Le DPF est mort ? Vive le DPF ?
TL;DR L’arrêt Trump v. Slaughter (Cour suprême des États-Unis, 29 juin 2026), qui abroge Humphrey’s Executor, fragilise juridiquement le socle du Data Privacy Framework (DPF) : l’indépendance de la Federal Trade Commission (FTC), du Privacy and Civil Liberties Oversight Board (PCLOB) et, par ricochet, de la Data Protection Review Court (DPRC). À ce jour pourtant, ni la Commission européenne ni le Conseil fédéral n’ont retiré leur décision d’adéquation : le EU-US DPF et le Swiss-US DPF demeurent en vigueur. La thèse selon laquelle « l’adéquation américaine n’a plus de sens » se défend sur le fond, mais se heurte à des contre-arguments qui expliquent l’obstination des autorités. Localiser les données en Europe (EU Data Boundary, cloud souverain) réduit fortement le risque sans l’éliminer : tant que le fournisseur reste sous contrôle américain, le CLOUD Act et d’autres législations américaines peuvent contraindre la société mère à produire des données stockées dans l’UE ou en Suisse. La localisation relève donc de l’atténuation du risque ; elle ne referme pas la question juridique du transfert. Pour une entité suisse, la posture raisonnable ne se résume ni au « tout adéquation » ni au « tout localisation ». Elle consiste en une architecture à plusieurs couches : le DPF quand il s’applique, les clauses contractuelles types (CCT) accompagnées d’un Transfer Impact Assessment (TIA) en repli documenté, un chiffrement dont les clés restent détenues par le client, et la localisation UE/CH pour les données les plus sensibles. Reprenons la chronologie avant d’en tirer les conséquences juridiques. ...