TL;DR
- L’arrêt Trump v. Slaughter (Cour suprême des États-Unis, 29 juin 2026), qui abroge Humphrey’s Executor, fragilise juridiquement le socle du Data Privacy Framework (DPF) : l’indépendance de la Federal Trade Commission (FTC), du Privacy and Civil Liberties Oversight Board (PCLOB) et, par ricochet, de la Data Protection Review Court (DPRC). À ce jour pourtant, ni la Commission européenne ni le Conseil fédéral n’ont retiré leur décision d’adéquation : le EU-US DPF et le Swiss-US DPF demeurent en vigueur. La thèse selon laquelle « l’adéquation américaine n’a plus de sens » se défend sur le fond, mais se heurte à des contre-arguments qui expliquent l’obstination des autorités.
- Localiser les données en Europe (EU Data Boundary, cloud souverain) réduit fortement le risque sans l’éliminer : tant que le fournisseur reste sous contrôle américain, le CLOUD Act et d’autres législations américaines peuvent contraindre la société mère à produire des données stockées dans l’UE ou en Suisse. La localisation relève donc de l’atténuation du risque ; elle ne referme pas la question juridique du transfert.
- Pour une entité suisse, la posture raisonnable ne se résume ni au « tout adéquation » ni au « tout localisation ». Elle consiste en une architecture à plusieurs couches : le DPF quand il s’applique, les clauses contractuelles types (CCT) accompagnées d’un Transfer Impact Assessment (TIA) en repli documenté, un chiffrement dont les clés restent détenues par le client, et la localisation UE/CH pour les données les plus sensibles.
Reprenons la chronologie avant d’en tirer les conséquences juridiques.
Rétrospective des événements
Trump v. Slaughter
Dissipons d’emblée un malentendu : il ne s’agit pas d’une décision de protection des données, mais de droit constitutionnel administratif. Le 29 juin 2026, la Cour suprême des États-Unis, par six voix contre trois (opinion du Chief Justice Roberts), a jugé que la protection contre le licenciement for cause des commissaires de la Federal Trade Commission (FTC) heurte la séparation des pouvoirs, et a explicitement abrogé le précédent Humphrey’s Executor v. United States (1935). L’affaire trouve son origine dans le licenciement, en mars 2025, des commissaires démocrates Rebecca Slaughter et Alvaro Bedoya. La formule de Roberts ne laisse guère de place au doute : « If anything more is left of Humphrey’s, we overrule it. » La Cour a toutefois expressément réservé le cas de la Réserve fédérale et des non-Article III courts1. La décision est définitive (Trump v. Slaughter, No. 25-332, 609 U.S. (2026) ; voir aussi CBS News et NPR).
En quoi le DPF est-il touché ?
Le DPF repose sur l’Executive Order 14086 (EO 14086) du 7 octobre 2022, qui institue un mécanisme de recours à deux niveaux : d’abord le Civil Liberties Protection Officer (CLPO) rattaché à l’Office of the Director of National Intelligence (ODNI), ensuite la Data Protection Review Court (DPRC) logée au sein du Department of Justice. Le Privacy and Civil Liberties Oversight Board (PCLOB), organe de surveillance bipartite composé de cinq membres, contrôle les activités de renseignement au regard de l’EO 14086. Or, le 27 janvier 2025, l’administration Trump a licencié les trois membres démocrates du PCLOB, le privant de son quorum de trois membres et le rendant incapable d’adopter de nouveaux rapports (Lawfare ; CDT ; Just Security).
Le raisonnement doctrinal se déroule alors en cascade. Si Humphrey’s Executor tombe, les garanties d’indépendance des membres du PCLOB vacillent ; et l’indépendance de la DPRC, créée par un simple executive order révocable, vacille plus encore. C’est précisément ce socle d’indépendance que l’EO 14086 était censé apporter, et que la Cour de justice de l’Union européenne (CJUE) exige au titre de l’art. 47 de la Charte des droits fondamentaux de l’Union européenne (droit à un recours effectif).
Où en est le contentieux autour du DPF ?
Le 3 septembre 2025, le Tribunal de l’Union européenne (affaire T-553/23, Latombe v. Commission, dixième chambre élargie) a rejeté le recours en annulation du DPF, confirmant que les États-Unis assuraient un niveau de protection adéquat à la date d’adoption de la décision. Le Tribunal a jugé la DPRC suffisamment indépendante et rappelé que Schrems II n’exige pas d’autorisation préalable pour la collecte de données en masse, mais un contrôle juridictionnel ex post. Point capital : il s’est limité à la situation de droit et de fait telle qu’elle existait à la date d’adoption de la décision (juillet 2023), laissant explicitement la Commission tenue à un contrôle continu. Latombe pourrait être le fossoyeur du DPF puisqu’il a formé un pourvoi devant la CJUE le 31 octobre 2025 (affaire C-703/25 P, actuellement pendante). Séparément, noyb/Max Schrems a annoncé préparer, après Slaughter, un recours plus large (« Schrems III ») ; à ce jour, ce recours est annoncé sans être encore déposé.
Comment les institutions ont-elles réagi ?
Après le 29 juin 2026, la Commission européenne s’est bornée à des déclarations d’attente. Fin juin 2026, noyb a adressé une lettre formelle à la Commission, Schrems y déclarant : « Given that there are no independent authorities in the US anymore, we call on the European Commission to orderly withdraw the adequacy decision on the US ». À ce stade, la Commission n’a ni suspendu ni retiré l’adéquation. En avril 2025 déjà, répondant à une question parlementaire (E-000540/2025), elle avait refusé de suspendre le DPF, au motif que l’EO 14086 demeurait en vigueur.
La localisation des données en Europe : une réponse partielle
Microsoft a achevé son « EU Data Boundary » le 26 février 2025 (Phase 3). Dans son annonce signée par Julie Brill (Corporate Vice President and Chief Privacy Officer) et Paul Lorimer (Corporate Vice President, Microsoft 365), l’entreprise indique que ses clients européens, commerciaux et du secteur public, peuvent désormais « store and process their customer data and pseudonymized personal data for Microsoft core cloud services (…) within the EU and EFTA regions », données de support professionnel comprises. Des transferts limités vers les États-Unis subsistent néanmoins (sécurité globale, certains services).
Surtout, le 10 juin 2025, devant le Sénat français, le directeur des affaires publiques et juridiques de Microsoft France, Anton Carniaux, a répondu sous serment qu’il ne pouvait pas garantir que les données de citoyens français ne seraient jamais transmises aux autorités américaines (The Register ; Forbes). En effet, le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) permet aux autorités américaines de contraindre une entreprise soumise à leur juridiction à produire des données « regardless of whether such data is located within or outside the United States » (voir le DOJ white paper, via Convotis et mon article d’explication de 2020). La localisation atténue donc le risque ; elle ne le supprime pas tant que le fournisseur reste sous contrôle américain.
Le Swiss DPF
La Suisse a reconnu le Swiss-US DPF par décision du Conseil fédéral du 14 août 2024, via une modification de l’annexe 1 de l’ordonnance sur la protection des données (OPDo) entrée en vigueur le 15 septembre 2024 (RO 2024 435), fondée sur l’art. 16 al. 1 de la loi fédérale sur la protection des données (LPD). Il s’agit bien d’un acte du Conseil fédéral, et non du Préposé fédéral à la protection des données et à la transparence (PFPDT). Le préalable était double : l’évaluation d’adéquation par l’Office fédéral de la justice (30 avril 2024), puis la désignation de la Suisse comme qualifying state par l’Attorney General américain le 7 juin 2024 (Lenz & Staehelin). Le PFPDT, quant à lui, a « pris acte » du nouveau cadre. La décision suisse prévoit un réexamen régulier et une révocation possible en cas de dysfonctionnement. À ce jour, le Swiss-US DPF reste opérationnel.
Analyse du cadre applicable aux transferts vers les États-Unis
Le cadre juridique : l’UE et la Suisse en parallèle
Voici l’ossature. Sous le Règlement général sur la protection des données (RGPD), le transfert de données personnelles hors de l’Espace économique européen (EEE) n’est licite que s’il repose sur une décision d’adéquation (art. 45 RGPD), sur des garanties appropriées telles que les clauses contractuelles types (art. 46 RGPD) ou sur une dérogation (art. 49 RGPD). Le droit suisse retient une architecture parallèle : l’art. 16 al. 1 LPD subordonne la communication à l’étranger à un niveau de protection adéquat, constaté par le Conseil fédéral à l’annexe 1 OPDo ; à défaut, l’art. 16 al. 2 LPD exige des garanties semblables à celles du RGPD, et l’art. 17 LPD ménage des exceptions comparables. La violation intentionnelle de ces règles est pénalement sanctionnée (art. 61 let. a LPD : amende jusqu’à 250 000 CHF, visant la personne physique responsable et non l’entreprise).
La logique des deux ordres juridiques se recoupe : l’adéquation dispense de garanties supplémentaires ; son absence renvoie au régime, plus exigeant, des clauses contractuelles types (CCT) assorties d’un Transfer Impact Assessment (TIA).
