre brésilien des normes de l'UE.
L'UE a publié un projet de décision d'adéquation en septembre 2025, à l'issue d'un processus d'évaluation entamé plusieurs années auparavant. La décision définitive a été adoptée le 26 janvier 2026.
Le cadre de protection des données UE-États-Unis (Data Privacy Framework)
Le cadre de protection des données UE-États-Unis (DPF) a été adopté sous la forme d'une décision d'adéquation le 10 juillet 2023, à l'issue de négociations intensives entre la Commission et l'administration Biden. Le DPF a remplacé le Privacy Shield, que la Cour de justice de l'Union européenne (CJUE) avait invalidé dans l'arrêt Schrems II en juillet 2020.
Le fonctionnement du DPF
Contrairement aux décisions d'adéquation applicables à l'ensemble d'un pays, le DPF repose sur un mécanisme d'autocertification. Les organisations américaines certifient volontairement leur conformité aux principes du DPF auprès de l'International Trade Administration (ITA), via le site dataprivacyframework.gov. Les organisations certifiées s'engagent à respecter les principes du DPF et à se soumettre au pouvoir de sanction de la FTC et du Department of Transportation. Les personnes de l'UE peuvent obtenir réparation devant une Data Protection Review Court (DPRC), instituée par le décret présidentiel (Executive Order) 14086, pour les réclamations relatives aux activités de renseignement d'origine électromagnétique des États-Unis.
Le premier réexamen annuel d'octobre 2024
Le 9 octobre 2024, la Commission a publié son rapport sur le premier réexamen périodique du DPF UE-États-Unis (COM(2024) 451 final). La réunion de réexamen s'est tenue à Washington D.C. du 18 au 19 juillet 2024.
Principales conclusions : la Commission a constaté que le DPF fonctionnait comme prévu au cours de sa première année, avec une forte participation des PME (70 % des entreprises certifiées sont des PME) et une représentation importante du secteur des TIC (47 % des certifications). Les autorités américaines ont confirmé l'absence de modification pertinente du cadre juridique relatif à la sécurité nationale ou à l'application de la loi au cours de la première année d'application du DPF.
Le contentieux : l'affaire Latombe (septembre 2025)
Le DPF a fait l'objet de sa première contestation judiciaire dans l'affaire T-553/23, Philippe Latombe contre Commission européenne, devant le Tribunal de l'Union européenne. Le 3 septembre 2025, le Tribunal a rejeté le recours, confirmant que les États-Unis assurent un niveau de protection adéquat pour les données à caractère personnel transférées au titre du DPF. Le Tribunal a jugé que les activités de renseignement d'origine électromagnétique des États-Unis sont soumises au contrôle juridictionnel de la DPRC, dont les décisions sont définitives et contraignantes, ce qui satisfait à la norme d'équivalence substantielle établie par l'arrêt Schrems II.
Cette décision est susceptible de pourvoi devant la CJUE. NOYB (None of Your Business), l'organisation de défense de la vie privée fondée par Max Schrems, a indiqué qu'elle suivait de près l'évolution du dossier et pourrait engager une contestation distincte, de portée plus large.
Une incertitude politique persistante
La stabilité à long terme du DPF est exposée à des risques politiques découlant des décisions prises par l'administration Trump en 2025. Les principales préoccupations concernent :
Le PCLOB : en janvier 2025, l'administration Trump a démis de leurs fonctions les membres démocrates du Privacy and Civil Liberties Oversight Board, privant ainsi cet organe de quorum. Le PCLOB joue un rôle de contrôle du cadre de surveillance américain qui sous-tend les garanties du DPF.
L'indépendance de la FTC : un décret présidentiel relatif à la responsabilité des agences fédérales, pris en février 2025, a suscité des interrogations quant à la capacité de la FTC à conserver une indépendance suffisante pour faire respecter les engagements du DPF à l'égard des organisations certifiées.
Plusieurs autorités européennes de protection des données, notamment le Datatilsynet norvégien, la DSK allemande et le Datatilsynet danois, ont publié des recommandations invitant les organisations à préparer des plans de secours reposant sur des mécanismes de transfert alternatifs. Les organisations s'appuyant sur le DPF devraient conserver, à titre de solution de repli, des dispositifs de CCT à jour.
