Cadre de protection des données UE-États-Unis (Data Privacy Framework) : guide complet (2026)
Le Data Privacy Framework (DPF) UE-États-Unis relatif à la protection des données est une décision d'adéquation adoptée par la Commission européenne le 10 juillet 2023 en vertu de l'article 45 du RGPD, autorisant les transferts licites de données personnelles de l'UE vers des organisations américaines qui s'autocertifient conformes par l'intermédiaire du Department of Commerce.
Le Data Privacy Framework (DPF) UE-États-Unis constitue la troisième tentative de l'Union européenne et des États-Unis pour instaurer un mécanisme juridique stable de transfert des données personnelles à travers l'Atlantique. Ses deux prédécesseurs, le Safe Harbor et le Privacy Shield, ont tous deux été invalidés par la Cour de justice de l'Union européenne (CJUE). Comprendre pourquoi ces cadres ont échoué, comment le DPF a été conçu pour remédier à ces échecs, et quels défis le menacent aujourd'hui, est essentiel pour toute organisation qui transfère des données personnelles entre l'UE et les États-Unis.
Ce guide présente l'historique complet, le fonctionnement du DPF, le nouveau mécanisme de recours, le premier réexamen de 2024, le contentieux Latombe et son pourvoi pendant devant la CJUE, la crise du PCLOB, ainsi que les mesures pratiques que les entreprises devraient prendre dès maintenant.
Réponse rapide
Le Data Privacy Framework UE-États-Unis est un dispositif juridique valide. La décision d'adéquation adoptée par la Commission européenne en juillet 2023 reste en vigueur. Le Tribunal de l'Union européenne l'a confirmée en septembre 2025, et le DPF demeure la base juridique la plus simple pour les transferts de données personnelles de l'UE vers les États-Unis. Toutefois, un pourvoi devant la CJUE (affaire C-703/25 P) est pendant, l'organe de supervision chargé d'examiner les garanties du DPF en matière de renseignement (le PCLOB) se trouve dans une situation juridique incertaine, et la section 702 de la FISA fonctionne sous le régime d'une prolongation à court terme pendant que le Congrès débat de son renouvellement. Les organisations qui s'appuient uniquement sur le DPF devraient conserver des clauses contractuelles types en solution de secours.
Du Safe Harbor au Privacy Shield, puis au DPF
Le chemin vers le cadre actuel s'étend sur plus de deux décennies et deux arrêts marquants de la CJUE.
Le Safe Harbor (2000 à 2015)
Le cadre Safe Harbor a été adopté en 2000 pour concilier les approches fondamentalement différentes de l'UE et des États-Unis en matière de protection des données. Les entreprises américaines pouvaient s'autocertifier conformes à un ensemble de principes de confidentialité alignés sur les normes européennes. Environ 4 500 entreprises y ont participé.
En octobre 2015, la CJUE a invalidé le Safe Harbor dans l'arrêt Schrems I (affaire C-362/14). Le défenseur autrichien de la vie privée Max Schrems avait contesté les transferts de données de Facebook Ireland, faisant valoir que les révélations d'Edward Snowden sur les programmes de surveillance de masse de la NSA démontraient que les États-Unis n'offraient pas une protection adéquate. La Cour lui a donné raison : le Safe Harbor ne limitait pas suffisamment l'accès du gouvernement américain aux données personnelles de l'UE et n'offrait aucun recours juridictionnel effectif aux personnes concernées de l'UE.
Le Privacy Shield (2016 à 2020)
Le Privacy Shield UE-États-Unis a remplacé le Safe Harbor en août 2016. Il comportait des principes de confidentialité renforcés, une supervision accrue de la FTC et un médiateur (Ombudsperson) au sein du Département d'État chargé de traiter les plaintes de l'UE relatives aux activités de renseignement. Plus de 5 300 entreprises américaines s'y sont certifiées.
En juillet 2020, la CJUE a invalidé le Privacy Shield dans l'arrêt Schrems II (affaire C-311/18). Les programmes de surveillance américains, en particulier la section 702 du Foreign Intelligence Surveillance Act (FISA) et l'Executive Order 12333, permettaient une collecte massive de données allant au-delà de ce qui était « strictement nécessaire » au regard du droit de l'UE. Le médiateur ne présentait pas une indépendance suffisante et ne disposait d'aucun pouvoir contraignant sur les agences de renseignement.
Les négociations ayant mené au DPF (2020 à 2023)
Après l'arrêt Schrems II, les organisations se sont principalement appuyées sur les clauses contractuelles types associées à des analyses d'impact relatives aux transferts (Transfer Impact Assessments). Les négociations entre l'UE et les États-Unis ont débuté presque immédiatement.
En mars 2022, le président Biden et la présidente de la Commission von der Leyen ont annoncé un accord de principe. Le 7 octobre 2022, le président Biden a signé l'Executive Order 14086 (« Enhancing Safeguards for United States Signals Intelligence Activities »), instaurant les changements juridiques de fond que le nouveau cadre exigeait.
La Commission a publié son projet de décision d'adéquation en décembre 2022. Le CEPD a rendu son avis en février 2023, reconnaissant des améliorations tout en soulevant certaines préoccupations. La décision d'adéquation définitive a été adoptée le 10 juillet 2023.
Fonctionnement du DPF
Le DPF comporte deux volets complémentaires : l'autocertification des entreprises américaines et des engagements contraignants du gouvernement américain relatifs aux activités de renseignement.
Le processus de certification
Les entreprises américaines adhèrent au DPF en s'autocertifiant auprès de l'International Trade Administration (ITA), rattachée au Department of Commerce. La certification est volontaire, mais elle crée des obligations juridiquement contraignantes une fois effectuée.
Pour se certifier, une organisation doit :
- Confirmer qu'elle relève de la compétence répressive de la FTC ou du Department of Transportation (DOT)
- Élaborer une politique de confidentialité conforme aux principes du DPF
- Désigner un mécanisme de recours indépendant pour traiter les plaintes individuelles
- Payer les frais annuels applicables, calculés en fonction du chiffre d'affaires annuel
- Soumettre sa certification par l'intermédiaire du site Internet du Data Privacy Framework
Plus de 2 800 organisations détiennent une certification active en 2026. L'ITA tient à jour une liste publique des organisations certifiées que les exportateurs de données de l'UE devraient consulter avant tout transfert.
Les principes du DPF
Les organisations certifiées doivent respecter des principes de confidentialité qui reprennent les concepts fondamentaux du RGPD :
- Information (Notice) : informer les personnes des finalités, pratiques et droits liés à la collecte de données
- Choix (Choice) : permettre aux personnes de refuser les utilisations sensiblement différentes ou les communications à des tiers
- Responsabilité en cas de transfert ultérieur (Accountability for Onward Transfer) : protéger les données communiquées à des tiers au moyen de contrats exigeant des protections équivalentes
- Sécurité (Security) : mettre en œuvre des mesures raisonnables et appropriées contre la perte, l'utilisation abusive et l'accès non autorisé
- Intégrité des données et limitation de la finalité (Data Integrity and Purpose Limitation) : limiter les données personnelles à ce qui est pertinent au regard de la finalité déclarée
- Accès (Access) : permettre aux personnes d'accéder à leurs données personnelles, de les corriger ou de les supprimer
- Recours, application et responsabilité (Recourse, Enforcement, and Liability) : maintenir des mécanismes de conformité et des voies de recours solides
Application et contrôle
La FTC est le principal organe chargé de l'application. Les entreprises qui ne respectent pas leurs engagements au titre du DPF s'exposent à des mesures d'application au titre de la section 5 du FTC Act, qui interdit les pratiques commerciales déloyales ou trompeuses. Le Department of Commerce surveille la conformité, effectue des contrôles ponctuels et peut retirer de la liste des certifications les organisations non conformes.
L'Executive Order 14086 : le fondement juridique
L'Executive Order 14086 répond directement aux deux insuffisances relevées par la CJUE dans l'arrêt Schrems II : l'absence de contraintes de proportionnalité pesant sur la collecte de renseignements américaine et l'absence de mécanisme de recours indépendant.
Les restrictions applicables à la collecte de renseignements
Le décret limite la collecte de renseignements d'origine électromagnétique à 12 objectifs de sécurité nationale définis, dont la lutte contre le terrorisme, le contre-espionnage et la protection des infrastructures critiques. Pour la première fois dans un décret présidentiel américain, la « proportionnalité » apparaît comme une contrainte contraignante : les activités doivent être proportionnées à la priorité de renseignement validée et doivent mettre en balance cette priorité avec les incidences sur la vie privée de toutes les personnes, et non des seuls citoyens américains.
Les exigences en matière de vie privée et de libertés civiles
Chaque agence de renseignement doit mettre à jour ses politiques pour intégrer ces garanties. Le Privacy and Civil Liberties Oversight Board (PCLOB) se voit attribuer un rôle central : il examine la conformité des procédures des agences, est consulté sur la nomination des juges de la DPRC et réalise un examen annuel de la manière dont les organes de recours traitent les plaintes.
Une vulnérabilité structurelle : un simple décret présidentiel
Parce que l'EO 14086 est un décret présidentiel et non une loi, il peut être modifié ou révoqué par tout président sans l'approbation du Congrès. Cette vulnérabilité structurelle fait l'objet de critiques constantes de la part des défenseurs de la vie privée et du CEPD. Le traitement réservé au PCLOB par l'administration Trump en 2025 a démontré la facilité avec laquelle les composantes du cadre relevant du pouvoir exécutif peuvent être déstabilisées.
La Data Protection Review Court
L'innovation la plus significative du DPF est la Data Protection Review Court (DPRC), instituée par l'EO 14086 et mise en œuvre par voie de règlement du Attorney General.
Le fonctionnement de la DPRC
Les personnes de l'UE qui estiment que leurs données ont été collectées de manière illicite par les agences de renseignement américaines déposent une plainte auprès de leur autorité nationale de protection des données. Cette autorité transmet la plainte au Civil Liberties Protection Officer (CLPO) américain, rattaché à l'Office of the Director of National Intelligence, qui mène une enquête initiale.
Si le plaignant n'est pas satisfait de la décision, il peut saisir la DPRC. Cette juridiction est composée de juges nommés par l'Attorney General, extérieurs au gouvernement américain et titulaires des habilitations de sécurité requises. Un avocat spécial est désigné pour représenter les intérêts du plaignant, la nature classifiée de la procédure empêchant sa participation directe. La DPRC dispose d'un pouvoir contraignant sur les agences de renseignement, ce qui constitue l'amélioration structurelle essentielle par rapport au médiateur du Privacy Shield.
Les conclusions du Tribunal dans l'affaire Latombe
Lorsque l'affaire T-553/23 a été portée devant le Tribunal de l'Union européenne, l'un des arguments centraux de M. Latombe était que la DPRC ne constituait pas un tribunal suffisamment indépendant. Le Tribunal a rejeté cet argument dans son arrêt du 3 septembre 2025, estimant que la composition, les mécanismes de contrôle et les pouvoirs contraignants de la DPRC répondaient aux exigences du droit de l'UE. Le Tribunal a également jugé que le droit américain limitait suffisamment la collecte massive de données et que les protections relatives à la sécurité des données et à la prise de décision automatisée étaient substantiellement équivalentes aux normes de l'UE.
Des critiques persistantes
Les défenseurs de la vie privée, notamment NOYB (dirigé par Max Schrems), continuent de soutenir que la DPRC ne satisfait pas à la norme de protection juridictionnelle effective exigée par la CJUE, car les plaignants ne reçoivent qu'une confirmation générique que leur dossier a été examiné, sans explication substantielle du résultat. Le caractère classifié de la procédure constitue une caractéristique structurelle, et non une lacune susceptible d'être corrigée.
L'extension au Royaume-Uni et le DPF suisse-américain
Le DPF ne couvre pas automatiquement les transferts de données vers le Royaume-Uni ou la Suisse. Chacun de ces pays a nécessité une procédure d'adéquation distincte.
Le UK-US Data Bridge (extension britannique)
Le Royaume-Uni a mis en place, en octobre 2023, l'extension britannique du DPF, communément appelée UK-US Data Bridge. Les entreprises américaines disposant d'une certification DPF active peuvent choisir d'y adhérer pour couvrir les transferts de données britanniques, par le biais du même portail de l'ITA. Cette extension relève du RGPD britannique plutôt que du RGPD de l'UE, reflétant le régime indépendant de protection des données du Royaume-Uni depuis le Brexit. L'extension comporte ses propres règles complémentaires traitant des différences entre le droit britannique et le droit de l'UE en matière de protection des données.
Le Data Privacy Framework suisse-américain
La Suisse a suivi une voie distincte. Le 14 août 2024, le Conseil fédéral suisse a reconnu le caractère adéquat de la protection des données assurée par les entreprises américaines certifiées au titre du DPF. Cette décision est entrée en vigueur le 15 septembre 2024. Le communiqué de presse du Conseil fédéral suisse a confirmé que les États-Unis avaient été ajoutés à la liste suisse des pays adéquats, cette reconnaissance étant limitée aux organisations certifiées au titre du DPF. Les entreprises américaines peuvent étendre leur certification DPF pour couvrir les transferts suisses par l'intermédiaire du portail de l'ITA.
Le DPF suisse-américain présente la même vulnérabilité liée à l'EO 14086 que la version UE-États-Unis. Les défenseurs suisses de la vie privée ont souligné que la crise du PCLOB en 2025 crée une incertitude quant aux mécanismes de contrôle sur lesquels reposait l'évaluation d'adéquation suisse.
Le premier réexamen périodique (octobre 2024)
L'article 45, paragraphe 3, du RGPD impose à la Commission européenne de réexaminer périodiquement les décisions d'adéquation. Le premier réexamen du DPF a eu lieu en octobre 2024.
Les conclusions de la Commission
Le premier rapport de réexamen de la Commission européenne a conclu que le DPF continuait d'assurer un niveau de protection adéquat. Les agences américaines avaient mis en œuvre l'EO 14086, la DPRC était opérationnelle, et le Department of Commerce assurait un suivi actif des organisations certifiées.
La Commission a relevé une préoccupation importante : le PCLOB était dépourvu de quorum pendant une grande partie de la période d'examen. Elle a indiqué qu'il était important de rétablir la pleine capacité opérationnelle du PCLOB pour assurer le bon fonctionnement continu du cadre.
Les conclusions du CEPD
Le premier rapport de réexamen du CEPD a reconnu des améliorations tout en appelant à une plus grande transparence sur la manière dont la DPRC traite les plaintes, et a recommandé des clarifications supplémentaires sur l'application concrète du critère de proportionnalité par les agences de renseignement américaines.
Contentieux et risques juridiques
L'affaire Latombe : T-553/23 et le pourvoi pendant devant la CJUE C-703/25 P
Philippe Latombe, député à l'Assemblée nationale française, a introduit un recours devant le Tribunal de l'Union européenne visant à l'annulation de la décision d'adéquation de la Commission. Il s'agissait de la première contestation juridictionnelle directe du DPF.
Le 3 septembre 2025, le Tribunal a rejeté le recours. Il a jugé la DPRC suffisamment indépendante et impartiale, estimé que le droit américain limitait de manière adéquate la collecte massive de données, et considéré que les protections américaines en matière de sécurité des données et de prise de décision automatisée étaient substantiellement équivalentes au droit de l'UE.
M. Latombe a formé un pourvoi le 31 octobre 2025. L'affaire a été enregistrée devant la Cour de justice sous le numéro C-703/25 P. Ce pourvoi devant la CJUE se limite aux questions de droit. Aucune date d'audience n'avait été annoncée en mai 2026. Si la CJUE rendait un arrêt au fond défavorable au DPF, il s'agirait de la troisième invalidation consécutive d'un cadre de transfert de données transatlantique.
