Transferts UE‑USA après Schrems II et DPF: attentes CNPD 2026

Enjeu: sécuriser vos flux transatlantiques sans sur‑conformité. Depuis la décision d’adéquation du 10 juillet 2023, le Data Privacy Framework (DPF) change la donne, mais pas partout ni pour toujours.

La règle générale

• Base juridique des transferts: articles 44 à 49 du RGPD. Trois voies principales: 1) décision d’adéquation (art. 45), 2) garanties appropriées (art. 46, p.ex. clauses contractuelles types — SCC), 3) dérogations (art. 49) à utiliser de façon exceptionnelle. Voir texte consolidé sur EUR‑Lex. EUR‑Lex, RGPD.
• Le 10 juillet 2023, la Commission a adopté une décision d’adéquation pour les États‑Unis limitée aux organisations figurant sur la « Data Privacy Framework List ». Pour ces destinataires certifiés, le transfert peut reposer sur l’art. 45, sans SCC ni mesures supplémentaires. Décision (UE) 2023/1795.
• Contexte: l’arrêt « Schrems II » (CJUE, 16 juillet 2020, C‑311/18) a invalidé Privacy Shield et renforcé l’exigence d’un niveau « essentiellement équivalent », tout en confirmant la validité des SCC sous condition d’évaluation des lois du pays tiers. Arrêt C‑311/18.

Ce que dit le régulateur

• Position CNPD (Luxembourg). La CNPD confirme que, depuis la décision d’adéquation, les transferts vers des entités US inscrites sur la DPF List peuvent s’appuyer sur l’art. 45 et être « librement » réalisés, sans recourir à l’art. 46 ni à des mesures supplémentaires, en vérifiant la présence sur la liste officielle. Elle renvoie vers le site DPF géré par l’US Department of Commerce et rappelle les obligations d’information RGPD. CNPD – DPF USA.
• CNPD – lignes directrices transferts internationaux (mise à jour 2025). La CNPD détaille la hiérarchie des mécanismes: priorité à l’art. 45 (adéquation), puis art. 46 (SCC, BCR…), et précise le cas spécifique du DPF. CNPD – Lignes directrices transferts.
• EDPB (Comité européen). Après l’adoption du DPF, l’EDPB a publié une note d’information opérationnelle (redressement, champ, contrôles) et souligne que, hors DPF, les recommandations 01/2020 sur les « mesures supplémentaires » restent d’actualité pour l’art. 46. EDPB – Info note DPF, EDPB – Recommandations 01/2020.

Comment l’appliquer en pratique

Exemple: un groupe luxembourgeois (siège à Luxembourg, filiales UE) utilise un fournisseur américain pour l’email et l’analytics, et héberge certains logs chez un sous-traitant US.

Étape 1 — Cartographier les flux

• Dresser le registre (art. 30 RGPD) en listant tous les destinataires US (fournisseurs/sous‑traitants, support à distance, sauvegardes, escalades N2/N3, accès d’administration). Indiquer pour chaque flux: base de transfert envisagée (art. 45 ou 46), finalité, catégories de données, fréquence, pays de stockage/accès. RGPD art. 30.

Étape 2 — Vérifier l’éligibilité DPF

• Pour chaque destinataire, rechercher son statut sur la « Data Privacy Framework List » (US DoC). Si « Active » et la portée couvre vos traitements (p.ex. HR, client), vous pouvez basculer sur l’art. 45. Conservez une capture/preuve (date, périmètre, entité légale exacte). DPF – site officiel.
• Attention aux sous‑traitants en chaîne (onward transfers): exigez contractuellement que tout sous‑traitant ultérieur soit certifié DPF ou qu’il applique un autre mécanisme conforme. Décision (UE) 2023/1795.

Étape 3 — Mettre à jour l’information et la documentation

• Notices de confidentialité: explicitez la base de transfert (art. 45) et renvoyez vers la DPF List (lien) et les mécanismes de recours. Mettez à jour les enregistrements AIPD concernés si les risques évoluent. CNPD – DPF USA.

