Espace Presse
La presse parle de l’AFCDP ou du DPO
Transferts de données personnelles vers les États-Unis : le Data Privacy Framework sous pression juridique et politique
Communiqué de presse - 5 juin 2025
L’impossible stabilité du cadre juridique des transferts UE–États-Unis ?
Le Groupe de travail “Flux Transfrontaliers” de l’AFCDP (Association Française des Correspondants à la Protection des Données à caractère Personnel) a fait le point sur l’encadrement juridique des transferts de données personnelles de l’Union européenne vers les États-Unis. Au cœur des débats : la fragilité persistante du Data Privacy Framework (DPF), dernier mécanisme en date approuvé par la Commission européenne pour encadrer ces flux transatlantiques.
Un cadre juridique dont la stabilité est menacée
Successeur du Safe Harbor – invalidé par la Cour de justice de l’Union européenne (CJUE) en 2015 (arrêt Schrems I) et du Privacy Shield – invalidé lui aussi par la CJUE en 2020 (arrêt Schrems II) – le Data Privacy Framework (DPF), en vigueur depuis juillet 2023, repose notamment sur un décret présidentiel américain (Executive Order 14086) et d’organes de contrôle aux USA dont la Data Protection Review Court (DPRC) et le Privacy and Civil Liberties Oversight Board (PCLOB).
Malgré les avancées apportées par ce nouveau dispositif, ce dernier suscite de vives critiques tant sur le plan juridique que pratique.
Florence Gaullier, avocate et co-animatrice du groupe de travail “Flux Transfrontaliers” de l’AFCDP, résume ainsi l’un des aspects au cœur du problème : « Les agences américaines peuvent toujours accéder aux données personnelles sans réel contrôle indépendant. Cela reste a priori incompatible avec le RGPD et la Charte des droits fondamentaux de l’Union. »
Stéphane Grynwajc, avocat à Paris, au Québec, à New York, en Angleterre et au Pays de Galles et co-animateur du groupe de travail “Flux Transfrontaliers” de l’AFCDP, a rappelé qu’il existe de nombreux textes différents en matière de privacy aux Etats-Unis au niveau des Etats et que le rôle des procureurs est fondamental. Il a ainsi exposé qu’il est nécessaire, en cas de transfert de données vers les Etats-Unis de vérifier aussi le droit de l’Etat vers lequel les données sont transférées au sein des Etats-Unis. Certains Etats ont mis en place des textes proches du RGPD par certains aspects. Mais, force est de reconnaître que, au niveau fédéral, « l’approche américaine reste éloignée du RGPD. Le cadre juridique fédéral n’apporte pas les mêmes garanties de protection que celles exigées en Europe. »
Jean-Baptiste Soufron, avocat du député Philippe Latombe, est intervenu auprès du groupe de travail “Flux Transfrontaliers” pour présenter l’un des recours en annulation du DPF actuellement pendant devant le Tribunal de l’Union européenne. Cette action dénonce notamment :
- l’absence de voies de recours effectives pour les citoyens européens ;
- l’absence de contrôle a priori des collectes de données dites « en vrac » ;
- le manque d’indépendance des organes de contrôle mis en place dans le cadre du DPF ;
- les risques liés à la réversibilité unilatérale du dispositif par le Président américain, dont la modification n’est en outre pas nécessairement publique.
« Il est urgent de garantir un droit au recours effectif. Des décisions administratives fondées sur une collecte opaque peuvent avoir des conséquences très concrètes sur la vie des individus », a déclaré Me Soufron.
Depuis le recours introduit par Philippe Latombe, les inquiétudes sur la pérennité du DPF se sont en outre accrues depuis le changement de Président aux USA. Plusieurs postes sont vacants depuis plusieurs mois au sein de plusieurs organes de contrôle (dont la DPRC et le PCLOB) sur lesquels repose le DPF…
Selon Stéphane Grynwajc, l’administration américaine semble considérer néanmoins qu’elle n’a pas remis en question le régime, que ces organes fonctionnent quand même et qu’il appartient à l’Union européenne de déterminer l’avenir de la décision d’adéquation et non aux États-Unis qui considèrent que le DPF est toujours en vigueur et effectif.
Des alternatives insuffisantes en cas d’invalidation du DPF ?
