Combien de vos outils SaaS transfèrent des données personnelles vers les États-Unis en ce moment précis ?
HubSpot, Salesforce, AWS, Slack, Google Workspace. La liste est longue. Depuis juillet 2023, le Data Privacy Framework (DPF) donnait une apparence de solidité à ces transferts. Une décision d’adéquation de la Commission européenne, propre et rassurante, que des milliers d’équipes juridiques ont rangée dans un tiroir en pensant avoir réglé le problème.
Le DPF repose sur un décret exécutif de Joe Biden. Pas sur une loi du Congrès américain. Tout décret peut être annulé par le président suivant, sans vote parlementaire et sans délai de grâce.
Le 21 janvier 2025, l’administration Trump a utilisé exactement ce pouvoir.
Ce que Trump a cassé dès son premier jour
Premier jour de son second mandat, Trump signe un executive order ordonnant la révision de toutes les décisions de sécurité nationale de l’ère Biden. Délai imposé : 45 jours. Résultat possible : annulation pure et simple.
Dans le même mouvement, il licencie les trois membres démocrates du Privacy and Civil Liberties Oversight Board. Le PCLOB. C’est l’organe de surveillance indépendant que l’Union européenne avait posé comme condition non négociable de la décision d’adéquation DPF. Sans quorum (il en faut 3 sur 5), le PCLOB ne peut plus siéger ni rendre de rapport : il est fonctionnellement mort.
Max Schrems, fondateur de NOYB, l’a dit sans équivoque : « Si les éléments sur lesquels l’UE s’est appuyée deviennent non fonctionnels, l’UE devra annuler l’accord. » Pas « pourrait ». « Devra ».
En mars 2026, la cour FISA a révélé que les violations de la section 702 du Foreign Intelligence Surveillance Act se poursuivaient dans l’ensemble de la communauté du renseignement américaine. Le problème que le Département de Justice avait déclaré résolu début 2025 n’était pas résolu. Il s’étendait au-delà du FBI, à toutes les agences fédérales de renseignement.
Le Tribunal de l’UE a validé le DPF en septembre 2025. La CJUE reprend le dossier.
Dans l’affaire Latombe contre Commission (T-553/23, 3 septembre 2025), le Tribunal de l’UE a confirmé la validité du DPF. Beaucoup d’équipes juridiques ont respiré. Trop vite.
Le tribunal a fondé son analyse exclusivement sur les faits au 1er juillet 2023, date d’adoption de la décision d’adéquation. Il n’a pas examiné ce qui s’est passé depuis : la paralysie du PCLOB, les violations FISA confirmées à nouveau en mars 2026 et le refus de l’administration Trump de réaffirmer les engagements pris par son prédécesseur. Des éléments délibérément mis hors scope.
Le 31 octobre 2025, Latombe a déposé son appel devant la Cour de justice de l’UE. Ce n’est plus le Tribunal : c’est la CJUE elle-même qui va statuer. La même instance qui a invalidé le Safe Harbor en octobre 2015 et le Privacy Shield en juillet 2020. Elle examine maintenant le DPF, avec tous les éléments post-juillet 2023 que le Tribunal avait écartés.
Un arrêt Schrems III peut tomber entre 2026 et 2028. Cette fenêtre couvre vos contrats en cours et vos certifications RGPD actuelles.
Pourquoi vos CCT ne suffisent plus à elles seules
La plupart des éditeurs SaaS B2B européens ont signé des Clauses Contractuelles Types avec leurs fournisseurs américains. Depuis l’arrêt Schrems II (2020), signer des CCT ne suffit plus à lui seul : chaque transfert exige aussi un Transfer Impact Assessment documenté.
Le TIA n’est pas un formulaire à remplir une fois pour toutes. Il évalue concrètement si la législation américaine, notamment FISA 702 et le CLOUD Act, permet aux autorités de récupérer vos données sans consentement ni notification préalable. Pour les États-Unis, la réponse est oui. Elle l’a toujours été. Sans mesures compensatoires documentées, la CCT est une coquille vide devant un audit CNIL.
La majorité des sanctions prononcées par la CNIL concernent désormais des défaillances sur les services cloud et SaaS. Les contrôleurs ne cherchent plus des formulaires mal remplis ou des mentions légales incomplètes. Ils cherchent les flux de données non documentés vers des destinations à risque élevé.