Comment les décisions d'adéquation sont abrogées ou contestées
L'histoire des cadres de transfert de données UE-États-Unis illustre la fragilité des dispositifs fondés sur l'adéquation et les conséquences de leur abrogation.
Schrems I : le Safe Harbor (2015)
En octobre 2015, la CJUE a invalidé le dispositif Safe Harbor (affaire C-362/14, Schrems contre Data Protection Commissioner), à la suite des révélations d'Edward Snowden concernant les programmes américains de surveillance de masse. La Cour a jugé que la décision d'adéquation Safe Harbor de la Commission ne garantissait pas une protection essentiellement équivalente, le droit américain permettant un accès massif aux données à caractère personnel sans contrôle juridictionnel adéquat.
Schrems II : le Privacy Shield (2020)
En juillet 2020, la CJUE a invalidé le dispositif Privacy Shield (affaire C-311/18, Data Protection Commissioner contre Facebook Ireland), pour des motifs essentiellement identiques : le droit américain de la surveillance n'offrait pas aux personnes concernées des droits opposables ni un recours juridictionnel effectif équivalent aux normes de l'UE. La Cour a également confirmé la validité des clauses contractuelles types, sous réserve que les exportateurs de données réalisent une analyse d'impact relative aux transferts avant de s'appuyer sur elles.
Les conséquences pratiques d'une abrogation
Lorsqu'une décision d'adéquation est invalidée, le fondement juridique des transferts disparaît immédiatement. Après l'arrêt Schrems II :
- Plus de 5 300 entreprises américaines qui s'appuyaient sur le Privacy Shield comme unique mécanisme de transfert ont dû mettre en place des garanties alternatives dans un délai très court.
- Des organisations de l'UE ont dû renégocier leurs contrats avec des centaines de prestataires de services.
- Les autorités de protection des données ont engagé des actions répressives contre les transferts vers les États-Unis dépourvus de fondement juridique valable.
Aucune période de transition n'est garantie en cas d'abrogation de l'adéquation. Les organisations devraient considérer l'adéquation comme un simple niveau de leur stratégie de transfert, et non comme le seul, et maintenir à jour des dispositifs de CCT partout où des décisions d'adéquation concernent des flux de données critiques.
L'adéquation partielle et sectorielle
Le RGPD autorise explicitement l'adéquation pour « un ou plusieurs secteurs déterminés » au sein d'un pays. Deux décisions actuellement en vigueur illustrent le fonctionnement concret de l'adéquation partielle.
Canada : activités commerciales uniquement
L'adéquation du Canada ne s'applique qu'aux organisations soumises à la LPRPDE dans le cadre de leurs activités commerciales. Le traitement effectué par les organismes publics, les données traitées en vertu d'une législation provinciale non reconnue comme substantiellement similaire à la LPRPDE, et le traitement à des fins non commerciales sont exclus du champ d'application de la décision.
Les efforts de réforme de la protection des données au Canada se poursuivent depuis plusieurs années. Le projet de loi C-27 (loi sur la protection de la vie privée des consommateurs), s'il est adopté, remplacerait la LPRPDE par un cadre juridique modernisé.
États-Unis : organisations certifiées DPF uniquement
La décision d'adéquation concernant les États-Unis est celle dont le champ d'application est le plus restreint. Elle ne couvre que les organisations s'étant activement autocertifiées au titre du DPF auprès de l'ITA. Il n'existe aucune constatation d'adéquation générale pour les États-Unis en tant que pays. Les transferts vers des organisations américaines non certifiées doivent s'appuyer sur des CCT, des règles d'entreprise contraignantes, ou un autre mécanisme prévu à l'article 46 du RGPD.
Les évaluations d'adéquation en cours
Avec l'ajout du Brésil en 2026, la liste des candidats susceptibles d'obtenir l'adéquation à court terme s'est réduite, mais plusieurs pays demeurent à différents stades de discussion ou d'évaluation.