Étape 4 — Quand le DPF ne s’applique pas

• Si l’organisation US n’est pas certifiée DPF (ou que l’usage n’entre pas dans la portée déclarée), revenez à l’art. 46 (SCC 2021) avec évaluation du pays tiers (TIA) et « mesures supplémentaires » le cas échéant (chiffrement robuste avec gestion de clés sous contrôle exclusif de l’exportateur, pseudonymisation, segmentation des ensembles de données, etc.). EDPB – Recommandations 01/2020.
• Documentez l’analyse « Schrems II »: finalités, catégories, accès potentiels par autorités US, garanties contractuelles, faisabilité de mesures techniques. Arrêt C‑311/18.

Étape 5 — Gouvernance et surveillance continue

• Mettez en place une revue trimestrielle des statuts DPF de vos fournisseurs (radiations/renouvellements), et un déclencheur d’alerte en cas de perte de certification pour basculer vers SCC + mesures supplémentaires. CNPD – DPF USA, EDPB – Info note DPF.

Pièges fréquents

1. Supposer que « DPF = États‑Unis en général ». Faux: seule l’entité figurant sur la DPF List, pour les champs déclarés (commercial/HR), bénéficie de l’art. 45. Les autres destinataires exigent un fondement art. 46 et, le cas échéant, des mesures supplémentaires. Décision (UE) 2023/1795.
2. Oublier les accès à distance. Un support technique US se connectant aux systèmes UE constitue un transfert. Cartographiez ces accès et, si le prestataire est certifié DPF, liez l’accès à sa certification; sinon, SCC + évaluation. EDPB – Recommandations 01/2020.
3. Ne pas mettre à jour l’information aux personnes. Vos mentions doivent indiquer le mécanisme (art. 45 DPF ou art. 46 SCC), le droit de recours et les liens utiles (DPF List, mécanisme de réparation). CNPD – DPF USA.
4. Basculer sur l’art. 49 par facilité. Les dérogations (p.ex. consentement explicite, nécessité d’un contrat) sont strictement encadrées et non destinées à des transferts récurrents. Privilégiez art. 45/46. RGPD art. 49 sur EUR‑Lex.
5. Ignorer l’« onward transfer ». Le destinataire DPF doit encadrer ses sous‑traitants et les transferts ultérieurs; vérifiez et contractualisez le chaînage, notamment pour les analytics et services cloud multi‑tiers. Décision (UE) 2023/1795.

Sources officielles

• Commission européenne – Décision d’adéquation États‑Unis (EU‑US DPF), 10 juillet 2023 (art. 45 RGPD): https://eur-lex.europa.eu/eli/dec_impl/2023/1795
• CNPD Luxembourg – Transferts de données vers les États‑Unis (DPF): https://cnpd.public.lu/en/dossiers-thematiques/transferts-internationaux-donnees-personnelles/transferts-usa.html
• CNPD Luxembourg – Lignes directrices « transferts internationaux » (actualisation 2025): https://cnpd.public.lu/en/actualites/national/2025/04/ld-transferts-internationaux.html
• EDPB – Information note on data transfers to the US after the adequacy decision: https://www.edpb.europa.eu/our-work-tools/our-documents/other-guidance/information-note-data-transfers-under-gdpr-united-0_en
• EDPB – Recommendations 01/2020 on supplementary measures (version finale 18 juin 2021): https://www.edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en
• CJUE – Arrêt « Schrems II » (C‑311/18, 16 juillet 2020): https://eur-lex.europa.eu/legal-content/EN/CASE/?uri=CELEX%3A62018CJ0311
• FTC/US DoC – Informations entreprises sur le Data Privacy Framework (lien vers la DPF List): https://www.ftc.gov/business-guidance/privacy-security/data-privacy-framework

Points d’attention 2026: à la date du 4 mai 2026, la décision d’adéquation reste en vigueur; tenez toutefois une veille juridique (EDPB/CNPD) et prévoyez un plan de repli (SCC + mesures supplémentaires) si le contexte évolue. L’effort principal: gouvernance des fournisseurs (statut DPF), information claire des personnes, et documentation probante dans vos registres et AIPD.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.