NOYB et la menace d'un « Schrems III »
NOYB n'a pas encore introduit son propre recours contre le DPF, mais n'a cessé de le critiquer. Ses arguments principaux : le cadre repose sur un décret présidentiel et non sur une loi ; la DPRC n'offre pas de transparence aux plaignants ; la section 702 de la FISA n'a pas fait l'objet d'une réforme de fond. NOYB surveille l'évolution du pourvoi Latombe et de la situation du PCLOB afin d'identifier des éléments déclencheurs susceptibles de justifier une action distincte.
La crise du PCLOB
La perturbation du PCLOB constitue le risque opérationnel le plus immédiat pesant sur les garanties sous-jacentes du DPF.
Le 27 janvier 2025, le président Trump a révoqué trois des cinq membres du conseil du PCLOB, tous démocrates, par un courriel d'une seule phrase, sans motif. Cette décision a fait perdre au conseil son quorum. Deux des membres révoqués, Edward Felten et Travis LeBlanc, ont engagé une action devant un tribunal fédéral. Le 21 mai 2025, un tribunal de district a jugé leur révocation illicite et a ordonné leur réintégration.
L'administration Trump a interjeté appel. Le 1er juillet 2025, la Cour d'appel du circuit fédéral de Columbia (DC Circuit) a suspendu l'ordonnance de réintégration dans l'attente de l'issue de l'appel, et l'affaire a ensuite été mise en attente de l'arrêt de la Cour suprême dans l'affaire Trump v. Slaughter (n° 25-332), qui déterminera les limites constitutionnelles du pouvoir présidentiel de révoquer les membres d'organes de contrôle indépendants. Tant que cette question ne sera pas tranchée, le PCLOB ne pourra pas fonctionner à pleine capacité.
Les conséquences pratiques pour le DPF sont les suivantes : le PCLOB ne peut pas réaliser les réexamens annuels de conformité à l'EO 14086 pourtant exigés par ce décret lui-même ; son rôle consultatif dans la nomination des juges de la DPRC est suspendu ; et le CEPD comme la Commission européenne ont signalé l'incapacité du PCLOB comme un sujet de préoccupation pour l'évaluation continue de l'adéquation du cadre.
La section 702 de la FISA
La section 702 de la FISA autorise la collecte de renseignements étrangers concernant des personnes non américaines situées hors des États-Unis. Le renouvellement de deux ans adopté en avril 2024 (le Reforming Intelligence and Securing America Act, RISAA) est arrivé à expiration en avril 2026. Le Congrès a adopté une prolongation à court terme de 45 jours, maintenant la section 702 en vigueur jusqu'à la mi-juin 2026, pendant que se poursuit le débat sur un renouvellement à plus long terme.
L'élargissement, par le RISAA, de la définition de « fournisseur de services de communications électroniques » a suscité des critiques de la part des défenseurs européens de la vie privée, qui estiment qu'il élargit le champ des entreprises soumises à des obligations de surveillance. L'issue du débat sur le renouvellement de 2026 sera suivie de près par la Commission et le CEPD dans le cadre de l'évaluation du maintien des conditions d'adéquation du DPF.
En cas d'invalidation du DPF : le recours de secours aux CCT
Le Safe Harbor et le Privacy Shield ayant tous deux été invalidés, les organisations ont intérêt à maintenir un plan de secours.
Les clauses contractuelles types (CCT) constituent le principal mécanisme de repli. Il s'agit de clauses contractuelles types approuvées par la Commission européenne en vertu de l'article 46 du RGPD. Elles engagent l'importateur de données américain à respecter des protections équivalentes à celles de l'UE et confèrent aux personnes concernées des droits contractuels directement opposables à l'importateur.
Les CCT ne rendent pas automatiquement licite un transfert de l'UE vers les États-Unis : l'exportateur doit également réaliser une analyse d'impact relative au transfert (Transfer Impact Assessment, TIA) évaluant si le droit et les pratiques américains permettent à l'importateur de respecter les CCT dans les faits. Après l'arrêt Schrems II, les organisations ont mis au point des méthodologies de TIA ; la plupart de ces analyses restent valables aujourd'hui et peuvent être mises à jour en cas d'invalidation du DPF.
Parmi les autres mécanismes de transfert prévus à l'article 46 figurent les règles d'entreprise contraignantes (REC) pour les transferts intragroupes, les codes de conduite approuvés et les dérogations restreintes de l'article 49 (consentement, exécution d'un contrat, motifs importants d'intérêt public). Ces dérogations ne conviennent pas comme base de transfert habituelle.
Les organisations qui auraient maintenu des CCT en parallèle de leur recours au DPF pourraient poursuivre leurs transferts avec un minimum de perturbation en cas d'invalidation du DPF. Celles qui s'appuient exclusivement sur le DPF devraient faire face à une transition beaucoup plus lourde, comme peuvent en témoigner tous ceux qui ont dû se précipiter pour mettre en place des avenants CCT dans les semaines ayant suivi l'arrêt Schrems II.
En quoi le DPF diffère du Privacy Shield
Limites à la collecte de renseignements : le Privacy Shield reposait sur la Presidential Policy Directive 28 (PPD-28), qui exigeait que la collecte massive soit « aussi ciblée que possible ». La CJUE a jugé cette formulation trop permissive. L'EO 14086 la remplace par une exigence contraignante de proportionnalité et une liste de 12 objectifs autorisés.
Mécanisme de recours : le médiateur du Département d'État instauré par le Privacy Shield manquait d'indépendance vis-à-vis du pouvoir exécutif et ne disposait d'aucun pouvoir contraignant. La DPRC est structurellement plus indépendante (juges extérieurs au gouvernement) et ses décisions s'imposent aux agences de renseignement.
Supervision : le rôle du PCLOB est explicitement défini par l'EO 14086, avec des obligations précises de réexamen et de reddition de comptes, même si l'année 2025 a démontré que les composantes de supervision relevant du pouvoir exécutif restent vulnérables aux perturbations politiques.
Recommandations pratiques pour les organisations
Pour les entreprises américaines qui reçoivent des données de l'UE
Vérifiez que votre organisation relève de la compétence de la FTC ou du DOT. Effectuez ou renouvelez votre autocertification sur dataprivacyframework.gov. Mettez à jour votre politique de confidentialité publique afin qu'elle reflète l'ensemble des principes du DPF. Désignez un organe indépendant de règlement des litiges. Mettez en place des procédures internes pour traiter les demandes d'accès et les plaintes. Renouvelez votre certification chaque année : une certification expirée invalide la base de transfert pour les données reçues pendant la période de vacance.
Si vous recevez également des données britanniques, adhérez à l'extension britannique par l'intermédiaire du portail de l'ITA. Si vous recevez des données suisses, adhérez à l'extension suisse-américaine du DPF.
Pour les organisations de l'UE qui transfèrent des données
Avant tout transfert, vérifiez que le destinataire dispose d'une certification DPF active sur la liste officielle des participants. Le statut de certification peut évoluer ; effectuez une vérification ponctuelle avant le lancement de tout flux de données important. Documentez la décision d'adéquation comme base juridique dans votre registre des activités de traitement au titre de l'article 30 du RGPD.
Surveillez la date de renouvellement annuel du destinataire. Une certification expirée signifie que la base d'adéquation ne s'applique plus aux nouveaux transferts.
Planification de secours
Compte tenu de l'historique des cadres invalidés et du pourvoi pendant devant la CJUE dans l'affaire C-703/25 P, les organisations prudentes devraient :
- Mettre en place des CCT en parallèle de la certification DPF pour les flux de données volumineux ou sensibles
- Tenir à jour une analyse d'impact relative au transfert susceptible d'être activée en cas d'invalidation du DPF
- Documenter un plan de transition identifiant les flux qui reposent sur le DPF et la manière dont chacun serait couvert par des CCT
- Suivre l'évolution du pourvoi C-703/25 P devant la CJUE ainsi que l'arrêt de la Cour suprême dans l'affaire Trump v. Slaughter
Ces informations constituent des informations juridiques générales et ne sauraient tenir lieu de conseil juridique. Les organisations qui traitent des transferts de données transfrontaliers devraient consulter un avocat qualifié pour obtenir des conseils adaptés à leur situation.
