Schrems II et gestion du consentement : ce que les organisations de l'UE doivent faire maintenant
What you need to know: Schrems II et gestion du consentement : ce que les organisations de l'UE doivent faire maintenant
L'arrêt Schrems II de la CJUE (C-311/18) a invalidé le bouclier de protection des données UE-États-Unis et imposé des garanties supplémentaires sur les clauses contractuelles types. Ce guide explique ce que les responsables du consentement et les PME de l'UE doivent faire pour rester conformes au RGPD pour les transferts transatlantiques de données.
Schrems II est le nom informel de l'affaire CJUE C-311/18, tranchée le 16 juillet 2020. La Cour de justice de l'Union européenne a invalidé la décision d'adéquation du bouclier de protection des données UE-États-Unis et imposé des exigences supplémentaires strictes sur les clauses contractuelles types (CCT) pour les transferts de données à caractère personnel vers les États-Unis et d'autres pays tiers. Pour les organisations de l'UE utilisant des plateformes de gestion du consentement (CMP) dont le siège est aux États-Unis, l'arrêt a créé une tension non résolue : la CMP peut être techniquement conforme aux règles de consentement aux cookies tout en transférant simultanément des données à caractère personnel de l'UE vers une entité américaine soumise au droit américain de la surveillance.
Ce que Schrems II a changé
Avant Schrems II, les organisations de l'UE qui transféraient des données à caractère personnel vers les États-Unis disposaient de deux mécanismes principaux : le bouclier de protection des données (décision d'adéquation) et les clauses contractuelles types (CCT). La CJUE a annulé intégralement le bouclier de protection des données, estimant que le droit américain de la surveillance — en particulier la section 702 du Foreign Intelligence Surveillance Act (FISA) et le décret présidentiel 12333 — ne garantit pas un niveau de protection substantiellement équivalent à la norme de l'UE. Les CCT n'ont pas été invalidées en tant que telles, mais la Cour a jugé que les CCT seules sont insuffisantes lorsque le droit du pays de destination empêche leur respect. Les organisations utilisant des CCT doivent désormais réaliser une analyse d'impact des transferts (AIT) pour vérifier que les CCT peuvent effectivement être respectées en pratique.
Le Comité européen de la protection des données (CEPD) a ensuite publié les Recommandations 01/2020 sur les mesures supplémentaires, fournissant des orientations sur les « mesures supplémentaires » — techniques, contractuelles ou organisationnelles — qui peuvent rendre les CCT viables pour des scénarios de transfert spécifiques. Pour les transferts vers les États-Unis, le CEPD a conclu que, dans la plupart des cas, aucune mesure supplémentaire technique n'est suffisante pour les transferts vers des entités soumises à la FISA 702. La conséquence pratique : si votre prestataire de CMP est une entité américaine soumise à la FISA 702 et que son traitement relève du champ d'application de cette loi, les CCT ne peuvent pas combler le manque de conformité.
La dimension CLOUD Act
Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act) de 2018 aggrave le problème Schrems II. En vertu du CLOUD Act, les forces de l'ordre américaines peuvent contraindre les entreprises dont le siège est aux États-Unis à divulguer des données clients stockées partout dans le monde — y compris sur des serveurs de l'UE. Un prestataire de CMP américain ayant garanti contractuellement la résidence des données en UE dans votre accord de traitement des données (ATD) peut toujours être légalement contraint de transmettre des données en vertu d'une ordonnance judiciaire américaine, quelle que soit la localisation du stockage. La méthodologie CLOUD Act Exposure Score (eurocomply.app/cloud-act-scores) quantifie ce risque pour chaque fournisseur SaaS sur une échelle de 0 à 100.
Selon les données Eurostat sur l'économie numérique (2024), environ 43 % des entreprises de l'UE comptant 10 employés ou plus utilisent un fournisseur de services cloud américain pour au moins une fonction commerciale principale. Pour les CMP en particulier, le marché est dominé par OneTrust (États-Unis, CLOUD Act Exposure Score 72/100), Osano (États-Unis, score 91/100) et Termly (États-Unis, score 95/100) — toutes des entités américaines soumises au CLOUD Act.
Ce que Schrems II exige pour la gestion du consentement
Une plateforme de gestion du consentement traite des données à caractère personnel de deux manières distinctes relevant de Schrems II : (1) elle collecte et conserve des enregistrements de consentement, qui constituent des données à caractère personnel au sens du RGPD ; (2) elle peut déclencher ou bloquer des scripts de suivi tiers, dont certains impliquent eux-mêmes des transferts transfrontaliers de données. Les obligations Schrems II s'appliquent aux deux.
Pour la CMP elle-même, les organisations doivent :
- Déterminer si le prestataire de CMP est soumis au droit américain de la surveillance (FISA 702, décret 12333 ou CLOUD Act).
- Si oui, réaliser une analyse d'impact des transferts conformément aux Recommandations 01/2020 du CEPD.
- Documenter l'AIT dans le registre des activités de traitement (RAT) en vertu de l'article 30 du RGPD.
