Transferts de Données du GDPR en 2026 : Naviguer dans le Cadre Post-Schrems II

Introduction : L'Instabilité Structurelle des Flux de Données Transatlantiques

L'invalidation du Privacy Shield par la Cour de Justice de l'Union Européenne dans l'affaire Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (C-311/18, Schrems II, 16 juillet 2020) a mis en évidence une incompatibilité structurelle entre la législation américaine en matière de surveillance — principalement le décret exécutif 12333 et l'article 702 de la loi sur la surveillance du renseignement étranger (FISA) — et les exigences du GDPR relatives à la protection équivalente des données dans les pays tiers. Le Cadre de Protection des Données UE-États-Unis (DPF), adopté par la Décision de la Commission C(2023) 4745 du 10 juillet 2023, a été présenté comme la solution pérenne. Trois ans plus tard, il fait face à un ensemble de pressions juridiques, politiques et institutionnelles que chaque professionnel de la protection des données devrait considérer comme un risque actif plutôt que comme un problème résolu.

Cet article analyse le spectre complet des mécanismes de transfert de données disponibles en vertu de l'article 44 du GDPR et de la décision d'adéquation du DPF UE-États-Unis, évalue leur robustesse juridique relative et fournit des cadres pratiques pour les organisations qui doivent maintenir leur continuité opérationnelle indépendamment du sort réservé au DPF.

Le Cadre de Protection des Données UE-États-Unis : Statut Juridique en 2026

L'Architecture du DPF

La Décision de la Commission C(2023) 4745 a déclaré que les États-Unis assurent un niveau de protection adéquat des données à caractère personnel transférées vers des organisations certifiées dans le cadre du DPF. L'infrastructure juridique centrale du DPF comprend :

EO 14086 (Enhancing Safeguards for United States Signals Intelligence Activities, 7 octobre 2022), qui a établi des exigences de proportionnalité pour la collecte de renseignements d'origine électromagnétique et le mécanisme de recours
Le Tribunal de Révision de la Protection des Données (DPRC), créé en vertu de l'EO 14086 en tant qu'organe indépendant chargé de recevoir et de statuer sur les réclamations individuelles des ressortissants européens relatives à l'accès des services de renseignement américains à leurs données
Les Principes du DPF (substantiellement similaires aux anciens principes du Privacy Shield), administrés par le Département du Commerce américain, avec autorité de contrôle de la FTC

Défis Juridiques Actuels

Au premier trimestre 2026, le DPF fait face à trois menaces juridiques significatives.

Premier défi : La Quadrature du Net (affaire CJUE C-078/25). Introduit en janvier 2025 devant la CJUE, ce recours soutient que l'EO 14086 ne contraint pas suffisamment la collecte de masse en vertu de l'article 702 de la FISA, et que le DPRC — un tribunal non-article III opérant sous autorité exécutive — ne satisfait pas aux exigences de la CJUE en matière de « protection juridictionnelle effective » telles qu'énoncées dans Schrems II. La CJUE a émis une demande de procédure accélérée en mars 2025 ; l'avis de l'Avocat général est attendu au troisième trimestre 2026, avec un arrêt définitif potentiellement en fin 2026 ou début 2027. Les avis des Avocats généraux de la CJUE en matière de vie privée ont historiquement été suivis dans l'arrêt définitif (l'avis de l'AG dans Schrems II lui-même avait préfiguré l'invalidation).

Deuxième défi : Évolution politique aux États-Unis. La posture de la seconde administration Trump à l'égard de la réautorisation de l'article 702 de la FISA et de la réforme des activités de renseignement d'origine électromagnétique a soulevé des interrogations quant à la pérennité opérationnelle des engagements américains dans le cadre du DPF. Le DPRC a traité moins de 50 affaires au cours de ses 18 premiers mois de fonctionnement — bien en deçà de ce qu'anticipaient les autorités européennes de protection des données au regard du volume de données de citoyens européens traitées par des entreprises américaines — suscitant des inquiétudes académiques et de la société civile quant à son efficacité pratique.