Sans CCT valide, TIA documenté et mesures techniques complémentaires, votre transfert est illégal. Même si votre fournisseur est certifié DPF. Même si vos avocats ont signé les contrats.
5 actions que chaque SaaS B2B européen doit lancer maintenant
- Cartographier tous vos transferts hors UE. Chaque outil de votre stack fait l’objet d’un audit complet : données transférées, nature (prospects, salariés, comportements d’usage), finalité et localisation réelle des serveurs. Les outils RH, CRM et analytics sont les plus exposés. Les sous-traitants de vos sous-traitants aussi. Aucune exception.
- Construire une double base légale pour chaque flux sensible. Pour chaque transfert vers les États-Unis, combiner l’inscription DPF de votre fournisseur (si applicable) avec des CCT signées incluant un TIA. Le DPF seul tombe si la CJUE invalide. Les CCT seules ne tiennent pas sans TIA documenté. Ensemble, ils forment une défense en profondeur qui résiste à une invalidation partielle.
- Rédiger le Transfer Impact Assessment pour chaque fournisseur américain clé. Le TIA évalue les risques spécifiques du pays de destination, les lois de surveillance applicables et les mesures compensatoires mises en place. Sans ce document actualisé, votre CCT est inattaquable sur le papier et indéfendable devant un auditeur.
- Déployer un chiffrement côté client pour les données sensibles. Le chiffrement de bout en bout avec des clés gérées entièrement en Europe résiste à une invalidation du DPF. Si le fournisseur américain ne peut pas lire les données en clair, FISA 702 ne s’applique pas techniquement. C’est la logique des « mesures supplémentaires » que la jurisprudence européenne reconnaît explicitement.
- Identifier des alternatives européennes pour les données à risque élevé. CRM, HRIS, data warehouses contenant des données de prospects ou de salariés européens : des solutions souveraines existent et mûrissent. Brevo pour l’email marketing, Sellsy pour le CRM, OVH ou Scaleway pour l’infrastructure. Le basculement demande du temps. Commencer par les flux les plus exposés, pas par les plus faciles à remplacer.
Risque par catégorie d’outil SaaS américain
| Catégorie d’outil | Données typiquement transférées | Niveau de risque | Action prioritaire |
|---|---|---|---|
| CRM (HubSpot, Salesforce) | Contacts, prospects, comportements d’achat | Élevé | CCT + TIA + chiffrement ou alternative EU |
| Marketing automation (Marketo, Pardot) | Emails, segmentation, scores leads | Élevé | CCT + TIA + évaluer Brevo (ex-Sendinblue) |
| Infrastructure cloud (AWS, GCP, Azure) | Toutes données applicatives | Élevé si région hors UE | Forcer région EU + chiffrement côté client |
| Analytics web (Google Analytics, Mixpanel) | Navigation, comportements, adresses IP | Moyen à élevé | Basculer sur Plausible, Matomo ou Pirsch |
| Support client (Intercom, Zendesk) | Tickets, échanges, données d’identité | Moyen | CCT + TIA + vérifier localisation des serveurs |
Ce que votre board ne regarde pas encore
Plus de 2 800 entreprises américaines sont certifiées DPF. Des millions de contrats SaaS européens s’y adossent directement ou indirectement. Quand la CJUE rendra son arrêt Schrems III, il n’y aura pas de période de transition annoncée plusieurs mois à l’avance.
Schrems I est tombé un mardi d’octobre 2015. Schrems II un jeudi de juillet 2020. Deux décisions rendues en matinée. Des milliers d’équipes juridiques qui ont passé leurs après-midi à chercher une solution à quelque chose qu’elles n’avaient pas anticipé.
Votre DPO, votre RSSI et votre équipe juridique ont d’autres priorités ce trimestre : le règlement sur l’IA, les nouvelles lignes directrices de l’EDPB et une pile d’audits déjà en cours. Le sujet transferts EU-US n’occupe pas encore les boardrooms européens.
Il les occupera le jour où la CJUE sifflera. La conformité préventive se construit quand vous avez encore le choix de l’ordre et du rythme. La conformité curative se gère dans l’urgence, sous pression client et sous contrôle CNIL.
Deux invalidations en cinq ans. La troisième a déjà un nom.