Si le DPF venait à être invalidé, les alternatives – clauses contractuelles types impliquant des analyses d’impact sur les transferts (TIA ou transfer impact assessment) accompagnées de mesures telles que le chiffrement des données avec conservation de la clé de chiffrement dans l’UE et non accessible à l’entité américaine ou recours à des prestataires européens ne recourant à aucun transfert vers les USA, etc. – se révèlent souvent chronophages, coûteuses, techniquement et juridiquement complexes et difficilement applicables à toutes les situations.
Les délégués à la protection des données ont déjà dû faire face à cette situation lors de l’invalidation du Privacy Shield. Ils s’inquiètent de devoir gérer une nouvelle instabilité du cadre des transferts de données vers les Etats-Unis, en particulier (i) dans un contexte géopolitique très différent de celui de 2020 et (ii) dans un contexte où la charge de travail des délégués à la protection des données est décuplée par l’analyse et l’accompagnement quotidien de projets impliquant des systèmes d’intelligence artificielle.
Dans un contexte marqué par l’incertitude, les DPO se retrouvent en première ligne pour accompagner les organismes qu’ils conseillent face à leurs responsabilités juridiques et éthiques croissantes. Nombre d’entre eux alertent sur cet enjeu structurant pour la profession. Même lorsqu’ils trouvent une oreille attentive à leurs préoccupations qui sont de plus en plus considérées comme crédibles et légitimes, les solutions concrètes et réalistes s’avèrent difficiles, voire impossibles, à mettre en œuvre dans « la vraie vie ».
Le sujet est en effet éminemment politique et revient aujourd’hui à faire peser sur les organismes privés comme publics une responsabilité qui incombe en réalité aux pouvoirs étatiques. Seuls les États peuvent résoudre cette problématique, et ce, à un niveau international. En attendant, elle fait perdre un temps considérable et souvent illusoire aux délégués à la protection des données et aux organismes qu’ils conseillent…
« Ce débat dépasse les simples enjeux opérationnels ou juridiques. Il s’agit d’un véritable défi politique et diplomatique qui appelle une réponse à la hauteur des enjeux transatlantiques », conclut Florence Gaullier.
_______________
À propos de l’AFCDP - www.afcdp.net
L’AFCDP, créée dès 2004, regroupe plus de 6 000 professionnels de la conformité au RGPD et à la Loi Informatique & Libertés – dont les Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer).
Si l’AFCDP est l’association représentative des DPD, elle rassemble largement. Au-delà des professionnels de la protection des données et des DPD désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.
Contact Presse : Maëlle Garrido, NASKAS RP, Relations Presse, 06 12 70 77 30,
- Transferts de données personnelles vers les États-Unis : le Data Privacy Framework sous pression juridique et politique
- « SIMPLIFICATION » DU RGPD : l’AFCDP appelle les Co législateurs européens à ne pas adopter le texte proposé par la Commission
- L’AFCDP vous présente la 15e édition de son Baromètre trimestriel
- Portes dérobées dans les messageries chiffrées : l’AFCDP alerte sur les risques
- L’AFCDP vous présente la 14e édition de son Baromètre trimestriel
- L’AFCDP vous présente la 13ème édition de son Baromètre trimestriel
- Mise à jour majeure du dossier technique du CLUSIF sur le traitement des données de santé avec la participation de l’AFCDP. Un outil essentiel pour les DPO et RSSI
- L’AFCDP vous présente la 12ème édition de son Baromètre trimestriel
- La dernière étude du ministère du Travail réalisée par l’AFPA - 2024
- L’AFCDP vous présente la 11ème édition de son Baromètre trimestriel
- L’AFCDP vous présente la 10ème édition de son Baromètre trimestriel
- L’Engagement Numérique des Parlementaires français
- Données personnelles : publication de l’Index AFCDP 2024 du Droit d’accès
- L’AFCDP vous présente la 9ème édition de son Baromètre trimestriel
- L’AFCDP poursuit son engagement pour accompagner les DPO dans leur quotidien
- L’AFCDP vous présente la 8ème édition de son Baromètre trimestriel
- L’AFCDP vous présente la 7ème édition de son Baromètre trimestriel
- Données personnelles : publication de l’Index AFCDP 2023 du Droit d’accès
- La dernière étude du ministère du Travail réalisée par l’AFPA, avec le soutien de la CNIL, de l’AFCDP et de l’ISEP pointe d’importants besoins de formation dans le métier de DPO
- L’AFCDP vous présente la 6ème édition de son Baromètre trimestriel
- Sanction de la CNIL à l’encontre d’ACCOR : une décision riche d’enseignements pour les Délégués à la protection des données
- La dernière étude du ministère du Travail réalisée par l’AFPA
- L’AFCDP vous présente la 5ème édition de son Baromètre trimestriel
- Google Analytics : 1ères mises en demeure de la CNIL
- L’AFCDP vous présente la 4ème édition de son Baromètre trimestriel
- Données personnelles : publication de l’Index AFCDP 2022 du Droit d’accès
- L’AFCDP dévoile les préoccupations des DPO liées aux outils collaboratifs
- Le RGPD a-t-il été efficace pour encadrer le recours aux données personnelles pour la gestion de la crise sanitaire en Europe ?