Troisième défi : Réexamen du Comité Européen de la Protection des Données (EDPB). En vertu du considérant 186 de la décision d'adéquation du DPF, la Commission s'est engagée à réexaminer la décision dans les trois ans suivant son adoption (soit avant juillet 2026). L'avis de l'EDPB au titre de l'article 70 sur le premier réexamen annuel (octobre 2024) a relevé des préoccupations persistantes concernant la transparence du DPRC, la portée de l'article 702 et l'absence de limitations à la collecte de masse équivalentes aux standards européens de proportionnalité.

Conclusion pratique : Le DPF doit être utilisé comme mécanisme de transfert principal lorsqu'il est disponible, mais aucune organisation ne pouvant tolérer opérationnellement une invalidation soudaine de l'adéquation ne doit se reposer exclusivement sur le DPF sans mécanisme de repli actif.

Les Clauses Contractuelles Types : Le Mécanisme de Repli Indispensable

Cadre Juridique

Les Clauses Contractuelles Types (CCT) constituent l'instrument privilégié des transferts internationaux de données au titre du GDPR. La Décision d'exécution de la Commission 2021/914 (4 juin 2021) a remplacé les CCT antérieures par un cadre modulaire couvrant quatre configurations de transfert :

Module 1 : Transferts de responsable du traitement à responsable du traitement
Module 2 : Transferts de responsable du traitement à sous-traitant
Module 3 : Transferts de sous-traitant à sous-traitant
Module 4 : Transferts de sous-traitant à responsable du traitement

Les nouvelles CCT ont intégré directement les exigences de Schrems II : la clause 14 impose une évaluation de la législation du pays tiers, et la clause 15 impose des obligations de notification et de transparence lors de la réception de demandes d'accès aux données émanant d'autorités gouvernementales.

L'Obligation d'Évaluation d'Impact du Transfert

L'arrêt Schrems II a jugé que le recours aux CCT ne garantit pas automatiquement une protection adéquate — l'exportateur doit conduire une Évaluation d'Impact du Transfert (TIA) spécifique au cas d'espèce pour vérifier que les CCT peuvent être efficaces dans le pays de destination. Les Recommandations 01/2020 de l'EDPB sur les transferts (adoptées en novembre 2020, mises à jour en juin 2021) fournissent le cadre méthodologique :

Étape 1 : Cartographier les transferts — identifier les données à caractère personnel transférées, le pays de destination, la finalité et le mécanisme de transfert applicable.

Étape 2 : Vérifier l'outil de transfert — confirmer le module de CCT applicable et sa correcte mise en œuvre.

Étape 3 : Évaluer le cadre juridique du pays tiers — apprécier si la législation du pays de destination relative à l'accès gouvernemental aux données est compatible avec les garanties offertes par les CCT. Facteurs clés : proportionnalité des pouvoirs d'accès, existence d'un recours juridictionnel ou quasi-juridictionnel effectif, autorisation de la collecte de masse.

Étape 4 : Identifier et adopter des mesures supplémentaires — si la TIA révèle que les CCT seules ne peuvent garantir une protection adéquate, des mesures techniques (chiffrement, pseudonymisation), contractuelles (garanties supplémentaires des importateurs) ou organisationnelles doivent être adoptées.

Étape 5 : Accomplir les formalités procédurales — exécuter les CCT, conserver la documentation de la TIA, notifier les autorités de contrôle le cas échéant.

CCT et Transferts vers les États-Unis en 2026

Les orientations de l'EDPB consécutives à Schrems II ont indiqué que les CCT seules étaient insuffisantes pour les transferts vers les États-Unis impliquant des catégories de données susceptibles d'attirer l'attention des services de renseignement (métadonnées de télécommunications, contenu de communications hébergées dans le cloud). L'obligation de notification prévue à l'article 15 des CCT révisées — imposant à l'importateur américain de notifier à l'exportateur européen les demandes d'accès gouvernementales — crée une obligation pratique de conformité à laquelle la plupart des fournisseurs de cloud américains ont répondu par des clauses de notification approuvées par les autorités de protection des données.