Frequently Asked Questions
Qu'est-ce que le Data Privacy Framework UE-États-Unis ?
Le Data Privacy Framework (DPF) UE-États-Unis est le mécanisme juridique permettant aux données personnelles de circuler de l'Union européenne vers des organisations américaines certifiées. La Commission européenne a adopté sa décision d'adéquation le 10 juillet 2023. Il a remplacé le cadre Privacy Shield, invalidé par la CJUE en 2020. Le DPF associe l'autocertification volontaire des entreprises américaines à des engagements contraignants du gouvernement américain visant à limiter l'accès des agences de renseignement aux données personnelles de l'UE et à offrir un recours indépendant par l'intermédiaire de la Data Protection Review Court.
Le DPF a-t-il fait l'objet d'un recours juridictionnel ?
Oui. Le député français Philippe Latombe a contesté la décision d'adéquation de la Commission devant le Tribunal de l'Union européenne (affaire T-553/23). Le Tribunal a rejeté son recours le 3 septembre 2025, confirmant la validité du DPF. M. Latombe a formé un pourvoi devant la Cour de justice de l'Union européenne le 31 octobre 2025 (affaire C-703/25 P). Ce pourvoi est pendant en mai 2026. Un arrêt de la CJUE défavorable au DPF constituerait la menace la plus sérieuse à laquelle le cadre ait jamais été confronté, compte tenu de l'historique d'invalidation de ses prédécesseurs par la Cour.
Qu'est-ce que la Data Protection Review Court ?
La Data Protection Review Court (DPRC) est un organe indépendant institué par l'Executive Order 14086 pour examiner les plaintes des personnes de l'UE qui estiment que leurs données ont été collectées de manière illicite par les agences de renseignement américaines. Ses juges sont nommés en dehors du gouvernement américain, et ses décisions s'imposent aux agences de renseignement. Elle a remplacé le médiateur du Département d'État institué par le Privacy Shield, jugé insuffisamment indépendant par la CJUE. Le Tribunal de l'Union européenne a confirmé l'indépendance et l'impartialité de la DPRC en septembre 2025.
Qu'est-il arrivé au PCLOB ?
Le 27 janvier 2025, le président Trump a révoqué, par un courriel d'une seule phrase, trois des cinq membres démocrates du Privacy and Civil Liberties Oversight Board, faisant perdre au conseil son quorum. Deux des membres révoqués ont engagé une action en justice et obtenu leur réintégration devant un tribunal de district. L'administration Trump a interjeté appel, et la Cour d'appel du circuit fédéral de Columbia a suspendu l'ordonnance de réintégration. L'affaire a été mise en attente de l'arrêt de la Cour suprême dans l'affaire Trump v. Slaughter (n° 25-332). Le PCLOB ne peut ni réaliser ses réexamens annuels de supervision du DPF ni exercer son rôle consultatif dans la nomination des juges de la DPRC tant que la question du quorum n'est pas résolue.
Qu'est-ce que l'Executive Order 14086 ?
L'Executive Order 14086, signé par le président Biden le 7 octobre 2022, constitue le fondement juridique du DPF. Il limite la collecte de renseignements d'origine électromagnétique américaine à 12 objectifs de sécurité nationale définis, introduit une exigence de proportionnalité applicable aux activités de surveillance (une première dans un décret présidentiel américain) et institue la Data Protection Review Court. S'agissant d'un décret présidentiel et non d'une loi, il peut être modifié ou révoqué par tout président ultérieur sans l'approbation du Congrès, ce qui constitue une critique structurelle persistante à l'égard du DPF.
Le DPF couvre-t-il les transferts de données vers le Royaume-Uni ou la Suisse ?
