Glossaire · Arrêt de la Cour de l'UE Schrems II
Arrêt de 2020 de la Cour de justice de l'Union européenne qui a invalidé le Privacy Shield UE-États-Unis, rendant les transferts de données transatlantiques juridiquement précaires pour les entreprises européennes.
## Ce que Schrems II a réellement jugé
Le 16 juillet 2020, la Cour de justice de l'Union européenne (CJUE) a rendu son arrêt dans l'affaire C-311/18, connue sous le nom de Schrems II. L'arrêt a fait deux choses :
1. **Invalidé le Privacy Shield UE-États-Unis** — le cadre qui avait permis aux entreprises américaines de s'auto-certifier conformes à des standards de protection des données équivalents au RGPD
2. **Renforcé les exigences pour les clauses contractuelles types (CCT)** — le mécanisme contractuel encore autorisé pour les transferts de données transatlantiques
L'affaire a été portée par Max Schrems, l'avocat autrichien spécialisé dans la vie privée qui avait déjà invalidé le prédécesseur du Privacy Shield (Safe Harbor) dans Schrems I (2015).
## Pourquoi le Privacy Shield a été invalidé
La CJUE a identifié deux problèmes fondamentaux dans les protections juridiques américaines pour les données européennes :
1. **Les programmes de surveillance américains** (notamment FISA section 702 et le décret 12333) permettent une surveillance massive des ressortissants étrangers sans contrôle judiciaire équivalent aux standards européens
2. **L'absence de recours effectif** pour les citoyens européens dont les données ont fait l'objet d'une surveillance américaine — pas de recours judiciaire comparable à ce qu'exige le RGPD
La cour a conclu que les protections juridiques américaines tombent en deçà du standard d'« essentiellement équivalent » qu'exige le RGPD pour les transferts internationaux.
## Ce que cela signifie en pratique
Après Schrems II, les entreprises européennes envoyant des données personnelles aux États-Unis ont trois options :
**1. Utiliser les clauses contractuelles types (CCT) avec garanties supplémentaires.** Les CCT restent valables mais la charge incombe à l'exportateur de données (l'entreprise européenne) d'évaluer si les protections juridiques américaines sont adéquates dans leur cas spécifique. Cette évaluation de l'impact des transferts (TIA) est opérationnellement complexe.
**2. Utiliser uniquement un traitement résident dans l'UE.** Éviter entièrement le transfert transatlantique en choisissant des fournisseurs établis dans l'UE sans liens avec une société américaine. C'est la protection juridique la plus solide.
**3. Utiliser le Cadre de protection des données UE-États-Unis (DPF).** Adopté en juillet 2023, le DPF remplace le Privacy Shield avec des protections renforcées. Des défenseurs de la vie privée, dont Max Schrems, ont déjà annoncé leur intention de contester le DPF en justice (Schrems III).
Pour la plupart des entreprises européennes, l'option 2 (traitement résident dans l'UE) offre la posture juridique la plus propre. Les options 1 et 3 fonctionnent mais comportent une incertitude juridique permanente.
## Ce que pourrait apporter « Schrems III »
Le Cadre de protection des données UE-États-Unis (DPF), en vigueur depuis 2023, est la base actuelle des transferts de données transatlantiques. Principaux changements par rapport au Privacy Shield :
- Une nouvelle « Cour de révision de la protection des données » assure un contrôle judiciaire de l'accès du renseignement américain aux données européennes
- Limitations plus strictes de la collecte massive de données
- Engagements spécifiques sur la proportionnalité et la nécessité
La contestation juridique déjà déposée par NOYB (None Of Your Business — l'organisation de Schrems) soutient que ces réformes restent en deçà du standard d'« essentiellement équivalent » du RGPD. Un futur arrêt Schrems III pourrait invalider le DPF, ramenant le paysage des transferts transatlantiques à l'incertitude post-Schrems-II.
Calendrier : un arrêt de la CJUE sur le DPF pourrait intervenir en 2026-2027.
## Pourquoi cela compte dans le choix des outils
Pour les entreprises européennes prenant des décisions sur leurs fournisseurs en 2026 :
- **Le DPF est actuellement valide** mais juridiquement incertain
- **Les CCT restent un repli plus sûr** mais nécessitent un travail continu de conformité TIA
- **Les fournisseurs résidant dans l'UE** évitent entièrement la question du transfert
Pour les cas d'usage sensibles (données de santé, données des employés, données clients de populations vulnérables), la voie prudente consiste à choisir dès le départ des fournisseurs résidant dans l'UE. Pour les charges de travail courantes, les fournisseurs américains sous DPF + CCT restent praticables mais doivent être révisés périodiquement.
Schrems II n'est pas un événement ponctuel — c'est une tension juridique permanente qui resurgit périodiquement. Le traiter comme un contexte de fond plutôt que comme une crise du mois est l'approche opérationnellement saine.
Cela vous a-t-il été utile ?
Merci pour votre retour !