Pour les transferts vers les États-Unis ne relevant pas du DPF (parce que le destinataire américain n'est pas certifié DPF ou que la catégorie de données est exclue du périmètre du DPF), les CCT Module 2 assorties d'une TIA appropriée et de mesures techniques supplémentaires (chiffrement avec clés gérées en Europe, pseudonymisation à la source) constituent le mécanisme de repli juridiquement le plus robuste.

Les Règles d'Entreprise Contraignantes : La Référence Absolue et ses Contraintes

Ce qu'Apportent les BCR

Les Règles d'Entreprise Contraignantes (articles 46(2)(b) et 47 du GDPR) sont des mécanismes de transfert intra-groupe approuvés permettant les transferts de données à caractère personnel entre entités d'un même groupe à travers différentes juridictions. Approuvées par l'autorité de contrôle chef de file dans le cadre du mécanisme de cohérence prévu à l'article 60, les BCR engagent toutes les entités du groupe en tant que tiers bénéficiaires et confèrent aux personnes concernées des droits opposables au responsable du traitement lié par les BCR.

Les BCR constituent le mécanisme de transfert GDPR le plus robuste pour les groupes multinationaux parce que :

Elles ne sont pas spécifiques à une juridiction — une fois approuvées, elles couvrent les transferts vers toutes les entités du groupe dans le monde (pas seulement les États-Unis)
Elles survivent aux invalidations de décisions d'adéquation — les BCR représentent l'engagement propre du groupe à assurer une protection adéquate, sans dépendre du cadre juridique d'un pays tiers
Elles offrent une opposabilité aux tiers plus forte que les CCT

Délai et Coût d'Approbation des BCR

L'approbation des BCR est un processus long et exigeant en ressources :

Identification de l'autorité de contrôle chef de file : 1 à 3 mois pour déterminer l'autorité de surveillance compétente
Dépôt du dossier : 3 à 6 mois pour préparer la documentation BCR (BCR responsable du traitement ou BCR sous-traitant) conformément aux modèles WP256 (BCR pour responsables du traitement) et WP257 (BCR pour sous-traitants) de l'EDPB
Examen par l'autorité de contrôle et procédure de l'article 60 : 12 à 24 mois entre le dépôt et l'approbation
Coût : entre 500 000 et 2 millions d'euros en honoraires juridiques externes et ressources internes de conformité pour les grands groupes multinationaux

Au 1er janvier 2026, le registre des BCR de l'EDPB recense 148 BCR responsable du traitement approuvées et 79 BCR sous-traitant approuvées, essentiellement pour de grandes entreprises technologiques, des établissements financiers et des groupes industriels. Les BCR ne sont pas adaptées aux entreprises de taille intermédiaire ni aux entreprises anticipant des opérations significatives de fusions-acquisitions (chaque acquisition d'une entité non couverte par des BCR nécessite une procédure de modification des BCR existantes).

Décisions d'Adéquation au-delà des États-Unis : La Cartographie Mondiale des Transferts

La Commission européenne a adopté des décisions d'adéquation pour 15 pays/territoires au titre de l'article 45 du GDPR, ouvrant des voies de transfert sans nécessité de recourir aux CCT. Ces décisions varient sensiblement quant à leur périmètre et leur solidité juridique :