Taïwan : la loi taïwanaise sur la protection des données à caractère personnel et ses modifications envisagées ont suscité l'intérêt de l'UE, notamment dans le cadre du renforcement des liens économiques et technologiques entre l'UE et Taïwan. Une constatation d'adéquation en faveur de Taïwan serait politiquement sensible compte tenu des dynamiques régionales dans le détroit de Taïwan, mais son assise législative solide en fait un candidat crédible.
Kenya : le Kenya a adopté une loi complète sur la protection des données en 2019, institué un Data Commissioner, et œuvré à l'alignement de son cadre juridique sur les normes internationales. Une adéquation pour un pays d'Afrique subsaharienne demeure une perspective à plus long terme.
Inde : l'Inde a adopté le Digital Personal Data Protection Act 2023 (DPDPA), instituant un nouveau cadre de contrôle (Data Protection Board). Les discussions entre l'Inde et l'UE sur l'adéquation en sont à un stade naissant, les exemptions relatives à l'accès des autorités publiques et à la sécurité nationale constituant des obstacles importants.
Les pays ayant ratifié la Convention 108+, mis en place des autorités de contrôle véritablement indépendantes disposant de budgets d'exécution suffisants et d'un bilan éprouvé, et adopté une législation complète reposant sur des principes comparables à ceux du RGPD sont les mieux positionnés. L'étendue des exemptions relatives à la sécurité nationale a toujours été, historiquement, le facteur le plus difficile à satisfaire pour les pays dotés de services de renseignement importants.
Ce que l'adéquation signifie pour les entreprises
Les avantages
Pour les organisations qui transfèrent des données à caractère personnel vers des pays adéquats, l'avantage pratique réside dans une simplification considérable. Ni CCT, ni analyse d'impact relative aux transferts, ni règles d'entreprise contraignantes ne sont nécessaires. L'exportateur doit simplement s'assurer que la destination figure sur la liste des pays adéquats au moment du transfert.
Cela réduit les coûts juridiques, accélère l'intégration des prestataires, supprime la nécessité de renégocier les accords de traitement des données lors de l'ajout de prestataires situés dans des juridictions adéquates, et allège la charge de conformité liée à la gestion de bibliothèques de CCT.
Les limites
L'adéquation ne dispense pas du respect des autres exigences du RGPD. L'organisation exportatrice doit toujours disposer d'une base juridique pour le traitement, respecter les principes de minimisation des données et de limitation des finalités, et garantir les droits des personnes concernées. L'adéquation supprime uniquement l'obligation de recourir à une garantie de transfert supplémentaire au titre de l'article 46.
L'organisation destinataire, dans le pays adéquat, doit également respecter la législation nationale de ce pays en matière de protection des données. Les décisions d'adéquation ne transforment pas les obligations du RGPD de l'UE en droit applicable dans le pays de destination.
La gestion du risque de dépendance
Dans la mesure où deux cadres d'adéquation américains ont été invalidés et où la décision concernant le Royaume-Uni a dû être renouvelée sous conditions de suivi, les décisions d'adéquation doivent être considérées comme utiles, mais non inconditionnelles. Les organisations devraient :
- maintenir en parallèle des dispositifs de CCT pour tout flux de données vers des pays dont la stabilité de l'adéquation est incertaine, en particulier les États-Unis au titre du DPF ;
- suivre les réexamens périodiques de la Commission et les avis du CEPD afin de détecter tout signe de mise sous pression de l'adéquation ;
- surveiller les évolutions législatives dans les pays adéquats susceptibles de faire passer leur cadre juridique en dessous du seuil d'équivalence substantielle.
Ces informations constituent des renseignements juridiques d'ordre général et ne sauraient être assimilées à un avis juridique. Les organisations s'appuyant sur des décisions d'adéquation pour leurs transferts internationaux de données devraient consulter un avocat pour obtenir des conseils adaptés à leur situation.
Frequently Asked Questions
Qu'est-ce qu'une décision d'adéquation de l'UE ?
