Transferts de données UE-États-Unis : la Cour suprême américaine fragilise le Data Privacy Framework
La Cour suprême des États-Unis vient de fragiliser l'un des piliers juridiques sur lesquels reposent les transferts de données entre l'Union européenne et les États-Unis. Dans l'arrêt Trump c. Slaughter rendu le 29 juin 2026, la haute juridiction américaine a jugé que la Federal Trade Commission (FTC) n'était plus nécessairement indépendante du pouvoir exécutif. Or c'est précisément sur cette indépendance que s'appuie, à 259 reprises, la décision d'adéquation encadrant le Data Privacy Framework (DPF) UE-États-Unis. L'ONG autrichienne noyb, menée par Max Schrems, demande déjà à la Commission européenne de retirer la décision.
Ce qui s'est passé
Depuis 1995, le droit européen interdit par principe l'exportation de données personnelles vers des pays tiers, sauf garanties équivalentes à celles du RGPD. Deux mécanismes de transfert UE-États-Unis ont déjà été annulés par la Cour de justice de l'Union européenne (CJUE) : le Safe Harbor (« Schrems I ») puis le Privacy Shield (« Schrems II »), tous deux jugés insuffisants au regard des lois américaines de surveillance. En 2023, la Commission européenne a adopté un troisième accord, le Data Privacy Framework, en s'appuyant notamment sur l'indépendance de la FTC comme garante du respect des engagements pris par les entreprises américaines.
Le 29 juin 2026, la Cour suprême a validé une théorie de l'« exécutif unitaire », selon laquelle le président américain doit exercer un pouvoir plein sur l'ensemble des agences fédérales. Conséquence directe : l'indépendance de la FTC, invoquée quasi-systématiquement dans la décision d'adéquation 2023/1795, n'a plus de fondement constitutionnel solide.
Pourquoi c'est important
Le droit primaire de l'UE — l'article 16§2 du TFUE et l'article 8§3 de la Charte des droits fondamentaux — exige qu'un pays tiers dispose d'une autorité de contrôle réellement indépendante pour que ses transferts de données soient jugés « adéquats ». C'est ce même raisonnement qui avait fait tomber le Safe Harbor et le Privacy Shield. De nombreuses entreprises européennes s'appuient sur le DPF pour transférer des données personnelles vers les États-Unis via leurs prestataires cloud américains — l'effondrement du fondement juridique de cette décision les expose directement.
Le sujet ne se limite pas au DPF. Les organisations qui recourent à des clauses contractuelles types ou à des règles d'entreprise contraignantes (BCR) s'appuient elles aussi, dans leur analyse d'impact des transferts, sur l'indépendance d'organes américains comme le PCLOB ou la Data Protection Review Court — également remis en cause par cette jurisprudence.
Ce que ça change pour les organisations
Aucun effet immédiat : la décision d'adéquation reste formellement en vigueur tant que la Commission européenne ne l'abroge pas ou que la CJUE ne l'annule pas, une procédure qui prend généralement deux à trois ans. Mais plusieurs actions méritent d'être engagées dès maintenant par les DPO et responsables conformité :
Réévaluer les analyses d'impact des transferts (TIA) qui reposent sur des CCT ou des BCR, pour tenir compte de la fragilisation des organes de contrôle américains. Cartographier précisément les flux de données vers les États-Unis — prestataires cloud, SaaS, sous-traitants — et identifier ceux qui reposent uniquement sur le DPF. Vérifier la liste des pays compatibles au RGPD pour évaluer des alternatives d'hébergement ou de traitement en Europe. Suivre l'action en justice que noyb annonce vouloir engager devant la CJUE pour faire annuler l'accord.
Ce que Leto pense de cette décision
C'est la troisième fois en moins de dix ans qu'un mécanisme de transfert UE-États-Unis repose sur un fondement politique fragile plutôt que sur une réforme structurelle du droit américain de la surveillance. Attendre une quatrième invalidation n'est pas une stratégie de conformité : les organisations qui traitent des données personnelles via des prestataires américains ont intérêt à documenter dès aujourd'hui des alternatives crédibles, plutôt que de découvrir dans deux ou trois ans qu'elles doivent tout migrer dans l'urgence.
Sources : noyb.eu, Décision d'exécution (UE) 2023/1795 (EUR-Lex), Arrêt Trump c. Slaughter (Cour suprême des États-Unis)