Pays/Territoire	Décision d'adéquation	Périmètre	Statut juridique (mars 2026)	Risques principaux
Royaume-Uni	C(2021) 4800 (juin 2021)	Général (art. 45 GDPR)	Valide ; sous réexamen en juin 2025 — prolongée jusqu'en juin 2027 en attente de réévaluation	Divergence du droit de la surveillance post-Brexit ; possible recours devant la CJUE
Suisse	C(2000) 3503	Général (cadre de la directive 95/46/CE)	Antérieure au GDPR ; la Commission a engagé une évaluation de mise à jour en 2022 ; reste applicable	Ancienneté pré-GDPR ; incertitude juridique sur les standards GDPR
Japon	C(2019) 61	Général (art. 45 GDPR)	Valide ; sous réexamen quadriennal	Règles supplémentaires requises ; analyse des écarts APPI-GDPR nécessaire
Corée du Sud	C(2021) 6065	Général (art. 45 GDPR)	Valide	Les modifications du PIPA pourraient nécessiter une réévaluation
Canada (PIPEDA)	2002/2/EC	Organisations commerciales uniquement	Antérieure au GDPR ; réexamen de la Commission engagé en 2023 ; réforme CPPA en attente	Le remplacement de la PIPEDA (CPPA) pourrait affecter la couverture de l'adéquation
Israël	C(2011) 332	Général	Antérieure au GDPR ; en cours de réévaluation	Ancienneté pré-GDPR ; questions sur le droit israélien de la surveillance
Nouvelle-Zélande	C(2013) 2896	Général	En cours de réexamen suite aux modifications de la loi sur la vie privée de 2020	Globalement solide
Argentine	C(2003) 1731	Général	Antérieure au GDPR ; en cours de modernisation	Ancienneté pré-GDPR
États-Unis (DPF uniquement)	C(2023) 4745	Organisations certifiées DPF uniquement	Voir supra — contentieux en cours	Recours devant la CJUE ; efficacité du DPRC

Pour les organisations concevant leur architecture de transferts, la combinaison Japon (adéquation) + Royaume-Uni (adéquation) + CCT pour les destinations non adéquates offre la couverture la plus large avec la charge de conformité quotidienne la plus faible.

Évaluations d'Impact du Transfert : Méthodologie et Documentation

Les Attentes Réglementaires

L'activité de contrôle des autorités de surveillance depuis Schrems II a fait de la documentation des TIA une cible habituelle des audits. La Commission irlandaise de protection des données (DPC), dans ses actions répressives contre Meta (décembre 2022, amende de 390 millions d'euros ; et la décision de transfert Meta Platforms Ireland, mai 2023, amende de 1,2 milliard d'euros — la plus lourde amende GDPR à ce jour) a spécifiquement examiné la qualité de la TIA de Meta pour les transferts vers les États-Unis. La DPC a constaté que le recours de Meta aux CCT sans mesures supplémentaires adéquates, combiné à une documentation insuffisante de la TIA, justifiait l'amende et l'injonction de suspension.

La CNIL française, le DSK allemand et l'AP néerlandaise ont chacun publié des orientations sur la TIA qui, tout en étant cohérentes avec les Recommandations 01/2020 de l'EDPB, mettent en avant des facteurs spécifiques à chaque juridiction : l'action répressive française s'est concentrée sur les transferts vers les fournisseurs de cloud ; l'allemande sur les sous-traitants de données RH ; la néerlandaise sur les flux transfrontaliers de données de santé.

Standards Minimaux de Documentation d'une TIA

Un document TIA doit contenir a minima :

Extrait de la cartographie des transferts : catégories de données, personnes concernées, finalité, base juridique du traitement, pays de destination, identité du destinataire
Mécanisme de transfert : module de CCT applicable, BCR ou décision d'adéquation (avec référence à la Décision de la Commission)
Analyse juridique du pays tiers : évaluation du cadre législatif en matière de surveillance, de proportionnalité et de contrôle juridictionnel — en référençant les recommandations par pays de l'EDPB lorsqu'elles existent
Mesures supplémentaires mises en œuvre : techniques (avec description), contractuelles (avec référence aux clauses des CCT), organisationnelles
Conclusion : si les mesures garantissent une protection effective équivalente aux standards du GDPR
Date de réexamen : les TIA doivent être réexaminées annuellement et lors de tout changement matériel dans le mécanisme de transfert ou le cadre juridique du pays de destination
Visa : approbation du DPO et du responsable juridique, avec reporting au conseil d'administration pour les transferts à haut risque

Planification de Contingence : Que se Passe-t-il si le DPF Tombe à Nouveau

Le Manuel Schrems I/II

Les organisations ayant maintenu leur continuité opérationnelle après Schrems I (2015) et Schrems II (2020) partagent une caractéristique commune : elles avaient exécuté des CCT avec l'ensemble de leurs sous-traitants américains avant l'invalidation et maintenaient des TIA à jour. Celles qui s'étaient exclusivement reposées sur le Privacy Shield ou l'EU-US Privacy Shield sans avoir mis en place de CCT de repli ont été confrontées à une interruption opérationnelle immédiate — des transferts techniquement illicites pendant la période entre l'invalidation et la mise en œuvre des CCT.

L'arrêt de la CJUE dans l'affaire Schrems II a été rendu le 16 juillet 2020, sans période de transition. Les autorités de contrôle ont annoncé qu'elles ne procéderaient pas à une mise en application immédiate compte tenu des délais de mise en œuvre nécessaires, mais les transferts en cours sans mécanisme valide demeuraient techniquement illicites. Un scénario similaire consécutif à une invalidation du DPF produirait probablement la même posture réglementaire — tolérance des autorités de surveillance pendant une courte période de transition, suivie de mesures répressives contre les organisations non préparées.

Cadre de Contingence

Actions immédiates (dans les 90 jours suivant un arrêt d'invalidation du DPF) :

Exécuter des CCT Module 2 avec tous les sous-traitants américains qui dépendent actuellement exclusivement de la certification DPF. Les CCT peuvent être exécutées dès maintenant comme couche de protection additionnelle aux côtés du DPF — la double couverture est juridiquement admissible et recommandée.
Actualiser les TIA pour les transferts vers les États-Unis afin de refléter la situation post-invalidation : le mécanisme du DPRC ne serait plus disponible, l'EO 14086 ne constituerait plus le cadre opérationnel de recours, et l'analyse des mesures supplémentaires devrait présupposer l'absence des garanties du DPF.
Mettre en œuvre des mesures techniques supplémentaires pour les catégories de transferts à risque élevé (données de catégories particulières au sens de l'article 9 ; données d'enfants ; données faisant l'objet d'une attention accrue des autorités de protection des données) : chiffrement avec clés gérées en Europe afin que, même si la législation américaine impose un accès, les données demeurent inintelligibles.
Évaluer les opportunités de minimisation des données : pour les transferts non indispensables à l'activité, les interrompre ou pseudonymiser les données avant le transfert. Le volume des transferts détermine le profil de risque.
Informer le conseil d'administration : l'exposition au titre de l'article 83(4) du GDPR (jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les violations procédurales) et de l'article 83(5) (jusqu'à 20 millions d'euros ou 4 % pour les violations substantielles, y compris les transferts illicites) impose une prise de conscience au niveau du conseil quant à la posture de contingence.

Restructuration à moyen terme (6 à 18 mois) :

Évaluer la résidence des données en Europe : pour les catégories de données présentant le profil de risque le plus élevé, examiner si le recours à des infrastructures cloud hébergées en Europe (AWS EU, Azure EU, Google Cloud EU) assortis d'engagements contractuels de résidence des données supprime entièrement le transfert. Un transfert n'a pas lieu si les données ne quittent jamais l'EEE.
Examiner l'opportunité de déposer une demande de BCR : pour les groupes disposant de flux de données transatlantiques réguliers entre plusieurs entités, le délai d'approbation des BCR (18 à 24 mois) devrait être initié maintenant, et non après l'invalidation.

Analyse Comparative des Mécanismes de Transfert

Mécanisme	Base juridique (GDPR)	Couverture	Robustesse juridique	Charge opérationnelle	Mieux adapté à
Décision d'adéquation (DPF)	Art. 45	Organisations américaines certifiées DPF uniquement	Moyenne — recours CJUE en cours	Faible (pas de CCT requises)	Fournisseurs SaaS cloud américains certifiés DPF
Décision d'adéquation (RU, Japon, etc.)	Art. 45	Transferts généraux vers pays adéquats	Élevée (RU sous réexamen)	Très faible	Transferts vers RU, Japon, Corée du Sud
CCT (Module 2)	Art. 46(2)(c)	Tout pays tiers ; toutes catégories de données	Élevée si correctement mises en œuvre avec TIA	Moyenne (TIA + mesures supplémentaires)	Relations avec sous-traitants américains ; transferts hors DPF
BCR	Art. 46(2)(b), 47	Transferts intra-groupe uniquement	Très élevée — approuvées par l'autorité de contrôle	Très élevée (18-24 mois, 500 k€+)	Grands groupes multinationaux avec transferts intra-groupe fréquents
Dérogations (art. 49)	Art. 49	Au cas par cas ; non répétitives	Faible — limitées aux circonstances exceptionnelles	Élevée (justification au cas par cas)	Transferts ponctuels (données de contentieux, urgences médicales)
Consentement explicite art. 49	Art. 49(1)(a)	Tout transfert avec consentement éclairé	Faible — le consentement peut être retiré	Élevée (mécanisme de consentement conforme au GDPR)	Données consommateurs avec véritable liberté de choix

Recommandations Pratiques pour le DPO, le CLO et le Conseil Juridique en Protection des Données

Ne reposez pas exclusivement sur le DPF pour les transferts vers les États-Unis opérationnellement critiques. Exécutez dès maintenant des CCT Module 2 avec tous vos sous-traitants américains, en parallèle du DPF. Le coût de la double couverture est administratif ; le coût d'une suspension imprévue des transferts consécutive à une invalidation par la CJUE est opérationnel. L'amende de 1,2 milliard d'euros infligée à Meta pour transferts illicites constitue le point de référence de ce que les régulateurs estiment être une sanction proportionnée contre un sous-traitant principal n'ayant pas mis en place de mécanismes de repli adéquats.
Traitez votre TIA comme un document vivant, non comme une évaluation ponctuelle. L'activité répressive des régulateurs a constamment mis en évidence que les organisations conduisaient des TIA lors de la conclusion du contrat mais omettaient de les actualiser lors de l'évolution de la législation américaine sur la surveillance ou du mécanisme de transfert lui-même. Les Recommandations 01/2020 de l'EDPB imposent expressément un réexamen périodique. Des réexamens annuels des TIA, déclenchés par des changements matériels dans la législation du pays de destination ou dans les catégories de données transférées, constituent le standard minimal. Intégrez ce calendrier de réexamen dans votre programme de conformité GDPR.
Cartographiez votre portefeuille de fournisseurs cloud et SaaS américains au regard du statut de certification DPF. La liste des certifications DPF (disponible sur dataprivacyframework.gov) est la référence opérationnelle. Les organisations découvrent régulièrement que des sous-traitants ultérieurs utilisés par leurs principaux fournisseurs SaaS ne sont pas certifiés DPF. Le statut de certification DPF des sous-traitants ultérieurs doit être vérifié via la liste de sous-traitance du sous-traitant principal et confirmé dans le registre des certifications. L'absence de couverture des sous-traitants ultérieurs est un constat d'audit fréquent.
Pour les catégories de données à risque élevé, le chiffrement avec clés contrôlées en Europe est la mesure supplémentaire la plus fiable. Les mesures techniques supplémentaires empêchant tout accès intelligible même en cas d'ordonnance gouvernementale au titre de l'article 702 de la FISA — notamment le chiffrement de bout en bout avec clés de déchiffrement hébergées en Europe et inaccessibles au sous-traitant américain — ont été validées par l'EDPB et les autorités nationales de protection des données comme des mesures efficaces pour combler l'écart d'adéquation. Cette architecture est proposée par les grands fournisseurs cloud (Google CMEK, AWS KMS avec gestion des clés en Europe, Clés gérées par le client d'Azure) et doit être évaluée au regard de la charge opérationnelle pour les catégories de données sensibles.
Engagez dès maintenant la préparation des BCR si votre groupe compte plus de trois entités hors EEE. L'approbation des BCR prend de 18 à 24 mois à compter du dépôt. Une organisation qui engage aujourd'hui la préparation des BCR disposera d'un mécanisme approuvé avant l'arrêt attendu de la CJUE sur La Quadrature du Net (fin 2026 / début 2027). Une organisation qui attend une invalidation fera face à un délai de 2 ans entre l'arrêt et l'approbation des BCR — période durant laquelle tous les transferts intra-groupe reposeront sur des CCT et des TIA sous un niveau de scrutin accru.

Activité Répressive des Autorités de Contrôle : Le Paysage du Risque Réglementaire

Décisions Répressives de Référence en Matière de Transferts de Données

Le paysage répressif en matière de transferts internationaux de données a été façonné par une série de décisions qui établissent à la fois la volonté des régulateurs d'agir et l'exposition pratique aux sanctions.

Meta Platforms Ireland — DPC irlandaise, mai 2023 (1,2 milliard d'euros). La décision de la Commission irlandaise de protection des données contre Meta Platforms Ireland Limited a infligé la plus lourde amende GDPR à ce jour — 1,2 milliard d'euros — pour les transferts de données d'utilisateurs Facebook de l'UE vers les États-Unis au titre des CCT sans mesures supplémentaires adéquates. La DPC a constaté que la TIA de Meta était déficiente en ce qu'elle ne tenait pas compte de l'exposition à la surveillance de masse en vertu de l'article 702 de la FISA applicable aux données transférées, et que les CCT seules n'assuraient pas une protection adéquate. La DPC a également ordonné la suspension des transferts futurs et la suppression des données transférées illicitement. La décision, adoptée dans le cadre de la procédure de règlement des litiges contraignante de l'article 65 du GDPR (à la suite de la révision par l'EDPB du projet de décision initial de la DPC), a été portée devant la High Court irlandaise et est toujours en cours au premier trimestre 2026.

WhatsApp Ireland — DPC irlandaise, septembre 2021 (225 millions d'euros). Également relative au service WhatsApp de Meta, cette décision portait principalement sur les obligations de transparence mais incluait des constats relatifs aux transferts transfrontaliers vers la société mère américaine de WhatsApp.

TikTok — Garante italien, diverses décisions 2021-2024. L'autorité italienne de protection des données (Garante per la protezione dei dati personali) a infligé de multiples amendes aux opérations européennes de TikTok en raison de transferts de données d'utilisateurs de l'UE vers la Chine, où le PIPL (loi chinoise sur la protection des informations personnelles, en vigueur depuis novembre 2021) fournit un cadre juridique que l'EDPB et les autorités nationales de protection des données ont évalué comme non équivalent aux standards du GDPR. La Chine ne fait pas l'objet d'une décision d'adéquation de l'UE. Les CCT de TikTok pour les transferts vers la Chine, et la qualité de sa TIA quant aux risques d'accès gouvernemental propres à la Chine (notamment en vertu de l'article 7 de la loi nationale sur le renseignement, qui oblige les organisations à « soutenir, assister et coopérer aux activités de renseignement national »), ont fait l'objet d'un contrôle continu.

SRB v Advocate General (CJUE, décembre 2023, C-337/21). L'arrêt de la CJUE a confirmé que les restrictions de transfert du chapitre V du GDPR s'appliquent aux institutions de l'UE (transferts intra-EEE non couverts par l'article 3 du GDPR) et a précisé l'interaction entre les instruments de transfert de l'article 46 et le traitement par les autorités publiques. Bien que ne portant pas directement sur les transferts vers les États-Unis, l'arrêt a confirmé l'approche extensive de la CJUE quant à la notion de « transfert » au sens du chapitre V — pertinente pour les organisations qui examinent si leurs architectures de traitement des données constituent un « transfert » déclenchant les obligations du chapitre V.

Tendances des Investigations des Autorités de Protection des Données en 2025-2026

Plusieurs autorités nationales de protection des données ont annoncé ou mènent des investigations actives sur les pratiques de transfert en 2025-2026 :

DSK allemand (Conférence des autorités indépendantes de surveillance de la protection des données) : investigation conjointe sur l'utilisation par des entreprises allemandes d'outils d'analyse cloud américains (Google Analytics, Adobe Analytics, Salesforce) pour les données de visiteurs de sites web. Les documents d'orientation du DSK ont indiqué que les adresses IP constituent des données à caractère personnel et que la transmission de données de visiteurs de l'UE vers des serveurs américains via des scripts d'analyse constitue un transfert nécessitant un mécanisme valide au titre du chapitre V.
CNIL française : investigation en cours sur les bannières de consentement aux cookies et les transferts de données déclenchés par des scripts de suivi tiers — l'intersection entre la conformité à la directive ePrivacy et le chapitre V du GDPR constitue un axe répressif actif.
AP néerlandaise : investigation sur les transferts transfrontaliers dans le secteur de la santé à la suite d'un incident survenu en 2024 impliquant le transfert de données de patients néerlandais vers un fournisseur américain d'IA médicale au titre des CCT, la TIA n'ayant pas évalué l'impact de l'inapplicabilité de HIPAA au traitement spécifique des données en question.

La tendance est claire : les autorités de protection des données dépassent le stade de la sanction des grandes plateformes et dirigent leur action répressive vers les entreprises de taille intermédiaire dans les secteurs régulés (santé, services financiers, ressources humaines) qui se sont appuyées sur des CCT standardisées sans conduire de TIA spécifiques.

Conclusion

L'arrêt de la CJUE dans l'affaire Schrems II a établi un principe juridique que le DPF n'a pas résolu : le droit européen des droits fondamentaux exige que les données à caractère personnel de l'UE exportées vers les États-Unis bénéficient d'une protection « essentiellement équivalente » aux standards du GDPR, incluant un recours juridictionnel effectif contre la surveillance gouvernementale. La question de savoir si le DPRC satisfait à ce standard sera tranchée par la CJUE, et non par l'évaluation d'adéquation de la Commission. La stratégie juridique prudente consiste à traiter le DPF comme un mécanisme de facilitation pendant la période de sa validité, tout en maintenant une infrastructure solide de CCT et de TIA comme socle permanent.

Les organisations qui seront les mieux positionnées — en matière de conformité réglementaire, de continuité opérationnelle et de gestion du risque contentieux — sont celles qui auront mis en œuvre des CCT à travers l'ensemble de leurs relations avec des sous-traitants, maintenu une documentation TIA à jour, appliqué des mesures techniques supplémentaires pour les données sensibles et engagé la préparation de BCR pour les transferts intra-groupe. Il ne s'agit pas d'un choix entre différentes charges de conformité, mais d'une décision de gestion des risques avec une exposition à la baisse directement quantifiable.

Clause de non-responsabilité : Cet article est fourni à titre d'information générale uniquement et ne constitue pas un conseil juridique. Les lois et réglementations décrites sont complexes, susceptibles d'évoluer et varient en fonction des faits et circonstances spécifiques. Les positions répressives en matière de GDPR, les arrêts de la CJUE et les décisions d'adéquation de la Commission visés dans cet article sont sujets à des développements juridiques en cours. Rien dans cet article ne saurait se substituer aux conseils d'avocats qualifiés spécialisés en protection des données de l'UE et en conformité aux transferts transfrontaliers de données. Morvantine et ses contributeurs déclinent toute responsabilité pour les actions prises sur la base des informations contenues dans cet article.

Contacter notre équipe juridique