Une décision d'adéquation de l'UE est une constatation formelle de la Commission européenne, adoptée au titre de l'article 45 du RGPD, selon laquelle un pays non membre de l'UE offre une protection des données essentiellement équivalente aux normes européennes. Lorsqu'un pays bénéficie du statut d'adéquation, les données à caractère personnel peuvent circuler librement de l'UE vers ce pays, sans que les organisations aient besoin de garanties supplémentaires telles que les clauses contractuelles types ou les règles d'entreprise contraignantes. La norme applicable est l'équivalence substantielle, et non une protection identique.
Quels pays bénéficient d'une décision d'adéquation de l'UE en 2026 ?
En 2026, 17 pays, territoires et organisations bénéficient de l'adéquation : Andorre, l'Argentine, le Brésil (janvier 2026), le Canada (secteur commercial uniquement), les îles Féroé, Guernesey, l'île de Man, Israël, le Japon, Jersey, la Nouvelle-Zélande, la République de Corée, la Suisse, le Royaume-Uni (renouvelée en décembre 2025 jusqu'en décembre 2031), les États-Unis (uniquement pour les organisations certifiées DPF), l'Uruguay, et l'Organisation européenne des brevets (juillet 2025). Plusieurs de ces décisions ont été adoptées sous l'empire de la directive de 1995 et demeurent en vigueur en vertu de l'article 45, paragraphe 9, du RGPD.
La décision d'adéquation concernant le Royaume-Uni a-t-elle été renouvelée ?
Oui. La décision d'adéquation initiale concernant le Royaume-Uni comportait une clause de caducité de quatre ans expirant le 27 juin 2025. Le 24 juin 2025, la Commission a adopté une prolongation technique afin de préserver les flux de données pendant la finalisation de l'évaluation en vue du renouvellement. Le 19 décembre 2025, la Commission a formellement renouvelé les décisions d'adéquation britanniques, tant au titre du RGPD que de la directive relative aux autorités répressives (LED), pour six années supplémentaires, jusqu'au 27 décembre 2031, à la suite de son évaluation du Data (Use and Access) Act 2025 britannique.
En quoi consistait le réexamen de janvier 2024 des décisions d'adéquation ?
Le 15 janvier 2024, la Commission a publié son rapport sur le premier réexamen périodique des onze décisions d'adéquation adoptées au titre de la directive de 1995 sur la protection des données (concernant Andorre, l'Argentine, le Canada, les îles Féroé, Guernesey, l'île de Man, Israël, Jersey, la Nouvelle-Zélande, la Suisse et l'Uruguay). La Commission a conclu que les onze décisions continuaient d'assurer une protection adéquate. Le rapport comportait des recommandations propres à certains pays, appelant notamment l'Argentine à achever sa réforme législative et le Canada à faire progresser la réforme de la LPRPDE.
En quoi consiste la décision d'adéquation de l'UE concernant le Brésil ?
Le 26 janvier 2026, la Commission européenne a adopté la décision d'exécution (UE) 2026/179, reconnaissant que le cadre juridique brésilien issu de la LGPD assure une protection des données adéquate. Le Brésil a simultanément adopté la résolution ANPD n° 32, reconnaissant mutuellement l'adéquation de l'UE au regard de la LGPD. Cette décision se distingue par son large champ d'application (couvrant à la fois le secteur public et le secteur privé) et par son caractère mutuel. Les transferts sont soumis à des exclusions relatives à la défense nationale et à la sécurité de l'État, conformément à la LGPD.
Qu'est-ce que le cadre de protection des données UE-États-Unis et est-il toujours valide ?
Le cadre de protection des données UE-États-Unis (DPF), adopté en juillet 2023, est une décision d'adéquation ne couvrant que les organisations américaines qui s'autocertifient auprès de l'International Trade Administration. Il a résisté à sa première contestation judiciaire lorsque le Tribunal de l'Union européenne a rejeté le recours dans l'affaire T-553/23 en septembre 2025. Toutefois, la révocation par l'administration Trump des membres du PCLOB et les interrogations concernant l'indépendance de la FTC ont créé une incertitude quant à la stabilité à long terme du DPF. Plusieurs autorités européennes de protection des données ont recommandé de conserver des dispositifs de repli fondés sur les CCT.
