• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Adtechs & Martechs > Data privacy framework : vers une invalidation ?

Data privacy framework : vers une invalidation ?

En juillet 2023, le Data Privacy Framework entrait en vigueur pour encadrer à l’échelle européenne les flux transatlantiques de données personnelles. Sous la nouvelle administration américaine, cet accord semble menacé d’invalidation. mind Media a interrogé des juristes pour analyser les scénarios possibles, qui inquiètent le secteur adtech.

Par Chiara De Martino. Publié le 04 avril 2025 à 13h15 - Mis à jour le 04 avril 2025 à 15h27
  • Ressources

Le 23 janvier dernier, Max Schrems, fondateur de l’ONG autrichienne Noyb, alertait sur le risque d’invalidation du Data Privacy Framework (DPF), l’accord réglementant le transfert des données personnelles entre l’Union européenne et les États Unis. En cause : la nouvelle administration Trump, qui avait décidé de mettre fin au mandat de trois membres, démocrates, de la principale autorité garante de l’application du DPF aux Etats-Unis, le Privacy and Civil Liberties Oversight Board (PCLOB). En l’absence de membres remplaçants, le PCLOB ne peut plus ouvrir de nouvelles enquêtes, créant ainsi un vide juridique qui remet en question les bases de l’accord.

Dans son alerte, Max Schrems soulignait l’instabilité chronique du Data Privacy Framework, basé sur des décrets de l’ancien président américain Joe Biden, “pouvant être annulés en quelques secondes”, plutôt que sur une véritable loi. La crainte de l’invalidation du DPF est largement partagée par l’industrie de l’adtech, qui redoute une “situation de vulnérabilité totale” avec la “remise en cause de la légalité des transferts”, d’après Sirdata. Même analyse pour Thomas Adhumeau, chief privacy officer de Didomi, qui constate que “trois quarts des entreprises dans l’adtech sont américaines, et même quand ce n’est pas le cas, elles travaillent avec des cloud américains, qui sont moins chers et plus efficaces”.

ENQUÊTE – Pratiques anticoncurrentielles de Google : pourquoi marques et agences font profil bas – mind Media

De son côté, Pierre Devoize, deputy MD & head of public affairs d’Alliance Digitale, confirme que l’organisation professionnelle suit le sujet de près “via des discussions avec ses membres, français et européens, pour se poser des questions et se préparer” à une possible invalidation de l’accord. Si, à l’heure actuelle, Alliance Digitale ne s’est pas exprimée publiquement sur le sujet, cela s’explique notamment par le fait que l’organisation se sent plutôt “limitée dans son action” face à des enjeux politiques et juridiques “qui vont au-delà de notre influence”.

Safe Harbor et Privacy Shield : les ancêtres du DPF

Si le Data Privacy Framework venait à être invalidé, ce ne serait pas la première fois que le transfert des données personnelles entre l’Union européenne et les États-Unis se retrouverait dans une situation d’instabilité juridique. Le DPF est, en effet, le troisième accord de ce type. Le premier, le Safe Harbor, entre en vigueur en octobre 1998, et le deuxième, le Privacy Shield, en 2016. À chaque fois, ces décisions d’adéquation de la Commission ont été invalidées, respectivement en 2015 et en 2020, à la suite d’actions engagées auprès de la Cour de justice de l’Union européenne (CJUE) par Max Schrems dénonçant la non-conformité de ces accords au RGPD.

Ainsi, “de 2020 à 2023, pendant trois ans, il y a eu un flottement juridique en l’absence de décisions d’adéquation”, explique Julie Carel, avocate et partner chez Momentum Avocats. Ensuite, l’administration Biden s’est engagée dans une collaboration avec l’Union européenne afin de trouver un accord. Le président Joe Biden “a pris un certain nombre d’ordres exécutifs pour mettre en place un niveau de protection des données personnelles qui puisse être considéré comme équivalent à celui de l’Union européenne”, poursuit l’avocate. En juillet 2023, le Data Privacy Framework entre en vigueur, “sécurisant les entreprises qui échangent des données”.

ETUDE MIND MEDIA – Google Analytics a continué de perdre du terrain début 2024, mais à un rythme plus modéré – mind Media

Si l’accord était de nouveau invalidé, les conséquences pour les entreprises seraient considérables, selon Sirdata, avec la perturbation des services essentiels pour “de nombreuses entreprises européennes dépendant de solutions cloud et logiciels américaines”. C’est, par exemple, le cas du service Google Analytics, ainsi que “de l’ensemble des services américains, dans la mesure où il y a du tracking d’utilisateurs avec un objectif commercial”, explique Julien Trani, cofondateur et directeur général chez Sirdata. Face à un vide juridique, la principale crainte concernerait le risque accru de plaintes à l’encontre des sociétés européennes transférant leurs données vers les États-Unis.

Quels scénarios ?

Pour l’instant, “tant qu’il n’est pas annulé, le Data Privacy Framework reste valable”, souligne Julie Carel (Momentum Avocats), “donnant une forme de sécurité juridique pour les entreprises”. Toutefois, selon l’article 46 du RGPD, la Commission européenne est censée procéder à un examen régulier des conditions d’adéquation pour s’assurer que les exigences initiales de l’accord sont toujours respectées. Dans ce contexte, deux scénarios se profilent : soit la Commission va mener sa propre analyse pour décider de maintenir, ou non, cet accord, “soit une organisation extérieure à la Commission va engager une action afin de faire invalider l’accord auprès de la CJUE”. Pour l’instant, Max Schrems n’a pas encore engagé de recours contre le DPF. Il a toutefois précisé “surveiller l’accord de près”.

D’après Anca Caruntu, directrice des affaires publiques au sein du cabinet Samman, c’est avant tout la Commission européenne “qui va devoir analyser la situation actuelle et prendre des décisions”. Cependant, pour l’instant elle attend avant d’intervenir, pour essayer “d’établir un dialogue avec les nouvelles autorités américaines”.

Du point de vue de Valérie Chavanne, avocate et fondatrice du cabinet LegalUP Consulting, “le texte semble destiné à une annulation par la CJUE”. Reste “à savoir quand et comment”. En effet, en plus de la réduction du nombre de membres du PCLOB, d’autres éléments de l’accord ont fait l’objet de critiques : c’est le cas du mécanisme d’auto-certification des entreprises américaines, qui déclarent accepter d’adhérer aux principes du RGPD, ainsi que du prolongement de la loi FISA (Foreign Intelligence Surveillance Act) jusqu’en 2026 – un texte permettant aux agences de renseignement américaines d’accéder aux données personnelles de citoyens non américains vivant hors des États-Unis.

“Nous attendons Max Schrems qui a annoncé son intention de contester le DPF après les invalidations du Safe Harbor et du Privacy Shield, et ne voyons pas comment la CJUE n’invaliderait pas ce texte”, conclut Valérie Chavanne.

Des mécanismes alternatifs 

“Se posera ensuite la même question que pour les invalidations précédentes, une période d’insécurité juridique se comptant en années pour les organisations européennes”, d’après l’avocate de LegalUP Consulting. Des mécanismes alternatifs existent, mais ils sont difficiles à manier et ils demandent une appréciation au cas par cas. Il s’agit, par exemple, des CTT (clauses contractuelles types), qui offrent aux entreprises, aux organismes publics et privés et aux associations des modèles de contrats propres au transfert de données personnelles vers des pays tiers, c’est-à-dire en dehors de l’UE et de l’EEE. Ou encore, des règles d’entreprise contraignantes (binding corporate rules ou BCR), permettant à des groupes d’entreprises d’encadrer juridiquement leurs transferts de données hors de l’Union européenne. Cependant, ces alternatives sont “très complexes et lourdes pour les sociétés” et demandent de longues procédures auprès des autorités de protection de données, insiste Julie Carel (Momentum Avocats).

24 lobbys enjoignent Bruxelles d’harmoniser le RGPD – mind Media

En effet, en l’absence d’une décision d’adéquation, les sociétés deviennent directement responsables pour le transfert des données puisque, d’après le RGPD, “pour le principe de l’accountability, la société qui prend la décision d’envoyer des données vers un pays est censée avoir fait les vérifications nécessaires garantissant que le pays en question présente un niveau de protection équivalent à celui de l’Union européenne”. Une démarche qui peut devenir “très compliquée pour une PME française”.

Un contexte d’insécurité juridique

Si la partner de Momentum Avocats reconnaît l’insécurité juridique liée à l’absence d’un accord d’adéquation, elle rappelle toutefois qu’entre 2020 et 2023, alors qu’aucun accord n’existait entre États-Unis et Union européenne, la Cnil, en reconnaissant la difficulté du sujet, “n’avait pas fixé le transfert de données vers les Etats-Unis comme priorité de contrôle”.  Des vérifications avaient simplement été faites, notamment dans le cadre des contrôles concernant les cookies, sur des sociétés “qui, accessoirement, avaient également ce problème”.

Elle souligne par ailleurs qu’en cas d’invalidation, il ne sera pas possible de déposer des plantes rétroactives. Concernant les échéances de l’invalidation, “soit il s’agira d’une décision de la CJUE, et donc l’accord sera invalide à partir de la date de la décision, soit de la Commission qui va décider elle-même de faire l’analyse de l’accord et de l’invalider”. Dans ce deuxième cas, “en fonction du niveau de risque identifié, compte tenu des changements aux Etats-Unis, la Commission peut donner une période transitoire aux entreprises avant la cessation de l’accord, mais elle pourrait aussi estimer que la situation est suffisamment grave pour rendre l’invalidation effective à partir du jour même de la décision”, conclut-elle.

Chiara De Martino
  • Adtech
  • Données personnelles
  • Fournisseurs de données
  • RGPD

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

À lire

Paroles de dirigeants face aux challenges de la mesure publicitaire

Anthony Katsur (IAB Tech Lab) : “Si vous pensiez que mesurer était difficile ces vingt dernières années, vous n’avez encore rien vu”
Analyses

ETUDE MIND MEDIA - Google Analytics a continué de perdre du terrain début 2024, mais à un rythme plus modéré
Dossiers

Fin des cookies tiers : quel bilan pour les tests de Privacy Sandbox ?
Analyses Dossiers

[Etude mind Media] TCF : quels sont les enseignements du passage à la V2.2 ?
essentiels

Nos synthèses et chiffres sur les principales thématiques du marché

Les mutations du search à l'ère de l'IA générative

L'application inaboutie de la loi sur les droits voisins

Google vs DOJ : tout ce qu'il faut savoir sur le procès qui pourrait redéfinir l'adtech

L’essentiel sur les identifiants publicitaires 

La transformation du marché publicitaire en 2024

2023 : le marché publicitaire doit se préparer à la fin du tracking utilisateur

Comment l’intelligence artificielle générative bouleverse les médias

Les enjeux réglementaires des médias en 2023

analyses

Les articles d'approfondissement réalisés par la rédaction

INFO MIND MEDIA - L’Équipe gagne son match judiciaire contre Fedcom Media

Mara Negri (EBX) : “Notre objectif est de proposer des inventaires BVOD et CTV dans l’ensemble des pays européens"

INFO MIND MEDIA - L’alliance adtech des médias français Mediasquare peine elle aussi à faire condamner Google en justice

IA générative : panorama des solutions techniques de protection et de monétisation des contenus

Fermeture de Xandr DSP : qui va gagner la bataille des budgets ?

Adtech : les réactions et analyses du secteur à la condamnation de Google par la Commission européenne 

Hélène Zemmour (TV5Monde) : “TV5MondePlus va devenir notre plateforme unique de streaming vidéo”

Pseudonymisation : comment la décision de la CJUE dans l’affaire CRU/CEPD impacte l'industrie de l'adtech

AI search : quels changements dans les stratégies de référencement ?

Adtech : pourquoi la Commission européenne sanctionne Google de près de 3 milliards d’euros 

data

Les baromètres, panoramas et chiffres sur l'évolution du marché

Le classement des éditeurs français qui ont le plus d'abonnés purs numériques

Les données récoltées par les acteurs de la publicité en ligne

La liste des sociétés présentes dans les fichiers ads.txt des éditeurs français

Les gains de budget des agences médias

Opt-out : quels éditeurs français interdisent les robots crawlers de l'IA générative ?

Le panorama des sociétés spécialisées dans les technologies de l’e-retail media

La liste des outils utilisés par les équipes éditoriales, marketing et techniques des éditeurs français

Le détail des aides à la presse, année par année

La liste des CMP choisies par les principaux médias en France

Digital Ad Trust : quels sites ont été labellisés, pour quelles vagues et sur quel périmètre ?

Réserve ta place dès maintenant pour le mind Media Day J'en profite
  • Le groupe mind
  • Nos activités
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025
Social Media Auto Publish Powered By : XYZScripts.com
  • Twitter
  • LinkedIn
  • Email