- Évaluer si des mesures supplémentaires — chiffrement, pseudonymisation, minimisation des données — rendent le transfert viable. Pour la plupart des CMP d'entités américaines, la position du CEPD est que les mesures techniques sont insuffisantes lorsque le prestataire a besoin d'un accès en clair.
- Si le transfert ne peut pas être rendu conforme, envisager de passer à une CMP souveraine de l'UE.
Pour les scripts tiers gérés par la CMP, la même analyse s'applique à chaque script qui transfère des données à caractère personnel hors de l'UE. Le consentement ne remédie pas à une violation de Schrems II : l'article 49, paragraphe 1, point a) du RGPD autorise le transfert sur la base du consentement explicite, mais uniquement lorsque le transfert n'est pas systématique ou à grande échelle — le CEPD a constamment jugé que le consentement aux cookies via CMP ne constitue pas une dérogation au titre de l'article 49 pour les transferts commerciaux de routine.
Options de CMP souveraines de l'UE
Trois CMP entièrement basées dans l'UE évitent le problème du CLOUD Act :
| Prestataire | Siège | Exposition CLOUD Act | À partir de | |-------------|-------|----------------------|-------------| | Cookiebot (Usercentrics GmbH) | Munich, Allemagne | Souverain (score : 18) | 9 €/mois | | Usercentrics | Munich, Allemagne | Souverain (score : 18) | 60 €/mois | | Iubenda (groupe Team.blue) | Bologne, Italie | Souverain (score : 22) | 27,99 €/an |
Ni Cookiebot ni Usercentrics ne couvrent les obligations liées au Règlement IA, à la directive NIS2 ou à DORA. Si votre organisation est soumise à des obligations relatives aux produits d'IA de l'UE ou relève du champ d'application de NIS2, vous aurez besoin d'une plateforme de conformité plus large en complément de votre CMP. EuroComply couvre à la fois les obligations liées au consentement et celles du Règlement IA et est une société de droit portugais disposant d'une infrastructure exclusivement européenne.
Analyses d'impact des transferts : liste de vérification pratique
Conformément aux Recommandations 01/2020 du CEPD, une AIT pour une CMP dont le siège est aux États-Unis doit couvrir :
- Étape 1 — Cartographier le transfert : Identifier quelles données à caractère personnel circulent vers le prestataire, à quelle fin et sur quelle base juridique.
- Étape 2 — Identifier l'instrument de transfert : En pratique, les CCT utilisant les clauses types de la Commission européenne de 2021 (décision 2021/914).
- Étape 3 — Évaluer le droit du pays de destination : Déterminer si le droit américain (FISA 702, CLOUD Act) compromet les CCT. Pour la plupart des fournisseurs SaaS américains, la réponse est affirmative.
- Étape 4 — Évaluer les mesures supplémentaires : Techniques (chiffrement lorsque le prestataire ne peut pas accéder aux clés), contractuelles (warrant canary, obligations de notification), organisationnelles (minimisation des données). Le CEPD a jugé les mesures techniques insuffisantes pour les transferts relevant de la FISA 702 lorsque le prestataire a besoin d'un accès en clair.
- Étape 5 — Documenter ou changer : Documenter le résultat de l'AIT dans le RAT. Si aucune mesure supplémentaire viable n'existe, la voie licite est de recourir à une alternative souveraine de l'UE.
Le calculateur d'amendes RGPD peut modéliser votre exposition maximale en cas de violation de transfert au titre de l'article 46 : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé.
Foire aux questions
Que signifie Schrems II pour la gestion du consentement ?
Schrems II (CJUE C-311/18, juillet 2020) signifie que les organisations de l'UE ne peuvent pas licitement transférer des données à caractère personnel — y compris des enregistrements de consentement — vers des prestataires américains sur la seule base des clauses contractuelles types, à moins qu'une analyse d'impact des transferts confirme que le droit américain n'empêche pas le respect de ces clauses. Pour la plupart des prestataires de CMP américains soumis à la FISA 702 ou au CLOUD Act, aucune mesure supplémentaire technique n'est suffisante. Les organisations devraient soit réaliser et documenter une analyse d'impact des transferts, soit passer à une CMP souveraine de l'UE.
Cookiebot est-il conforme à Schrems II ?
Oui. Cookiebot est exploité par Usercentrics GmbH, une entité allemande (Munich), et n'est pas soumis au CLOUD Act américain ni à la FISA 702. Il dispose d'un CLOUD Act Exposure Score de 18/100 (niveau Souverain). Les données de consentement sont traitées au sein de l'UE. Cookiebot est l'une des rares CMP pour laquelle les clauses contractuelles types ne sont pas requises pour la fonction principale de gestion du consentement, car aucun transfert vers un pays tiers ne s'effectue pour l'enregistrement du consentement lui-même.
OneTrust est-il conforme à Schrems II ?
