Transferts de données hors UE en 2026 : où en est le Data Privacy Framework ?

Dès qu'un site français utilise Google Workspace, Microsoft 365, Slack, Stripe, AWS, GCP, Azure ou OpenAI, il transfère probablement des données personnelles hors de l'Union européenne. Le RGPD encadre strictement ces flux, et la jurisprudence évolue plus vite que la documentation interne de la plupart des entreprises. Après l'invalidation du Safe Harbor en 2015 puis du Privacy Shield en 2020, l'EU-US Data Privacy Framework (DPF) a été adopté en juillet 2023. Il vient de franchir une première étape judiciaire en septembre 2025, mais un recours est désormais pendant devant la Cour de justice de l'Union européenne, et NOYB annonce un possible « Schrems III ».

Cet article fait le point sur l'état du droit en janvier 2026, les mécanismes de transfert encore disponibles, les obligations documentaires (TIA, registre, politique de confidentialité) et les arbitrages concrets pour les outils SaaS américains.

Pourquoi le sujet n'est pas réglé

Le RGPD pose en son article 44 un principe simple : aucune donnée personnelle ne peut quitter l'Espace économique européen sans garantir un niveau de protection « substantiellement équivalent ». Le conflit avec le droit américain est structurel : les programmes de surveillance fondés sur la section 702 du FISA et l'Executive Order 12333 permettent aux agences fédérales d'accéder à des données détenues par des entreprises américaines, sans que les personnes concernées disposent d'un recours juridictionnel comparable à celui des Européens.

Cette tension juridique alimente une jurisprudence en zigzag depuis dix ans :

• 2000-2015 — Safe Harbor : invalidé par la CJUE le 6 octobre 2015 dans l'arrêt « Schrems I ». Le mécanisme d'auto-certification ne protégeait pas suffisamment contre l'accès des autorités américaines.
• 2016-2020 — Privacy Shield : invalidé par la CJUE le 16 juillet 2020 dans l'arrêt « Schrems II ». La Cour exige par ailleurs des « mesures supplémentaires » lorsque les CCT sont utilisées vers un pays insuffisamment protecteur.
• 2023 — Data Privacy Framework : décision d'adéquation de la Commission européenne du 10 juillet 2023, après la signature par le président américain de l'Executive Order 14086 instaurant une Data Protection Review Court.

Le DPF est donc le troisième mécanisme d'adéquation UE-USA en quinze ans. Il sera mis à l'épreuve, comme ses prédécesseurs.

L'état du DPF en janvier 2026

Le DPF est attaqué sur deux fronts.

Le recours « Latombe » devant le Tribunal puis la CJUE

Le député français Philippe Latombe avait saisi le Tribunal de l'Union européenne en septembre 2023 pour faire annuler la décision d'adéquation. Le Tribunal a rejeté ce recours le 3 septembre 2025 (affaire T-553/23). Le DPF a donc franchi sa première étape judiciaire. Philippe Latombe a déposé un pourvoi le 31 octobre 2025, enregistré sous le numéro C-703/25 P : la CJUE devra trancher. À la date de rédaction (janvier 2026), aucune date d'audience n'a été annoncée et la décision pourrait n'intervenir qu'en 2027 voire 2028.

Le possible « Schrems III » porté par NOYB

L'association NOYB de Max Schrems a publiquement indiqué examiner une voie procédurale différente : une action civile contre une entreprise utilisant le DPF, susceptible de remonter en question préjudicielle à la CJUE. Plusieurs analyses doctrinales relevées par l'IAPP et Freshfields signalent par ailleurs que des modifications structurelles aux États-Unis — notamment l'évolution du Privacy and Civil Liberties Oversight Board (PCLOB) et de la Federal Trade Commission — pourraient à elles seules conduire la Commission européenne à suspendre ou réviser la décision d'adéquation, sans même attendre un arrêt.

Les mécanismes de transfert disponibles aujourd'hui

Le chapitre V du RGPD (articles 44 à 50) organise les outils de transfert en trois niveaux.

1. Les décisions d'adéquation (article 45)

La Commission européenne reconnaît qu'un pays tiers offre un niveau de protection essentiellement équivalent. Les pays concernés en 2026 incluent notamment le Royaume-Uni, la Suisse, le Japon, la Corée du Sud, Israël, l'Argentine, l'Uruguay, la Nouvelle-Zélande, le Canada (secteur commercial uniquement) et les États-Unis pour les seuls organismes certifiés DPF. Aucune formalité supplémentaire n'est requise pour les transferts couverts.

