Skip to Content
RGPDPartie 13 — Transferts internationaux13.2 — Adéquation, Schrems & DPF

Chapitre 13.2 — Adéquation, Schrems & DPF

⏱️ TL;DR — Premier étage du chapitre V : l’adéquation (art. 45). La Commission européenne peut décider qu’un pays hors UE protège les données de façon adéquate — alors on y transfère librement, comme à l’intérieur de l’EEE, sans garanties supplémentaires. Plusieurs pays en bénéficient (Royaume-Uni, Suisse, Japon, Corée du Sud, Canada en partie…). Le cas épineux, ce sont les États-Unis : Safe Harbor tombé (Schrems I), Privacy Shield tombé (Schrems II, CJUE C-311/18, 16 juillet 2020), puis le Data Privacy Framework (adéquation du 10 juillet 2023) pour les entreprises US certifiées. État 2026 : le recours Latombe a été rejeté le 3 septembre 2025, mais un appel est pendant devant la CJUE → cadre valide mais fragile.

🎯 Objectifs

  • Comprendre le mécanisme de l’adéquation (art. 45) et son effet.
  • Retracer la saga UE–États-Unis : Safe Harbor → Schrems I ; Privacy Shield → Schrems II ; DPF.
  • Vérifier si un prestataire américain est réellement couvert (certification DPF).
  • Mesurer la fragilité du DPF et en tirer le bon réflexe (« ceinture et bretelles »).

L’adéquation : le passe-droit du chapitre V

Quand la Commission européenne estime qu’un pays tiers (ou un secteur, ou une organisation internationale) assure un niveau de protection essentiellement équivalent à celui de l’UE, elle adopte une décision d’adéquation (art. 45). Effet : les transferts vers ce pays deviennent libresaucune garantie contractuelle ni formalité supplémentaire n’est requise, exactement comme un flux interne à l’EEE.

Cette décision est surveillée et révisable : la Commission réexamine périodiquement, et une adéquation peut être suspendue ou annulée si la protection se dégrade — c’est précisément ce qui est arrivé aux cadres américains successifs.

PointCe qu’il faut retenir
Qui décideLa Commission européenne (pas l’entreprise, pas la CNIL)
EffetTransfert libre, sans CCT ni TIA supplémentaires
PortéePeut être totale (tout le pays) ou partielle (un secteur, un cadre spécifique)
DuréeRévisable : réexaminée, suspendable, annulable
Où vérifierLa liste officielle tenue à jour par la Commission européenne

💡 Réflexe — Ne mémorise pas une liste de pays adéquats : elle évolue. Mémorise le réflexe : « ce pays fait-il l’objet d’une décision d’adéquation à jour ? » — et va vérifier sur la liste officielle de la Commission. Des pays comme le Royaume-Uni, la Suisse, le Japon, la Corée du Sud ou le Canada (pour son secteur privé) y figurent, mais le détail et le périmètre bougent : c’est la source qui fait foi, pas ta mémoire.

La saga UE–États-Unis : trois cadres, deux chutes

Les États-Unis n’ont pas d’adéquation générale. La raison de fond, confirmée par la CJUE : les lois de renseignement américaines permettent aux autorités d’accéder à des données sans offrir aux Européens une protection et des recours équivalents à ceux de l’UE. D’où une histoire mouvementée :

  • Safe Harbor — premier accord UE–États-Unis, invalidé par l’arrêt Schrems I.
  • Privacy Shield — son successeur, invalidé par Schrems II (CJUE, affaire C-311/18, 16 juillet 2020). L’arrêt maintient les CCT mais impose de vérifier, transfert par transfert, que la protection reste effective (le TIA, chapitre 13.3).
  • Data Privacy Framework (DPF) — le cadre actuel, reconnu par une décision d’adéquation de la Commission le 10 juillet 2023. Attention : il ne couvre pas « les États-Unis » en bloc, mais uniquement les entreprises américaines qui se sont certifiées au DPF et figurent sur sa liste.