- Union Européenne : Qui veut la peau du RGPD ?
- « Pass Sanitaire » : Les Délégués à la protection des données de l’AFCDP témoignent
- L’AFCDP vous présente la 2ème édition de son Baromètre trimestriel
- Les Délégués à la protection des données de l’AFCDP tiennent leur Assemblée générale et renouvellent leur Conseil d’administration
- Nouvelles clauses contractuelles types de la Commission européenne : les Délégués à la protection des données n’y trouvent pas leur compte
- Suites des affaires Schrems : l’AFCDP satisfaite par une résolution du Parlement européen
- L’AFCDP vous présente la 1ère édition de son Baromètre trimestriel
- Programme de contrôles de la CNIL pour 2021 : l’AFCDP recommande des actions prioritaires
- GAIA-X, un outil contre le Privacy Shield ?
- Données personnelles : publication de l’Index AFCDP 2021 du Droit d’accès
- Le RGPD a-t-il été efficace pour encadrer le recours aux données ...
- Amazon, Google : des sanctions lourdes pour dépôt de cookies publicitaires sans consentement préalable et sans information satisfaisante
- La nouvelle étude du Ministère du Travail réalisée par l’AFPA avec la CNIL et l’AFCDP confirme l’essor du métier de DPO
- L’AFCDP accueille avec satisfaction et prudence les clarifications du Paquet « recommandations cookies » de la CNIL
- L’AFCDP partage les sujets de préoccupation principaux des DPO pendant la crise COVID-19
- « Charte des contrôles de la CNIL » : l’AFCDP accueille avec satisfaction un document attendu
- « Le métier de Délégué à la protection des données un an après » : premiers résultats de l’étude du ministère du Travail
- L’AFCDP alerte sur l’utilisation non maîtrisée du « reCAPTCHA » de Google
- Invalidation du « Privacy shield » : l’AFCDP alerte les entreprises et souhaite une position claire des « CNIL » européennes
- Les DPD/DPO de l’AFCDP mettent en garde contre la tentation du « cookie wall »
- RGPD : après deux années d’application, l’AFCDP réagit au premier bilan de la Commission européenne
- Lutte contre le Covid-19 : entre l’adoption d’outils numériques et la protection des données personnelles, un équilibre à trouver
- COVID-19 : L’avis de l’AFCDP sur le projet de décret encadrant les systèmes d’information mis en œuvre pour le suivi des malades
- COVID-19/StopCovid : l’AFCDP appuie la position de la CNIL - 27 avril 2020
- COVID-19 : quel impact sur la protection des données ? 25 mars 2020
- Données personnelles - Index AFCDP 2020 du Droit d’accès
- Observatoire du Métier de DPO
- Le tome 3 de la collection « la bibliothèque du DPO » de l’AFCDP est sorti !
- L’AFCDP offre de nouvelles « illustrations RGPD » aux DPO
- « Nous sommes avant tout un réseau professionnel » - CIO Online, 29 mai 2019
- Croissance exponentielle de l'association des DPO
- Données personnelles - Index AFCDP 2019 du Droit d’accès
- L’association qui représente les DPO en hyper croissance
- Le CIL est mort, vive le DPO !
