← Tous les articles

consultant

EU–US DPF: CNPD/EDPB prudents, ICO « data bridge » plus souple

Le DPF crée un couloir sécurisé pour les destinataires US certifiés côté UE, tandis que le UK « data bridge » simplifie les flux depuis le Royaume‑Uni. Hors DPF, SCC/BCR + TIA restent requis selon l’approche CNPD/EDPB.

Excerpt — 10 juillet 2023: l’UE adopte l’adéquation « EU‑US Data Privacy Framework ». La CNPD (avril 2025) en détaille l’usage avec vigilance et TIAs pour les alternatives; l’ICO, côté UK, ouvre dès le 12 octobre 2023 un « data bridge » plus simple vers les États‑Unis.

L’affaire

  • Le 10 juillet 2023, la Commission européenne adopte la décision d’exécution (UE) 2023/1795 constatant l’adéquation des États‑Unis pour les transferts vers les organisations certifiées au « Data Privacy Framework » (DPF), sur le fondement de l’article 45 RGPD. Le texte s’appuie notamment sur l’Executive Order 14086 et un mécanisme de recours indépendant. Voir la décision au Journal officiel sur EUR‑Lex: (UE) 2023/1795 du 10 juillet 2023 et la page de synthèse de la Commission: EU‑US data transfers. Pour un rappel des bases, consulter notre page RGPD (article 45/46).
  • Le 18 avril 2025, la CNPD met à jour ses lignes directrices « Transferts internationaux de données » et consacre une section au cas spécifique du DPF, en rappelant la portée de l’article 45 et les alternatives (SCC, BCR) sous articles 46/49, avec exigences d’évaluation (TIA) en l’absence d’adéquation. Voir l’annonce: CNPD, actualité du 18/04/2025 et le document PDF (daté du 3/04/2025): lignes directrices – transferts internationaux.
  • En parallèle, au Royaume‑Uni (hors RGPD UE), le « UK‑US data bridge » — l’extension britannique du DPF — entre en vigueur le 12 octobre 2023 sur le fondement de l’article 45 UK GDPR. Le gouvernement publie un « explainer » et une « factsheet » confirmant qu’aucune garantie complémentaire (art. 46/49 UK GDPR) n’est requise pour les destinataires américains certifiés. Voir: Explainer (21/09/2023) et Factsheet (12/10/2023). L’ICO publie des pages dédiées, dont « How does the UK Extension to the EU‑US DPF work? »: ICO – UK Extension.

Point clé pour les acteurs luxembourgeois: CNPD/EDPB adoptent une lecture prudente du DPF (champ limité, contrôle continu), tandis que le Royaume‑Uni facilite les flux via son « data bridge » et outille les organisations avec une analyse gouvernementale réutilisable. Pour un accompagnement opérationnel, voyez notre page mandat DPO et gouvernance.

Le raisonnement juridique

  • Base juridique UE: article 45 RGPD (décision d’adéquation). La décision (UE) 2023/1795 conclut que les États‑Unis assurent un niveau de protection adéquat pour les transferts vers les entités inscrites sur la « DPF List » tenue par le Department of Commerce; elle prévoit aussi un mécanisme de suspension si les garanties venaient à être affaiblies (références aux recitals 126, 176 et dispositions de réexamen). Source: EUR‑Lex 2023/1795.
  • Lecture EDPB: dans son « Opinion 5/2023 » sur le projet de décision d’adéquation, l’EDPB a « salué » les améliorations mais souligné des préoccupations persistantes (par ex. nécessité d’une surveillance continue des accès des agences de renseignement, importance des voies de recours). Cette position a inspiré les autorités nationales, dont la CNPD, à prôner une vigilance opérationnelle. Source: EDPB, Opinion 5/2023.
  • Position CNPD (18/04/2025): lignes directrices rappelant la logique « à deux vitesses » des transferts: 1) avec décision d’adéquation (art. 45), dont le DPF — applicable uniquement si le destinataire US est certifié; 2) à défaut, garanties appropriées (art. 46) — en pratique, SCC ou BCR — nécessitant une « transfer impact assessment » et des mesures complémentaires, dans l’esprit de Schrems II (CJUE, 16/07/2020, C‑311/18). Sources: Actualité CNPD et Lignes directrices CNPD 04/2025.
  • Base juridique UK: article 45 du UK GDPR (régime d’adéquation autonome). Le « UK‑US data bridge » (SI « The Data Protection (Adequacy) (United States of America) Regulations 2023 ») permet, dès le 12/10/2023, des transferts vers des destinataires US certifiés à l’« UK Extension to the EU‑US DPF » sans garanties additionnelles. Le DSIT publie des documents d’appui; l’ICO met en ligne des pages explicatives et un parcours simplifié pour la conformité. Sources: DSIT – Explainer, Factsheet, et ICO – UK Extension.