📚 Le texte — L’adéquation est régie par l’article 45 du RGPD. L’arrêt de référence sur les transferts est Schrems II (CJUE, C-311/18, 16 juillet 2020) : il invalide le Privacy Shield et confirme qu’un transfert vers un pays tiers ne se présume jamais adéquat — il faut une protection essentiellement équivalente. Le DPF est une décision d’adéquation de la Commission du 10 juillet 2023, limitée aux entreprises américaines certifiées.

Le DPF : comment l’utiliser correctement

Transférer vers une entreprise américaine certifiée DPF, c’est aujourd’hui licite au titre de l’adéquation — donc sans CCT obligatoires. Mais « américain » ne veut pas dire « couvert ». Deux vérifications s’imposent :

  1. La certification existe-t-elle ? L’entreprise doit figurer sur la liste DPF (administrée côté américain par le département du Commerce). Une société non inscrite n’est pas couverte par l’adéquation.
  2. Le périmètre correspond-il ? Une certification peut ne couvrir que certaines activités ou catégories de données. Vérifie que ton flux entre bien dans le champ certifié.

Si l’un des deux manque, le DPF ne s’applique pas : on redescend à l’étage des garanties (CCT + TIA, chapitre 13.3).

⚠️ Piège — « C’est une boîte américaine connue, donc DPF, donc OK. » Non. La certification DPF est volontaire et nominative : il faut vérifier l’inscription sur la liste et son périmètre, prestataire par prestataire, au moment où tu contractes — et la re-vérifier dans le temps (une certification peut être retirée). Ne déduis jamais la couverture DPF de la seule nationalité du fournisseur.

État 2026 : valide, mais fragile

Comme ses prédécesseurs, le DPF est contesté. Le recours Latombe, qui en demandait l’annulation, a été rejeté par le Tribunal de l’Union européenne le 3 septembre 2025 : le DPF reste valide. Mais un appel est pendant devant la CJUE (2026), et l’histoire invite à la prudence — la Cour a déjà invalidé deux cadres (Safe Harbor puis Privacy Shield). Conclusion : le DPF est valide aujourd’hui, mais son avenir n’est pas garanti.

C’est cohérent avec ce qu’on a vu en Partie 2 (jurisprudence) : on s’appuie sur le droit en vigueur, tout en gardant un filet au cas où il tomberait.

💡 RéflexeCeinture et bretelles. Même quand ton prestataire est certifié DPF, garde les clauses contractuelles types (CCT) et une analyse d’impact du transfert (TIA) en filet de sécurité. Si le DPF venait à tomber sur appel — comme le Safe Harbor et le Privacy Shield avant lui — tu ne basculerais pas du jour au lendemain en transfert illicite : ta base CCT prendrait le relais. On monte ce dispositif au chapitre 13.3.

🧭 Sur FormaCampus — Pour chacun de ses sous-traitants américains (hébergement, e-mailing, IA), FormaCampus fait deux choses : elle vérifie la certification DPF sur la liste officielle et son périmètre, puis elle conserve des CCT + TIA en filet. Ainsi, ses transferts sont licites aujourd’hui (adéquation DPF) et résilients demain (si l’appel Latombe fait tomber le cadre). Elle documente ces deux niveaux dans son registre — c’est l’accountability appliquée aux transferts.

🔒 Côté personne concernée — Le DPF n’est pas qu’une formalité pour les entreprises : il ouvre aux Européens des voies de recours spécifiques aux États-Unis (mécanisme de plainte, instance de recours dédiée) si leurs données sont mal utilisées. C’est le cœur de ce que la CJUE exige : un transfert n’est acceptable que si la personne garde une protection effective et un recours réel, même à l’autre bout du monde.