- Quels scenarii après le vote de la loi « Informatique et Libertés » dans sa troisième version ?
- L’AFCDP offre des « illustrations RGPD » à ses adhérents
- L’AFCDP publie une Charte de Déontologie des DPO
- 2018
- L’AFCDP ouvre une « Place de marché RGPD »
- RGPD : l’AFCDP présente au sein du groupe d’experts de la Commission Européenne
- A J-326 de la mise en oeuvre du RGPD, Nouveau CA, nouveau bureau à l’AFCDP
- L’AFCDP crée un Job board dédié aux DPO
- Les associations européennes de DPO lancent un appel pour éviter que la profession ne se sclérose sur les seuls profils juridiques
- 23 janvier 2017, les Echos Business :...
- Index AFCDP 2017 du Droit d’accès : nouvelle déception
- L’AFCDP démocratise l’accès au nouveau règlement en publiant une version commentée et annotée
- Le Règlement européen s’appliquera dans deux ans, jour pour jour
- "Nous avons tout intérêt à ce que la plupart d’entre vous soient confirmés en tant que DPO" - Edouard Geffray, Secrétaire général de la CNIL
- Revue de presse 2016
- Le CIL bientôt quasiment obligatoire : l’AFCDP demande une clause "du grand père"
- L’AFCDP publie son premier livre : "Correspondant Informatique et Libertés : bien plus qu’un métier"
- Année 2015 - Vie privée/Données personnelles
- Index AFCDP 2015 du Droit d’accès : les résultats plafonnent 624
- L’AFCDP endosse la Déclaration du G29
- La Presse parle de l'AFCDP et du CIL 593
- Droit d’accès : L’index AFCDP 2014 marque une nette amélioration
- L’AFCDP publie un "Guide pratique du CIL pour l’accompagnement d’un projet de gestion de relation client (CRM)"
- Protection de la vie privée : Où en est le projet de Règlement européen ?
- Propositions de textes alternatifs au projet de Règlement européen
- La Presse parle de l’AFCDP et du CIL
- Index AFCDP 2013 du Droit d’accès
- Analyse comparée des « CIL » européens
- Correspondants Informatique et Libertés : Gardiens de la vie privée en Europe, en entreprise et dans les collectivités !
- La Presse parle de l'AFCDP et du CIL 517
- Le nouveau texte européen doit renforcer les délégués à la protection des données !
- Le rôle du CIL est essentiel pour la défense des droits et libertés à l’heure numérique
- Très forte croissance de l’association des CIL
- Autres articles 437
- Articles 2011 concernant le CIL ou l'AFCDP
- Révision de la Directive européenne pour la protection des données personnelles : la Commission européenne envisage de rendre obligatoire la désignation du CIL
- Exposition de données personnelles : L’AFCDP et Zataz.com créent le programme "Alerte CIL"
- L’AFCDP publie son premier Index du Droit d’accès
- Autres articles 282
- Articles 2010 AFCDP et CIL
- Le CIL bientôt obligatoire ?
- Du sang neuf à l’AFCDP
- Généralisation des Correspondants Informatique et Libertés : l’AFCDP s’en félicite
- L’AFCDP créé un Groupe "Flux Transfrontières"
- L’AFCDP et l’IAPP se rapprochent
- Articles 2009 concernant directement le CIL ou l'AFCDP
- Autres articles 2009
- L’AFCDP publie un Référentiel des Dispositifs d’Anonymisation
- Autres sujets 112
- Articles 2008 concernant directement le CIL et/ou l’AFCDP
- Anonymisation de Données : L’AFCDP aide les Correspondants Informatique & Libertés à réduire les risques encourus par les responsables de traitement
- Droits & Devoirs des Administrateurs Techniques
- Articles 2007 concernant directement le CIL et/ou l’AFCDP
- Autres sujets 61
- Autres sujets 59
- "Faut-il désigner un "Correspondant Informatique et Libertés" ?"
- Sur le CIL et/ou l’AFCDP 65
- 10 idées fausses à propos du DPO
- 15 bonnes raisons de désigner un DPO
- Sur le CIL et/ou l’AFCDP 64
- Autres sujets 58
- Sur le CIL et/ou l’AFCDP 62