Ce que ça change concrètement

  • Entreprises luxembourgeoises (RGPD) transférant vers les États‑Unis:
    • Si votre destinataire US est certifié au DPF (vérifiable sur la « DPF List »), vous pouvez fonder le transfert sur l’article 45 RGPD (décision 2023/1795). Surveillez la portée du service/sous‑traitement par ce destinataire et la durée/renouvellement de la certification. Pour un cadrage local, voir RGPD Luxembourg et pratiques CNPD.
    • Si le destinataire n’est pas certifié DPF (ou si la chaîne de sous‑traitance comprend un sous‑prestataire non certifié), vous retombez sur l’article 46 (SCC, BCR) avec TIA et, si nécessaire, mesures techniques/organisationnelles additionnelles (chiffrement robuste côté client, minimisation, logging, etc.), conformément à l’approche CNPD/EDPB.
  • Groupes UE–UK: si une entité UK transfère des données vers les États‑Unis, elle peut exploiter le « UK‑US data bridge » dès lors que le destinataire est certifié à l’UK Extension, sans garanties supplémentaires, selon l’« explainer » DSIT et les pages ICO. Attention: ce choix UK n’exonère pas les entités UE du régime RGPD pour leurs propres flux.

Conséquence pratique pour les directions/DPO/CISO: cartographier précisément les destinataires US et leur statut (DPF certifié / non certifié), segmenter les flux UE vs UK, et ajuster les fondements (art. 45 vs 46), les TIAs et les mesures de sécurité. Besoin d’un appui opérationnel et d’un DPO certifié? Découvrez notre offre de gouvernance et mandat DPO.

Pièges fréquents

  1. Croire que « DPF = blanc‑seing » pour tout transfert US. Faux: l’adéquation ne couvre que les organisations listées et pour les finalités/services couverts par leur certification. Au‑delà, retour aux SCC/BCR + TIA. Réf.: (UE) 2023/1795 et CNPD 18/04/2025.
  2. Oublier les sous‑traitants en cascade. Un processeur US certifié peut confier une partie du traitement à un sous‑processeur non certifié: ce maillon exige un fondement distinct (SCC/BCR) et, côté UE, une TIA et des mesures additionnelles. Réf.: CNPD – lignes directrices (04/2025).
  3. Mélanger régimes UE et UK. Le « data bridge » britannique simplifie pour les entités UK mais ne « couvre » pas les flux UE. Les responsables UE doivent rester alignés sur le RGPD et l’approche EDPB/CNPD. Réf.: Factsheet DSIT, ICO – UK Extension.
  4. Ne pas documenter la proportionnalité des mesures techniques. En dehors du DPF, l’EDPB et la CNPD attendent une analyse justifiant les mesures (ex. chiffrement end‑to‑end avec gestion des clés sous contrôle de l’UE, minimisation des attributs transférés). Réf.: EDPB Opinion 5/2023; CNPD – lignes directrices (04/2025).
  5. Ignorer le caractère dynamique du DPF. La décision 2023/1795 prévoit des mécanismes de réexamen/suspension. Les organisations doivent surveiller la validité de la certification du destinataire et les éventuelles évolutions juridiques US/UE. Réf.: EUR‑Lex 2023/1795.

Sources officielles

En pratique (2026): piloter des flux transatlantiques « multi‑régimes »: profiter du DPF quand il s’applique, rester rigoureux (SCC/BCR + TIA) quand il ne s’applique pas, et ne pas extrapoler au périmètre UK. Pour échanger avec un expert, contactez notre équipe.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →