L’EDPB publie de nouvelles FAQ sur le Data Privacy Framework

Le EU-U.S. Data Privacy Framework (DPF) est un mécanisme de transfert de données entre l’Union européenne (UE) (et plus largement l’Espace économique européen (EEE)) et les États-Unis, conçu pour permettre les transferts de données personnelles vers des entreprises américaines tout en assurant un niveau de protection adéquat conforme au Règlement général sur la protection des données (RGPD).

Il repose sur un cadre de confidentialité des données des entreprises américaines : celles qui s’inscrivent au programme s’engagent à respecter un ensemble d’obligations et de principes de protection des données similaires à ceux attendus en Europe.

Grâce à cette décision d’adéquation de la Commission européenne, les données personnelles peuvent circuler librement vers ces sociétés américaines sans nécessiter de garanties supplémentaires (clauses contractuelles, autorisations, etc.).

Présentation des deux FAQ

Le 15 janvier 2026, l’EDPB a publié deux documents FAQ (Frequently Asked Questions) sur le Data Privacy Framework :

• une FAQ destinée aux entreprises européennes qui transfèrent ou envisagent de transférer des données personnelles vers des sociétés américaines certifiées sous le DPF,
• et une FAQ pour les citoyens européens, afin de leur expliquer leurs droits et les mécanismes d’exercice de ces droits dans le cadre du DPF.

L’European Data Protection Board (EDPB) est l’organe européen indépendant chargé d’assurer l’application cohérente du RGPD dans l’ensemble de l’UE/EEE. Il regroupe les autorités de protection des données de chaque État membre et la European Data Protection Supervisor (EDPS), et publie des orientations, des lignes directrices et des outils pratiques pour faciliter la conformité au droit européen de la protection des données.

Ces FAQ jouent un rôle pédagogique et opérationnel : elles ne modifient pas le cadre juridique du DPF lui-même, mais clarifient sa mise en œuvre pratique, en répondant à des questions fréquentes que peuvent se poser les responsables de traitement européens, leurs équipes de conformité, ainsi que les personnes concernées (citoyens, clients, employés, etc.).

Pour les entreprises européennes

Les entreprises européennes qui transfèrent des données vers des sociétés américaines certifiées doivent respecter les obligations du RGPD en fonction de leur rôle :

• Responsables de traitement (controller) : définir les finalités et bases légales des transferts, informer les personnes concernées, documenter les vérifications de certification.

• Sous-traitants (processor) : s’assurer que les transferts sont conformes aux instructions du responsable de traitement et que les partenaires américains respectent les engagements DPF.

Avant tout transfert, les entreprises doivent :

1. Vérifier que le partenaire américain est effectivement certifié et que sa certification couvre le type de données transférées (pour pouvoir s’auto‑certifier au DPF, une entreprise américaine doit être soumises aux pouvoirs d’investigation et d’application de la Federal Trade Commission (FTC) ou du Department of Transportation (DoT)) ;
2. Documenter cette vérification dans leurs registres de traitement,
3. Continuer à respecter les autres obligations du RGPD, comme la sécurité et la protection des droits des personnes.

Pour les citoyens européens

La seconde FAQ est un guide destiné aux personnes concernées au sein de l’EEE souhaitant comprendre leurs droits et recours quand leurs données sont transférées vers les États-Unis sous le DPF.

La FAQ détaille les droits que les Européens conservent même après le transfert de leurs données vers des structures américaines, notamment :

• Droit d’être informé du transfert et de son objectif,

• Droit d’accès à leurs données,

• Droit de rectification ou d’effacement en cas de traitement incorrect ou non conforme.

Sécurisez vos transferts de données avec DASTRA

Les entreprises doivent adopter une approche proactive et peuvent anticiper en prenant ces mesures concrètes.

Dans le cadre de vos transferts internationaux, avec DASTRA, vous pouvez :

1. Cartographier tous les flux de données transatlantiques (quels traitements, quels acteurs, quelles données) ;

2. Évaluer les transferts critiques et identifier des alternatives européennes ou souveraines ;

3. Préparer un plan de repli vers les Clauses Contractuelles Types ;

4. Evaluer les coûts d'un éventuel rapatriement des données vers des solutions européennes ;

5. Réaliser une analyse d’impact financière et contractuelle ;

6. Documenter tous les mécanismes de conformité (base légale, mesures complémentaires, registres mis à jour, etc.) ;

7. Suivre de près les évolutions réglementaires.