Schrems II.

Schrems II est l'arrêt de la CJUE de 2020 qui a invalidé le Privacy Shield UE-États-Unis et introduit l'obligation de Transfer Impact Assessment. Tout transfert vers un pays tiers nécessite désormais une analyse documentée du droit national en matière de surveillance et des mesures supplémentaires. Remplacé en pratique par le EU-US Data Privacy Framework (2023), mais la discipline du TIA est restée.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

La vision de Cyber Academy

Schrems II est l'arrêt de la CJUE de 2020 qui a invalidé le Privacy Shield UE-États-Unis et introduit l'obligation de Transfer Impact Assessment. Tout transfert vers un pays tiers nécessite désormais une analyse documentée du droit national en matière de surveillance et des mesures supplémentaires. Remplacé en pratique par le EU-US Data Privacy Framework (2023), mais la discipline du TIA est restée.

Ce que l'arrêt a réellement tranché

Schrems II est l'arrêt de la Cour de justice de l'Union européenne, rendu en juillet 2020 dans l'affaire Data Protection Commissioner v Facebook Ireland et Maximillian Schrems, qui a redéfini la manière dont les données personnelles quittent l'Espace économique européen. Deux choses se sont produites en même temps.

Premièrement, la Cour a invalidé le Privacy Shield UE-États-Unis, l'accord d'adéquation qui avait permis à des milliers d'entreprises de transférer des données vers des importateurs américains certifiés, parce que le droit américain de la surveillance n'offrait pas aux personnes de l'Union une protection essentiellement équivalente à celle garantie au sein de l'Union, et ne leur donnait aucune voie de recours juridictionnelle effective. Deuxièmement, et c'est la partie qui perdure, la Cour n'a pas annulé les clauses contractuelles types. Elle les a maintenues valides mais y a ajouté une condition : l'exportateur ne peut pas se contenter de signer les clauses et s'en désintéresser.

Cette condition est au cœur du sujet. La Cour a affirmé que les exportateurs de données doivent vérifier, au cas par cas, si le droit et la pratique du pays de destination permettent réellement à l'importateur de respecter les garanties contractuelles. Lorsque ce n'est pas le cas, l'exportateur doit ajouter des mesures supplémentaires ou cesser le transfert. Le contrat seul ne suffit pas si un gouvernement étranger peut imposer un accès d'une manière que les clauses ne peuvent empêcher.

L'analyse d'impact du transfert en pratique

La discipline créée par Schrems II est l'analyse d'impact du transfert, ou TIA. C'est l'analyse documentée qui transforme l'arrêt en un contrôle reproductible. Un praticien qui mène une TIA suit une séquence reconnaissable plutôt qu'un avis juridique ponctuel.

  • Cartographier le transfert. Identifier quelles données vont où, les catégories de personnes concernées, l'importateur, tout transfert ultérieur, et le mécanisme juridique sur lequel on s'appuie, généralement les SCC.
  • Évaluer le droit et la pratique de destination. Examiner le régime de surveillance et d'accès gouvernemental dans le pays importateur et juger s'il compromet la protection que l'outil de transfert est censé fournir. C'est l'analyse du droit de la surveillance qu'a exigée la Cour.
  • Identifier les mesures supplémentaires. Lorsque le droit local pose problème, décider quelles garanties techniques, contractuelles ou organisationnelles additionnelles comblent l'écart. Un chiffrement robuste avec des clés détenues uniquement dans l'EEE, la pseudonymisation et le traitement fractionné sont les mesures techniques que les régulateurs citent le plus.
  • Documenter et décider. Consigner le raisonnement, conclure si le transfert peut se poursuivre, et définir un déclencheur de révision afin que l'évaluation soit réexaminée lorsque le droit ou l'accord change.

Où en est-on aujourd'hui

En 2023, la Commission européenne a adopté le Data Privacy Framework UE-États-Unis, une nouvelle décision d'adéquation qui, pour les organisations américaines certifiées, rétablit une voie de transfert des données sans TIA pour ce corridor spécifique. Il a été conçu pour répondre aux préoccupations relatives aux voies de recours et à la proportionnalité qui ont fait tomber le Privacy Shield, y compris un mécanisme de réexamen indépendant pour les personnes de l'Union. Ainsi, au quotidien, la brèche du Privacy Shield ouverte par Schrems II a été comblée pour les États-Unis, à condition que l'importateur soit certifié au titre du nouveau cadre et que le transfert reste dans son périmètre.

Ce qui n'a pas disparu, c'est la méthode plus large. Les transferts vers des pays sans décision d'adéquation reposent toujours sur les SCC ou d'autres outils de l'article 46, et chacun d'eux nécessite encore une TIA. Les orientations du Comité européen de la protection des données sur les mesures supplémentaires demeurent le guide pratique. La bonne façon de lire Schrems II en 2026 n'est donc pas comme une histoire de Privacy Shield révolue, mais comme le moment où le risque de transfert est devenu quelque chose que l'on évalue et que l'on documente, transfert par transfert, plutôt que d'écarter en cochant une case d'adéquation.

Deux notions voisines méritent d'être distinguées. Une décision d'adéquation, c'est la Commission affirmant qu'un pays entier offre une protection équivalente, ce qui supprime le besoin de garanties additionnelles. Les SCC sont un outil contractuel que l'on utilise en l'absence de décision d'adéquation, et Schrems II est précisément l'arrêt qui a dit que les SCC s'accompagnent du devoir d'une TIA.

Frequently asked questions

01Schrems II a-t-il interdit les transferts de données vers les États-Unis ?

Non. Il a invalidé l'accord d'adéquation du Privacy Shield, mais les transferts pouvaient toujours se poursuivre au titre des SCC, assortis d'une analyse d'impact du transfert et de mesures supplémentaires. Depuis 2023, le Data Privacy Framework UE-États-Unis offre une nouvelle voie d'adéquation pour les importateurs américains certifiés.

02Les clauses contractuelles types sont-elles toujours valides après Schrems II ?

Oui. La Cour a confirmé les SCC. Ce qu'elle a ajouté, c'est un devoir de vérifier, au cas par cas, si le pays de destination permet réellement à l'importateur de s'y conformer, et d'ajouter des mesures supplémentaires ou de cesser le transfert lorsque ce n'est pas le cas.

03Qu'est-ce qu'une analyse d'impact du transfert ?

C'est l'analyse documentée que Schrems II a rendue nécessaire : cartographier le transfert, évaluer le droit de la surveillance et de l'accès gouvernemental de la destination, décider quelles mesures supplémentaires sont nécessaires, et consigner la conclusion. C'est désormais un contrôle standard dans tout transfert reposant sur les SCC.

04Le Data Privacy Framework UE-États-Unis rend-il Schrems II caduc ?

Pas pour l'obligation plus large. Le cadre rétablit une voie d'adéquation pour les organisations américaines certifiées, supprimant la TIA pour ce corridor spécifique, mais les transferts vers tout pays non adéquat nécessitent encore une TIA. La discipline d'évaluation créée par Schrems II reste en vigueur.

05Qu'est-ce qui compte comme mesure supplémentaire ?

Des garanties techniques, contractuelles ou organisationnelles qui comblent l'écart laissé par un droit de destination faible. Les régulateurs citent le plus souvent un chiffrement robuste avec des clés conservées dans l'EEE, la pseudonymisation et le traitement fractionné ou multipartite comme mesures techniques efficaces.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.