OneTrust a son siège aux États-Unis et un CLOUD Act Exposure Score de 72/100 (US-Dominant). Il propose la résidence des données en UE dans les plans Entreprise, mais la résidence des données en UE n'élimine pas l'exposition au CLOUD Act — les forces de l'ordre américaines peuvent contraindre la divulgation quelle que soit la localisation du stockage. Les organisations de l'UE utilisant OneTrust devraient réaliser une analyse d'impact des transferts et documenter si le transfert peut être rendu conforme au titre de l'article 46 du RGPD. Si l'AIT conclut qu'aucune mesure supplémentaire n'est suffisante, la voie conforme est de recourir à une alternative souveraine de l'UE.
Qu'est-ce qu'une analyse d'impact des transferts (AIT) au titre de Schrems II ?
Une analyse d'impact des transferts est une analyse documentée que l'exportateur de données de l'UE doit compléter avant de s'appuyer sur des clauses contractuelles types pour des transferts vers des pays tiers. Elle évalue si le droit du pays de destination permet à l'importateur de données de respecter les CCT en pratique — en particulier si les lois sur la surveillance ou les pouvoirs d'accès des forces de l'ordre annulent les protections contractuelles. Les Recommandations 01/2020 du CEPD définissent un processus en six étapes pour réaliser une AIT. Une AIT doit être documentée et conservée dans le cadre du RAT.
Foire aux questions
Schrems II est-il toujours pertinent en 2026 ?
Oui. L'arrêt Schrems II (C-311/18) demeure l'arrêt de référence de la CJUE sur les transferts de données UE-États-Unis. Le cadre de protection des données UE-États-Unis (Data Privacy Framework — DPF), adopté en juillet 2023, offre un nouveau mécanisme d'adéquation, mais des associations de défense dont NOYB ont contesté sa validité devant la CJUE. Dans l'attente d'un arrêt définitif, les organisations utilisant des CMP américaines soumises à la FISA 702 font face à une incertitude juridique résiduelle. L'approche la plus sûre sur le plan juridique reste l'utilisation d'un prestataire incorporé dans l'UE sans entité mère américaine.
Que signifie « gestion du consentement conforme à Schrems II » ?
Une gestion du consentement conforme à Schrems II signifie que votre prestataire de CMP n'est pas soumis au droit américain de la surveillance. Cela requiert : (1) le prestataire de CMP est immatriculé dans l'UE sans entité mère américaine ; (2) les données de consentement sont stockées dans des centres de données de l'UE sans sous-traitants américains traitant des données à caractère personnel en clair ; (3) le prestataire ne peut pas être contraint par une ordonnance judiciaire américaine à divulguer des données clients de l'UE en vertu du CLOUD Act. Cookiebot (Usercentrics GmbH, Munich), Usercentrics (Munich) et iubenda (Bologne, Italie) remplissent ces critères. OneTrust (États-Unis), Osano (États-Unis) et Termly (États-Unis) ne les remplissent pas.
Quelles plateformes de gestion du consentement européennes sont conformes à Schrems II ?
Trois CMP européennes largement utilisées évitent l'exposition au CLOUD Act : Cookiebot de Usercentrics GmbH (Munich, Allemagne) à partir de 9 €/mois ; Usercentrics (Munich, Allemagne) à partir de 60 €/mois ; et iubenda (Bologne, Italie, groupe Team.blue) à partir de 27,99 €/an. Les trois sont exploitées par des entités immatriculées dans l'UE non soumises à la FISA 702 ni au CLOUD Act américain. Pour des besoins de conformité plus larges couvrant le Règlement IA, NIS2 et DORA, EuroComply est une entité portugaise de l'UE disposant d'une infrastructure exclusivement européenne (Francfort + Mistral AI Paris) qui couvre la conformité liée au consentement et à réglementations multiples à partir de 49 €/mois.
Quel est l'impact de l'arrêt Schrems II sur les entreprises de l'UE utilisant des SaaS américains ?
L'arrêt Schrems II (C-311/18) oblige les organisations de l'UE à réaliser des analyses d'impact des transferts (AIT) avant de transférer des données à caractère personnel vers des prestataires américains, et à vérifier que les clauses contractuelles types peuvent effectivement être respectées en pratique. Pour la plupart des entités américaines soumises à la FISA 702, la position du CEPD (Recommandations 01/2020) est qu'aucune mesure supplémentaire technique ne rend les CCT pleinement viables pour les transferts soumis à la surveillance des services de renseignement américains. Cela signifie que les organisations de l'UE font face à un manque de conformité persistant lorsqu'elles utilisent des fournisseurs SaaS américains — y compris des CMP américaines — à moins de passer à des alternatives souveraines de l'UE ou d'accepter un risque juridique résiduel avec une atténuation documentée.
Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.
Key takeaways: Schrems II et gestion du consentement : ce que les organisations de l'UE doivent faire maintenant
This article covers: Ce que Schrems II a changé, La dimension CLOUD Act, Ce que Schrems II exige pour la gestion du consentement.
- Ce que Schrems II a changé
- La dimension CLOUD Act
- Ce que Schrems II exige pour la gestion du consentement
- Options de CMP souveraines de l'UE
- Analyses d'impact des transferts : liste de vérification pratique
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing — 2 minutes, every Thursday.