Pas automatiquement. Le Royaume-Uni a mis en place, en octobre 2023, un dispositif distinct, l'extension britannique du DPF, communément appelée UK-US Data Bridge. La Suisse a reconnu l'adéquation des entreprises américaines certifiées au titre du DPF le 14 août 2024, la décision d'adéquation suisse étant entrée en vigueur le 15 septembre 2024. Les entreprises américaines disposant d'une certification DPF active peuvent adhérer à ces extensions britannique et suisse par l'intermédiaire du même portail de l'ITA.
Quel est le mécanisme de secours des CCT en cas d'invalidation du DPF ?
Les clauses contractuelles types (CCT) constituent le principal mécanisme de transfert de secours prévu à l'article 46 du RGPD. Il s'agit de clauses contractuelles types approuvées par la Commission européenne qui engagent l'importateur de données américain à respecter des protections équivalentes à celles de l'UE. Les organisations qui recourent aux CCT doivent également réaliser une analyse d'impact relative au transfert. Les organisations disposant déjà de CCT pourraient poursuivre leurs flux de données de l'UE vers les États-Unis immédiatement après une invalidation du DPF ; celles qui s'appuient uniquement sur le DPF devraient faire face à une transition beaucoup plus perturbatrice.
Quel est le statut actuel de la section 702 de la FISA ?
La section 702 du Foreign Intelligence Surveillance Act autorise la collecte de renseignements étrangers concernant des personnes non américaines situées hors des États-Unis. Le renouvellement de deux ans adopté en avril 2024 est arrivé à expiration en avril 2026. Le Congrès a adopté une prolongation à court terme de 45 jours, maintenant la section 702 en vigueur jusqu'à la mi-juin 2026, pendant que se poursuit le débat sur un renouvellement à plus long terme. L'issue de ce débat importe pour le DPF, car la section 702 figurait parmi les pouvoirs de surveillance américains cités dans l'arrêt Schrems II, et les régulateurs européens surveillent étroitement sa portée.
Comment une entreprise américaine se certifie-t-elle au titre du DPF ?
Les entreprises se certifient en soumettant une demande par l'intermédiaire de l'International Trade Administration, sur dataprivacyframework.gov. L'entreprise doit relever de la compétence répressive de la FTC ou du DOT, élaborer une politique de confidentialité conforme au DPF, désigner un mécanisme indépendant de règlement des litiges et s'acquitter de frais annuels. La certification doit être renouvelée chaque année. Plus de 2 800 organisations détenaient une certification active en 2026.
Sources and References
- Commission européenne - Transferts de données UE-États-Unis(commission.europa.eu).gov
- Commission européenne - Communiqué de presse sur la décision d'adéquation(ec.europa.eu).gov
- Executive Order 14086(whitehouse.gov).gov
- Programme du Data Privacy Framework(dataprivacyframework.gov).gov
- Principes du DPF(dataprivacyframework.gov).gov
- Data Protection Review Court(justice.gov).gov
- Règlement de l'Attorney General relatif à la DPRC(justice.gov).gov
- Avis 5/2023 du CEPD sur le DPF(edpb.europa.eu).gov
- Premier réexamen du DPF par la Commission européenne(commission.europa.eu).gov
- Rapport du CEPD sur le premier réexamen du DPF(edpb.europa.eu).gov
- Communiqué de presse du Tribunal de l'UE - Affaire T-553/23 Latombe(curia.europa.eu).gov
- EUR-Lex - Pourvoi Latombe, affaire C-703/25 P(eur-lex.europa.eu).gov
- Analyse de NOYB sur le DPF(noyb.eu)
- Conseil fédéral suisse - Décision d'adéquation DPF suisse-américain(admin.ch).gov
- Aperçu du DPF suisse(dataprivacyframework.gov).gov
- UK-US Data Bridge(gov.uk).gov
- Aperçu du Safe Harbor(trade.gov).gov
- Affaires Privacy Shield de la FTC(ftc.gov).gov
- Brennan Center - Affaire LeBlanc contre PCLOB(brennancenter.org)
- Page de ressources 2026 sur la section 702 de la FISA(brennancenter.org)
- FAQ du CEPD sur le DPF à destination des entreprises v2.0(edpb.europa.eu).gov