✏️ Exercices

Exercice 1 — Adéquation ou pas ? Pour chaque destination, dis si un transfert peut reposer sur l’adéquation, et comment le vérifier : (a) une filiale au Japon ; (b) un prestataire au Brésil ; (c) un SaaS américain certifié DPF ; (d) un SaaS américain non inscrit au DPF.

✅ Solution

(a) Oui, a priori — le Japon fait l’objet d’une décision d’adéquation ; on vérifie son maintien sur la liste de la Commission. (b) À vérifier — s’il n’y a pas de décision d’adéquation pour ce pays, on redescend aux garanties (CCT + TIA). (c) Oui — l’adéquation DPF couvre les entreprises certifiées ; on vérifie l’inscription et le périmètre, et on garde CCT + TIA en filet. (d) Non — sans inscription DPF, pas d’adéquation applicable : il faut des garanties appropriées (chapitre 13.3).

Exercice 2 — « Certifié DPF, rien d’autre à faire ? » Un collègue veut héberger chez un prestataire US certifié DPF et conclut : « adéquation, donc dossier clos ». Nuance sa conclusion.

✅ Solution

Il a raison à l’instant T : le transfert est licite grâce à l’adéquation DPF (10 juillet 2023). Mais le cadre est fragile — recours Latombe rejeté le 3 septembre 2025, appel pendant devant la CJUE, dans la lignée du Safe Harbor et du Privacy Shield déjà tombés. Réflexe pro : vérifier la certification et son périmètre, conserver CCT + TIA en filet, et documenter le tout. « Certifié DPF » n’exonère pas de la prudence.

Exercice 3 — Retrouver la chronologie. Remets dans l’ordre et associe chaque cadre à son sort : Privacy Shield, Safe Harbor, Data Privacy Framework.

✅ Solution

  1. Safe Harbor — invalidé par Schrems I. 2. Privacy Shield — invalidé par Schrems II (C-311/18, 16 juillet 2020). 3. Data Privacy Framework — en vigueur depuis l’adéquation du 10 juillet 2023, aujourd’hui contesté (Latombe rejeté le 3 septembre 2025, appel pendant). Deux cadres tombés, un troisième valide mais surveillé.

🧠 Quiz de révision

1. Qu’est-ce qu’une décision d’adéquation, et qui la prend ?

Une décision de la Commission européenne (art. 45) reconnaissant qu’un pays tiers offre une protection essentiellement équivalente à celle de l’UE. Effet : transfert libre vers ce pays, sans garanties supplémentaires. Elle est révisable et peut être annulée.

2. Les États-Unis bénéficient-ils d’une adéquation générale ?

Non. Il n’y a pas d’adéquation générale pour les États-Unis. Le Data Privacy Framework (10 juillet 2023) couvre uniquement les entreprises américaines certifiées au DPF et inscrites sur sa liste — pas le pays en bloc.

3. Qu’ont invalidé Schrems I et Schrems II ?

Schrems I a invalidé le Safe Harbor ; Schrems II (C-311/18, 16 juillet 2020) a invalidé le Privacy Shield, tout en maintenant les CCT — mais avec l’obligation d’une analyse d’impact du transfert au cas par cas.

4. Le DPF est-il solide en 2026 ?

Il est valide mais fragile. Le recours Latombe a été rejeté par le Tribunal de l’UE le 3 septembre 2025, mais un appel est pendant devant la CJUE. Comme la Cour a déjà fait tomber deux cadres, on garde CCT + TIA en filet.

5. Que faut-il vérifier avant de s’appuyer sur le DPF pour un prestataire ?

Deux choses : (1) que l’entreprise est bien inscrite sur la liste DPF ; (2) que ton flux entre dans le périmètre certifié. Sans cela, pas d’adéquation applicable : on passe aux garanties appropriées (CCT + TIA).


Chapitre suivant : Garanties : CCT, BCR & TIA — que faire quand il n’y a pas d’adéquation : les outils contractuels, l’analyse d’impact du transfert et les dérogations.

Last updated on