2. Les garanties appropriées (article 46)

À défaut d'adéquation, vous devez encadrer le transfert par un outil juridique :

• Clauses contractuelles types (CCT/SCC) : les modèles adoptés par la Commission le 4 juin 2021 (décision d'exécution 2021/914) constituent l'outil le plus utilisé. Quatre modules couvrent les configurations responsable-responsable, responsable-sous-traitant, sous-traitant-sous-traitant et sous-traitant-responsable. Les versions antérieures à 2021 ne sont plus valables depuis le 27 décembre 2022.
• Règles d'entreprise contraignantes (BCR) : adaptées aux groupes multinationaux, elles doivent être approuvées par une autorité chef de file après procédure de coopération. Délai d'instruction long, coût élevé, mais utiles pour les flux intra-groupe.
• Codes de conduite et certifications approuvés par une autorité de contrôle.

3. Les dérogations (article 49)

Le RGPD prévoit des dérogations strictement encadrées : consentement explicite et spécifique de la personne, exécution d'un contrat, motifs d'intérêt public, exercice de droits en justice, etc. Ces dérogations ne peuvent pas servir à fonder des transferts massifs ou systématiques. Elles s'appliquent à des cas ponctuels, exceptionnels et documentés. L'EDPB rappelle régulièrement leur interprétation restrictive.

L'analyse d'impact des transferts (TIA)

Depuis l'arrêt Schrems II, la simple signature des CCT ne suffit plus. La CJUE exige une évaluation au cas par cas : le pays de destination offre-t-il effectivement un niveau de protection équivalent en pratique ?

L'EDPB a publié les recommandations 01/2020 sur les mesures supplémentaires, qui décrivent une méthodologie en six étapes :

1. Cartographier vos transferts (finalités, données, destinataires, pays, outil de transfert).
2. Identifier le mécanisme de transfert utilisé (adéquation, CCT, BCR, dérogation).
3. Évaluer la législation et les pratiques du pays de destination (accès des autorités, recours, jurisprudence locale).
4. Adopter des mesures supplémentaires si nécessaire.
5. Mettre en œuvre les démarches procédurales requises (consultation de l'autorité, etc.).
6. Réévaluer régulièrement, et systématiquement en cas de changement matériel.

La CNIL a publié en février 2025 une version finale de son guide d'analyse d'impact des transferts (AITD), aligné sur cette méthodologie. Aucune dispense de TIA n'est prévue pour les transferts couverts par le DPF : la décision d'adéquation simplifie l'analyse de l'étape 3, mais ne supprime pas l'obligation documentaire globale.

Les mesures supplémentaires utiles

Lorsque le pays de destination ne garantit pas une protection suffisante, l'EDPB classe les mesures supplémentaires en trois catégories. Les mesures techniques sont les plus solides face au risque d'accès gouvernemental.

• Chiffrement de bout en bout avec clés conservées exclusivement dans l'UE et hors d'accès du prestataire.
• Pseudonymisation forte rendant les données inintelligibles sans la table de correspondance, conservée séparément dans l'UE.
• Hébergement multi-régions avec restriction effective au stockage et au traitement dans des régions UE de l'hyperscaler (AWS Frankfurt/Paris, Azure France/Germany, GCP europe-west).
• Politiques d'accès et obligations contractuelles : journalisation des accès, obligation de notification des demandes d'autorités, contestation systématique en justice.
• Mesures organisationnelles : politique interne de minimisation, séparation des rôles, audits réguliers.

Pour les outils SaaS américains les plus courants, l'arbitrage dépend de la sensibilité des données. Google Workspace, Microsoft 365, Slack, Notion, Salesforce, AWS, GCP, Azure, OpenAI, Anthropic et Stripe sont tous certifiés DPF ; cela résout l'étape de transfert, mais ne garantit pas l'absence d'accès gouvernemental en cas d'invalidation future. Une banque, un acteur de la santé ou un éditeur de logiciel manipulant des données stratégiques aura intérêt à privilégier des alternatives européennes (Scaleway, OVHcloud, Outscale, Mistral) ou des configurations « customer-managed encryption keys » pour les hyperscalers, qui empêchent techniquement le prestataire de déchiffrer.