Schrems II, les CCT et les TIA
Dans l’arrêt Schrems II (C-311/18, 16 juillet 2020), la CJUE a invalidé le Privacy Shield en raison d’une surveillance américaine (fondée notamment sur la section 702 du Foreign Intelligence Surveillance Act, FISA 702) jugée disproportionnée et dépourvue de recours effectif. Elle a toutefois maintenu la validité des CCT, à la condition que l’exportateur :
- vérifie au cas par cas si le pays destinataire offre une protection essentiellement équivalente à celle garantie dans l’UE ; et
- adopte, si nécessaire, des mesures supplémentaires.
C’est l’acte de naissance du TIA. Les Recommandations 01/2020 de l’EDPB (version finale du 18 juin 2021) en déclinent le processus en six étapes et privilégient les mesures techniques (chiffrement, pseudonymisation) sur les mesures contractuelles ou organisationnelles, souvent jugées insuffisantes à elles seules : un contrat, en effet, ne lie pas les autorités d’un État tiers.
Ce socle demeure applicable aujourd’hui. En pratique, un retour aux CCT accompagnées d’un TIA, en cas de chute du DPF, serait lourd à porter : c’est précisément l’argument des partisans du maintien de l’adéquation. En France, la CNIL a renforcé le 31 janvier 2025 ses attentes en la matière, exigeant une évaluation détaillée des risques du pays tiers et des mesures supplémentaires documentées.
L’adéquation américaine a-t-elle encore un sens ?
Certains commentateurs estiment que vouloir maintenir coûte que coûte une adéquation n’a plus de sens, à l’aube d’un possible troisième échec. Ils avancent les arguments suivants.
- Le socle d’indépendance est juridiquement compromis. L’adéquation repose sur des garanties d’indépendance (la FTC pour le volet commercial, le PCLOB et la DPRC pour le volet renseignement). Or Trump v. Slaughter établit que le Président peut révoquer à discrétion les responsables des agences exerçant un pouvoir exécutif. La DPRC, née d’un simple executive order, est plus vulnérable encore : on peut la modifier ou la supprimer d’un trait de plume.
- Le PCLOB est de facto paralysé. Privé de quorum depuis le 27 janvier 2025, il ne peut adopter le rapport sur la mise en œuvre de l’EO 14086 que la Commission européenne disait, dans sa revue du 9 octobre 2024, vouloir surveiller de près. La supervision indépendante invoquée dans la décision d’adéquation n’existe plus dans les faits.
- Le problème est structurel et récurrent. Le DPF constitue la troisième tentative, après le Safe Harbor (invalidé en 2015) et le Privacy Shield (invalidé en 2020). noyb soutient que l’EO 14086 recopie la PPD-28 déjà rejetée, et que la « proportionnalité » à l’américaine ne recoupe pas celle de la Charte.
- La localisation des données dans l’UE devient une alternative crédible. De plus en plus de fournisseurs proposent un stockage et un traitement dans l’UE ; dès lors, l’argument de la nécessité économique du transfert s’affaiblit pour certains usages.
Les contre-arguments en faveur du maintien
Ces arguments, aussi solides soient-ils, se heurtent à quelques réalités têtues.
- L’adéquation offre une base juridique simple et gratuite. Sa disparition renverrait des milliers d’entreprises vers les CCT et les TIA, patchwork plus lourd et juridiquement fragile. noyb souligne d’ailleurs que les CCT reposent elles aussi sur un TIA invoquant les mêmes organes américains désormais fragilisés (PCLOB, DPRC) : leur chute logique suivrait donc celle du DPF. Le retour aux CCT n’offre pas un refuge sûr.
- Selon la US Chamber of Commerce, « the data transfer relationship between the U.S. and EU is worth about $7.1 trillion. Global data flows now contribute more to global growth than global trade in goods ». Les analyses de DIGITALEUROPE et de la Chamber établissent que plus de 90 % des entreprises établies dans l’UE échangent des données avec les États-Unis (dont 70 % de PME). Une rupture emporterait un coût macroéconomique considérable.
- L’arrêt Latombe (3 septembre 2025) confirme, en première instance, que le dispositif satisfait au test d’équivalence essentielle. Tant que la CJUE n’a pas statué sur le pourvoi (C-703/25 P) ou sur un futur renvoi « Schrems III », le DPF demeure juridiquement valide.
- Certaines fonctions des fournisseurs cloud (sécurité globale, support, IA, analytique) supposent des flux ou des accès transfrontaliers. Une localisation intégrale se révèle rarement réaliste et ne règle pas entièrement la question du contrôle américain.
- La Commission peut suspendre, amender ou retirer l’adéquation ; le maintien assorti d’une surveillance constitue l’option intermédiaire qu’elle privilégie explicitement depuis avril 2025. L’autorité suédoise (5 mars 2025) a du reste jugé que l’absence de quorum du PCLOB n’invalidait pas immédiatement l’adéquation.
La Suisse, dépendante de fait du sort du DPF européen
La décision d’adéquation suisse est autonome sur le plan formel. Dans les faits, la doctrine suisse reconnaît que le sort du Swiss-US DPF reste largement corrélé à celui de son homologue européen : si la CJUE invalide le DPF, il est fort probable que le CH-US DPF s’en trouve affecté. Le Conseil fédéral a d’ailleurs suivi l’UE et prévu un réexamen régulier assorti d’une possibilité de révocation. La doctrine recommande de conserver, en repli, les CCT préexistantes.
La localisation des données : atténuer le risque sans conférer d’immunité
Les offres « EU Data Boundary » ou « sovereign cloud », de même que le Cloud Sovereignty Framework de l’UE (octobre 2025), répondent à une demande politique de souveraineté. Encore faut-il distinguer la résidence des données de leur souveraineté : le lieu de stockage (résidence) ne neutralise pas le droit auquel le fournisseur reste soumis (juridiction). Comme le résume le CEO de Civo, « with data residency, the data can be subject to the laws of a third country depending on where the cloud provider is headquartered ». Tant que la société mère est américaine, le CLOUD Act et d’autres lois américaines s’appliquent ; l’aveu de Microsoft France devant le Sénat français, le 10 juin 2025, l’a confirmé publiquement.
Les seules mesures qui réduisent réellement l’exposition sont techniques : chiffrement avec des clés détenues et gérées par le client, hors de portée du fournisseur (BYOK/HYOK), confidential computing, ou recours à des fournisseurs sans attache avec l’économie américaine (avec les limites de maturité et de concentration que cela suppose). Un précédent illustre le risque de « capture » juridictionnelle : en novembre 2025, le rachat du fournisseur néerlandais Solvinity par l’américain Kyndryl a placé, du jour au lendemain, un choix « souverain » sous juridiction américaine.
Recommandations
Sur cette base, et pour anticiper une probable troisième annulation de la décision d’adéquation, voici quelques recommandations à l’intention des entités suisses et européennes.
- Cartographier sans tarder tous les transferts vers les États-Unis et tous les accès aux données depuis les États-Unis (support, télémétrie et sous-traitance en cascade compris). Pour chaque flux, identifier la base juridique : DPF (en vérifiant la certification active du destinataire sur dataprivacyframework.gov ainsi que le périmètre RH/non-RH), CCT accompagnées d’un TIA, ou dérogation. S’appuyer exclusivement sur le DPF n’est pas raisonnable : mieux vaut maintenir des CCT en repli dans les contrats.
- Réviser les TIA pour y intégrer explicitement Trump v. Slaughter et la paralysie du PCLOB comme facteurs aggravants. Documenter la conclusion : pour les données non sensibles, présentant un faible intérêt pour le renseignement américain, le risque résiduel peut rester acceptable ; pour les données sensibles (santé, données d’assurés, données de sinistres), exiger des mesures techniques (chiffrement à clés client, pseudonymisation avant transfert).
- Pour les charges de travail les plus sensibles et les données couvertes par un secret professionnel ou de fonction, privilégier la localisation UE/CH combinée à un contrôle des clés de chiffrement, et évaluer des fournisseurs locaux et souverains.
- Préparer un plan de sortie (exit strategy) du DPF et des contrats conclus avec des fournisseurs américains. Basculer d’une posture « DPF, avec repli sur les CCT » vers une posture « localisation et chiffrement client par défaut » si l’un des déclencheurs suivants se réalise, ou si les autorités signalent un doute formel sur l’adéquation :
- une décision de la Commission ou du Conseil fédéral de suspendre ou de retirer l’adéquation ;
- l’arrêt de la CJUE sur le pourvoi Latombe (C-703/25 P) ou un futur renvoi « Schrems III » ;
- le sort de FISA 702 (qui a expiré en juin 2026) et toute modification de l’EO 14086 ;
- toute prise de position formelle des autorités suisses ou européennes sur le sujet.
La Constitution des États-Unis établit le pouvoir judiciaire fédéral en vertu de l’article III, qui crée des tribunaux dont les juges exercent leurs fonctions « durant leur bonne conduite » (essentiellement un mandat à vie) et dont le traitement « ne sera pas diminué » pendant leur service. Il s’agit des tribunaux constitutionnels (la Cour suprême, les cours d’appel et les tribunaux de district fédéraux). Les tribunaux ne relevant pas de l’article III sont des tribunaux fédéraux créés par le Congrès en vertu d’autres pouvoirs constitutionnels (généralement le pouvoir législatif de l’article I, ou le pouvoir territorial de l’article IV). Leurs juges ne bénéficient pas d’un mandat à vie ni de la protection de leur rémunération. Ils existent parce que le Congrès a le pouvoir de créer certains organes judiciaires en dehors du cadre de l’article III. ↩︎
