← Tous les articles

consultant

Transferts vers les États-Unis: CNPD acte le DPF, l’EDPB reste réservé

La CNPD confirme des transferts « libres » vers des entités US certifiées DPF (art. 45 RGPD), tandis que l’EDPB maintient des réserves et appelle à une vigilance continue.

Par Expertise Luxgap 08/06/2026

Fait vérifiable — Le 10 juillet 2023, la Commission européenne adopte la décision d’adéquation « EU‑US Data Privacy Framework » (DPF). En 2025, la CNPD met à jour ses lignes directrices et confirme des transferts « libres » vers des entités US certifiées. L’EDPB, lui, avait exprimé des réserves substantielles.

L’affaire

  • Le 10 juillet 2023, la Commission européenne adopte la décision d’adéquation (UE) 2023/1795 au titre de l’article 45 RGPD pour les États‑Unis, fondée sur le Data Privacy Framework (DPF). Conséquence: les transferts vers des organisations US figurant sur la « DPF List » peuvent reposer sur l’article 45 sans outils de l’article 46 ni mesures supplémentaires, sous réserve des conditions de la décision. Voir la décision sur EUR‑Lex: EU 2023/1795. (
  • Le 28 février 2023, en amont de l’adoption finale, le Comité européen de la protection des données (EDPB) publie son Avis 5/2023. Il « salue » des améliorations mais souligne des préoccupations sur l’accès des autorités américaines aux données et certains recours, appelant à une surveillance continue. Voir la communication officielle: EDPB – News (28/02/2023).
  • Le 23 avril 2025, la CNPD actualise ses lignes directrices sur les transferts internationaux et consacre une page dédiée au DPF. Elle y indique explicitement qu’« à compter de cette date, les transferts […] vers des entités […] figurant sur la DPF List peuvent se fonder sur la décision d’adéquation (art. 45) et être effectués librement, sans recourir aux outils de l’article 46 ni appliquer de mesures supplémentaires ». Voir: CNPD – DPF États‑Unis et Actualité CNPD (04/2025).

Point d’ancrage: divergence de ton entre une autorité nationale (CNPD) qui opérationnalise clairement l’adéquation (transferts « libres » si sur la DPF List) et l’EDPB qui, dans son avis, demande une vigilance renforcée et relève des lacunes.

Le raisonnement juridique

  • Base RGPD. Les transferts internationaux sont encadrés par les articles 44 à 49 RGPD. L’article 45 permet des transferts « sans autorisation spécifique » lorsque la Commission constate, par décision d’exécution, qu’un pays tiers assure un niveau de protection adéquat. La décision 2023/1795 fonde cette adéquation sur les sauvegardes américaines nouvelles, notamment le mécanisme de recours via la « Data Protection Review Court » et des limites/contrôles de l’accès par les services de renseignement US. Référence officielle: EUR‑Lex 2023/1795. Pour un rappel des obligations générales, consultez notre page RGPD.
  • Position CNPD. Dans ses lignes et sa fiche DPF, la CNPD applique la structure du RGPD:
    1. Si le destinataire US est sur la DPF List: on peut transférer sur base de l’article 45, sans SCC/TIA additionnels; les autres obligations « internes » demeurent (contrat article 28 si le destinataire est sous‑traitant, information des personnes, registre article 30, etc.). Voir la page CNPD et la brochure PDF dédiée. CNPD – DPF; Lignes CNPD (PDF).
    2. Si le destinataire US n’est pas certifié: il faut revenir aux outils de l’article 46 (clauses types, BCR, etc.) et conduire l’évaluation des transferts (TIA) avec mesures complémentaires si nécessaire. CNPD – DPF.
  • Position EDPB. L’EDPB, dans l’Avis 5/2023, reconnaît des avancées mais insiste sur:
    • le besoin de clarté sur la « nécessité/proportionnalité » des accès par les autorités US,
    • l’effectivité/indépendance du mécanisme de recours,
    • le suivi régulier par la Commission et les DPAs. L’EDPB recommande un monitoring rapproché et la prise en compte de ces points lors de l’évaluation périodique. Voir la communication EDPB. EDPB – News.

En synthèse: la CNPD « opère » l’adéquation pour sécuriser les flux des organisations luxembourgeoises dès qu’une entité US est certifiée; l’EDPB, garant de l’interprétation européenne, rappelle que l’adéquation n’est pas un blanc‑seing et demeure conditionnée à la persistance des garanties effectives côté US.