Ce qu'il faut écrire dans la politique de confidentialité

L'article 13 du RGPD impose d'informer la personne concernée des transferts hors UE, du mécanisme retenu et des moyens d'obtenir une copie des garanties. Concrètement, votre politique de confidentialité doit indiquer, pour chaque outil ou catégorie de destinataires :

• l'identité du destinataire (ou la catégorie : « hébergeur cloud », « outil d'analyse », « prestataire de paiement ») ;
• le pays de destination ;
• le mécanisme de transfert (décision d'adéquation DPF, CCT 2021/914 modules X, BCR approuvées) ;
• le cas échéant, les mesures supplémentaires mises en place ;
• un lien ou une procédure permettant d'obtenir copie des garanties.

Un texte vague (« nous pouvons transférer vos données dans le monde entier ») est insuffisant et expose à une sanction CNIL. Notre générateur de politique de confidentialité propose un modèle structuré et à jour des décisions d'adéquation, à compléter avec la liste de vos sous-traitants. Pour un cadrage plus large, voir notre guide RGPD pour un site web français.

Ce qu'il faut écrire dans le registre des traitements

L'article 30 du RGPD impose de mentionner, pour chaque traitement, les transferts hors UE et les garanties appliquées. La rigueur du registre est devenue un point de contrôle CNIL régulier. Pour chaque ligne du registre concernée, prévoyez :

• la liste précise des sous-traitants ultimes (y compris les sous-sous-traitants identifiés dans le DPA) ;
• le pays effectif de traitement et de stockage ;
• le fondement juridique du transfert ;
• la date et le résultat de la dernière TIA ;
• les mesures supplémentaires effectivement mises en œuvre.

Notre article dédié au registre des traitements en 2026 détaille la structure attendue et les pièges à éviter.

Le cas particulier de la sous-traitance B2B

Si vous éditez un SaaS qui traite des données pour le compte de clients européens, la conformité des transferts est un enjeu commercial direct. Vos clients (responsables de traitement) doivent inscrire vos sous-traitants ultimes dans leur propre registre, exiger un DPA précis et obtenir la copie des CCT pertinentes. Un DPA flou, ou une liste de sous-traitants non maintenue, est aujourd'hui un motif fréquent d'échec en appel d'offres B2B, y compris pour des contrats de quelques milliers d'euros par an. Voir notre article sur les CGV, DPA et SLA des SaaS B2B en 2026.

Les sanctions à connaître

Le coût d'un mauvais cadrage des transferts est désormais documenté.

• Meta — 1,2 milliard d'euros (22 mai 2023, DPC irlandaise). La plus lourde sanction RGPD jamais prononcée. Reproche : transferts vers les États-Unis fondés sur les seules CCT, sans mesures supplémentaires suffisantes pour neutraliser le risque FISA 702.
• Google Analytics — mises en demeure CNIL de 2022-2024. La CNIL a jugé que la configuration standard de Google Analytics ne permettait pas de transférer légalement des données vers les États-Unis avant l'entrée en vigueur du DPF. Plusieurs autorités européennes ont rendu des décisions convergentes.
• Article 83 du RGPD : les transferts non conformes relèvent du plafond le plus élevé, soit 20 millions d'euros ou 4 % du chiffre d'affaires mondial.

Voir notre tour d'horizon des sanctions CNIL en 2026 pour les ordres de grandeur applicables.

Pour aller plus loin

• CNIL — Transférer des données hors de l'UE
• CNIL — Transferts de données hors UE : le cadre général prévu par le RGPD
• EDPB — Recommandations 01/2020 sur les mesures supplémentaires
• Commission européenne — Décision d'exécution 2021/914 sur les clauses contractuelles types

En résumé : le DPF reste valide en janvier 2026, mais son avenir dépend d'une décision pendante devant la CJUE et d'un contexte américain mouvant. La règle de prudence est claire : sécurisez chaque transfert par une double assise (DPF + CCT), documentez vos TIA, mettez à jour votre politique de confidentialité et votre registre, et identifiez les alternatives européennes pour vos flux les plus sensibles. C'est exactement le travail que notre générateur de politique de confidentialité vous permet de formaliser en quelques minutes.