Que se passe-t-il en cas d'abrogation d'une décision d'adéquation ?
Lorsqu'une décision d'adéquation est invalidée ou abrogée, le fondement juridique des transferts de données disparaît immédiatement. Aucune période de transition n'est garantie. Les organisations doivent alors mettre en œuvre des mécanismes de transfert alternatifs, principalement les clauses contractuelles types, ou suspendre les transferts. L'invalidation du Privacy Shield par l'arrêt Schrems II en 2020 a touché plus de 5 300 entreprises américaines certifiées qui s'appuyaient sur ce dispositif comme unique mécanisme de transfert.
Quelle est la différence entre l'adéquation et les clauses contractuelles types ?
Les décisions d'adéquation autorisent les transferts de données sans formalité supplémentaire, la Commission ayant déjà évalué le cadre juridique du pays de destination. Les clauses contractuelles types (CCT) sont des garanties contractuelles que les organisations doivent elles-mêmes mettre en place, accompagnées d'une analyse d'impact relative aux transferts, lorsqu'elles transfèrent des données vers des pays ne bénéficiant pas de l'adéquation. L'adéquation est plus simple en pratique, mais moins stable ; les CCT offrent davantage de maîtrise, mais exigent une infrastructure de conformité plus lourde. Pour en savoir plus, consultez notre guide sur les clauses contractuelles types.
Quels pays pourraient prochainement obtenir une décision d'adéquation de l'UE ?
Taïwan, l'Inde et le Kenya sont évoqués comme candidats potentiels pour l'avenir. Le Digital Personal Data Protection Act indien de 2023 a établi une nouvelle base juridique de candidature, mais les dispositions relatives à l'accès des autorités publiques demeurent un obstacle. La solide adéquation législative de Taïwan et ses liens économiques avec l'UE en font un candidat crédible à plus long terme. Les pays ayant ratifié la Convention 108+, mis en place des autorités de contrôle indépendantes, et adopté une législation complète alignée sur le RGPD sont les mieux positionnés.
Sources and References
- Article 45 du RGPD (texte intégral du règlement)(eur-lex.europa.eu).gov
- Commission européenne (aperçu des décisions d'adéquation)(commission.europa.eu).gov
- Communiqué de presse de la Commission européenne (réexamen des 11 décisions d'adéquation existantes, janvier 2024)(ec.europa.eu).gov
- SWD(2024) 3 final (rapport sur le premier réexamen des onze décisions d'adéquation)(commission.europa.eu).gov
- Communiqué de presse de la Commission européenne (renouvellement des décisions d'adéquation du Royaume-Uni, décembre 2025)(ec.europa.eu).gov
- Avis 26/2025 du CEPD sur les décisions d'adéquation du Royaume-Uni(edpb.europa.eu).gov
- Décision d'exécution (UE) 2026/179 (adéquation du Brésil)(eur-lex.europa.eu).gov
- Communiqué de presse de la Commission européenne (décision d'adéquation mutuelle UE-Brésil, janvier 2026)(ec.europa.eu).gov
- Décision d'exécution (UE) 2025/1382 (adéquation de l'OEB)(eur-lex.europa.eu).gov
- COM(2024) 451 final (premier réexamen périodique du DPF UE-États-Unis)(commission.europa.eu).gov
- Référentiels d'adéquation du CEPD(edpb.europa.eu).gov
- Convention 108 du Conseil de l'Europe et son protocole(coe.int).gov
- Recherche des participants au cadre de protection des données UE-États-Unis(dataprivacyframework.gov).gov
- Décision d'adéquation concernant le Japon 2019/419(eur-lex.europa.eu).gov
- Décision d'adéquation concernant la Corée 2022/254(eur-lex.europa.eu).gov
- Décision d'adéquation concernant le Royaume-Uni 2021/1772(eur-lex.europa.eu).gov
- Décision d'adéquation DPF concernant les États-Unis 2023/1795(eur-lex.europa.eu).gov
- Premier réexamen par la Commission de la décision d'adéquation concernant le Japon, avril 2023(commission.europa.eu).gov