Ce que ça change concrètement

  • Pour les directions, DPO et CISO au Luxembourg:
    • Si votre prestataire US (SaaS CRM, support client, e‑signature, CDN, anti‑fraude…) figure sur la DPF List, vous pouvez baser le transfert sur l’article 45 (adéquation) sans SCC ni mesures supplémentaires. Vérifiez chaque année le statut de certification et le périmètre des « Principles » couverts (responsable/sous‑traitant, données RH, etc.). Base: décision (UE) 2023/1795 et page CNPD. EUR‑Lex; CNPD. Pour structurer vos contrôles internes, un mandat DPO peut piloter la gouvernance et les revues annuelles.
    • Si le prestataire n’est pas certifié DPF, rebasculer sur l’article 46 (SCC 2021/914, BCR…) et conduire une TIA « Schrems II » avec, si nécessaire, chiffrement E2E, pseudo/anonymisation, ou limitation des catégories exportées. Appui CNPD: actualité/LD transferts.
    • Les clauses Article 28 RGPD restent obligatoires dès qu’un prestataire US agit en sous‑traitant, même s’il est certifié DPF. La CNPD le rappelle explicitement. CNPD – DPF.
    • À l’inverse, l’EDPB appelle à une vigilance de fond: suivez les réexamens périodiques de la Commission et les évolutions US. En cas d’annulation future (hypothèse), prévoyez un « plan B » contractuel (SCC prêtes, TIA à jour). EDPB – News.

Exemples concrets côté Luxembourg (mai‑juin 2026):

  • Migration d’un helpdesk vers un fournisseur US certifié DPF: base légale = exécution du contrat (art. 6(1)(b)) ou intérêt légitime (6(1)(f)) selon les cas; transfert = art. 45 DPF; DPA article 28; information mise à jour (art. 13/14) mentionnant le pays tiers et le mécanisme (adéquation DPF).
  • Usage d’un moteur d’IA US non certifié DPF pour catégoriser des tickets: basculer sur SCC + TIA, limiter les données, préférer l’UE pour l’entraînement, envisager chiffrement côté client.

Pièges fréquents

  1. « DPF = pas de contrat sous‑traitant ». Faux. Le DPF opère au niveau du transfert (article 45), pas au niveau du traitement. Si le destinataire US traite « pour le compte », un accord article 28 reste obligatoire avec les clauses requises (finalités, sécurité, assistance, sous‑traitance ultérieure, audits). La CNPD le précise. CNPD – DPF.
  2. Ne pas vérifier le périmètre de la certification DPF. Certaines entités US sont certifiées pour des « HR data only » ou sur un périmètre fonctionnel restreint. La décision d’adéquation renvoie à la DPF List comme référence. Contrôlez le statut et les engagements concrets. EUR‑Lex 2023/1795.
  3. Oublier la réversibilité si la certification expire. La décision prévoit qu’une organisation radiée de la DPF List perd le bénéfice de l’adéquation. Anticipez contractuellement une bascule automatique vers SCC + TIA et informez vos clients. EUR‑Lex.
  4. Mélanger « DPF » et « UK‑US Data Bridge ». Pour des flux LU→US, seule l’adéquation UE (2023/1795) s’applique. Le « UK Extension to the EU‑US DPF » vise les transferts régis par le UK GDPR (ICO). Ce n’est pas le même fondement juridique. Voir guidance ICO pour distinguer les périmètres. ICO – Adequacy regs.
  5. Penser que l’adéquation dispense de toute transparence. Vos mentions d’information doivent toujours indiquer les pays tiers, la base de transfert (ici: décision d’adéquation DPF) et les droits/recours (articles 13 et 14 RGPD). L’EDPB insiste sur la lisibilité et l’effectivité des voies de recours. EDPB – News.

Sources officielles

  • Commission européenne — Décision d’adéquation EU‑US DPF (10/07/2023), texte intégral sur EUR‑Lex: CELEX:32023D1795.
  • EDPB — « EDPB welcomes improvements under the EU‑U.S. Data Privacy Framework, but concerns remain » (28/02/2023): edpb.europa.eu.
  • CNPD Luxembourg — Dossiers thématiques « Transferts vers les États‑Unis » (mise à jour 2025): cnpd.public.lu et actualité « The CNPD has updated its guidelines on international transfers of personal data » (04/2025): cnpd.public.lu.
  • Commission européenne — Dossier « EU‑US data transfers »: commission.europa.eu (synthèse institutionnelle).
  • ICO (pour distinguer l’extension UK du DPF): ico.org.uk.

Conclusion pratique: au Luxembourg, la CNPD valide un usage opérationnel du DPF pour fluidifier les flux vers des entités US certifiées (article 45 RGPD). Mais l’EDPB ayant mis des garde‑fous politiques et techniques, les dirigeants devraient conserver un « plan B » (SCC + TIA prêts) et monitorer les réexamens d’adéquation. Pour être accompagné dans la mise en œuvre et les audits de transfert, contactez‑nous via notre équipe.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

expertise reglementaire rgpd cnpd edpb dpf transferts-internationaux
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →