swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
S'abonner
-->

Trump v. Slaughter, quel avenir pour le EU-US Data Privacy Framework ?

Anna Ploix, le 15 juillet 2026
Le 29 juin 2026, la Cour suprême des États-Unis a jugé, dans l’ar­rêt Trump v. Slaughter, que la protec­tion dont béné­fi­ciait les commis­saires de la Federal Trade Commission (FTC) contre une révo­ca­tion discré­tion­naire du Président était contraire à la Constitution améri­caine. Dans la mesure où l’in­dé­pen­dance de la FTC consti­tue l’un des piliers sur lesquels repose la déci­sion d’adé­qua­tion de la Commission euro­péenne rela­tive à l’EU-US Data Privacy Framework (DPF), cette déci­sion améri­caine relance, les inter­ro­ga­tions sur la péren­nité des instru­ments de trans­fert trans­at­lan­tique de données personnelles.

Jugement de l’US Supreme Court, Donald J. Trump, President of the United States, et Al, Petitioners v. Rebecca Kelly Slaughter (609 U. S.), du 29 juin 2026

I. Contexte

A. Que s’est-il passé pour que la Cour suprême en arrive à ce jugement ?

Peu après le début de son second mandat, en janvier 2025, le président Donald Trump a révo­qué les deux commis­saires démo­crates alors en fonc­tion à la FTC, Rebecca Slaughter et Alvaro Bedoya, sans invo­quer l’un des motifs prévus par la loi insti­tuant la FTC, le Federal Trade Commission Act de 1914 (« inef­fi­ca­cité, négli­gence dans l’exer­cice de ses fonc­tions ou faute grave »). Il leur a indi­qué que leur main­tien en fonc­tion était incom­pa­tible avec les prio­ri­tés de son admi­nis­tra­tion et a fondé leur révo­ca­tion direc­te­ment sur l’article II de la Constitution.

Rebecca Slaughter a saisi les tribu­naux fédé­raux, faisant valoir que sa révo­ca­tion était ultra vires, contraire à l’Administrative Procedure Act et incons­ti­tu­tion­nelle. Le tribu­nal de district lui a donné raison en s’ap­puyant sur le précé­dent Humphrey’s Executor v. United States (1935), qui avait préci­sé­ment sous­trait les commis­saires de la FTC à la règle de la révo­ca­tion discré­tion­naire posée quelques années plus tôt dans Myers v. United States (1926). La Cour suprême s’est ensuite saisie de l’af­faire avant même l’ar­rêt d’ap­pel (certio­rari before judg­ment) et a rendu sa déci­sion le 29 juin 2026. Le recours à cette procé­dure excep­tion­nelle (réser­vée aux affaires jugées d’une impor­tance publique impé­rieuse) signale la volonté de la Cour de tran­cher rapi­de­ment et direc­te­ment le sort du précé­dent Humphrey’s Executor, plutôt que de lais­ser la ques­tion mûrir devant les juri­dic­tions inférieures.

B. En quoi la FTC est-elle essen­tielle pour le Data Privacy Framework ?

Depuis 1995, le droit de l’Union Européenne inter­dit par prin­cipe l’ex­por­ta­tion de données person­nelles vers des pays tiers, sauf à ce qu’un niveau de protec­tion adéquat y soit garanti. Faute de loi fédé­rale améri­caine géné­rale sur la protec­tion des données, la Commission euro­péenne a, depuis 2000, construit à trois reprises un méca­nisme d’auto-certi­fi­ca­tion volon­taire pour les entre­prises améri­caines : le Safe Harbor (2000), le Privacy Shield (2016), puis l’ac­tuel EU-US Data Privacy Framework (2023). Dans chacune de ses versions, ce méca­nisme repose sur l’en­ga­ge­ment des entre­prises adhé­rentes à respec­ter des prin­cipes de protec­tion des données, sous la surveillance et le pouvoir de sanc­tion de la FTC.

Or l’art. 16(2) TFUE et l’art. 8(3) de la Charte des droits fonda­men­taux de l’UE exigent que le contrôle du respect des règles de protec­tion des données soit assuré par une auto­rité indé­pen­dante. C’est cette exigence que la Commission a cher­ché à satis­faire, côté améri­cain, en s’ap­puyant sur le statut alors protégé des commis­saires de la FTC.

II. Résumé de la déci­sion de la Cour

Sous la plume de John G. Roberts, la majo­rité de la Cour Suprême part de l’article II de la Constitution qui confie « le pouvoir exécu­tif » à une seule personne, le Président, à charge pour lui de veiller à la fidèle exécu­tion des lois. De ce choix des Constituants en faveur d’un exécu­tif unitaire découle, selon la Cour, la néces­sité que tous les fonc­tion­naires exer­çant une partie du pouvoir exécu­tif restent révo­cables à la discré­tion du Président (seule condi­tion, à leurs yeux, permet­tant de main­te­nir la chaîne de respon­sa­bi­lité démo­cra­tique jusqu’au peuple). La Cour retrace cette lecture depuis la « déci­sion de 1789 » du premier Congrès jusqu’à l’ar­rêt Myers de 1926, qui avait consa­cré le pouvoir de révo­ca­tion discré­tion­naire du Président sur les fonc­tion­naires exécutifs.

Restait l’obs­tacle du précé­dent Humphrey’s Executor, qui avait juste­ment sous­trait la FTC à cette règle en la quali­fiant d’or­gane « quasi-légis­la­tif et quasi-judi­ciaire » n’exer­çant « aucune part du pouvoir exécu­tif ». La Cour retrace comment ce précé­dent a été progres­si­ve­ment vidé de sa substance par la juris­pru­dence ulté­rieure, avant de conclure que la FTC d’au­jourd’­hui exerce sans conteste une part substan­tielle du pouvoir exécu­tif. Elle en tire la conclu­sion que le régime de révo­ca­tion pour juste motif appli­cable aux commis­saires de la FTC est contraire à la sépa­ra­tion des pouvoirs, et que le précé­dent Humphrey’s Executor doit être écarté.

Sur le plan stric­te­ment améri­cain, l’ar­rêt ne dit donc rien de la protec­tion des données ni des trans­ferts inter­na­tio­naux. Mais sa portée pratique pour l’Union Européenne est directe : les commis­saires de la FTC sont désor­mais révo­cables ad nutum par le Président, ce qui prive la Commission euro­péenne de l’un des deux piliers (avec la Data Protection Review Court (DPRC)) sur lesquels repo­sait sa consta­ta­tion d’adé­qua­tion du droit américain.

III. Quel futur pour le Data Privacy Framework ?

Le paral­lèle avec les deux précé­dentes révo­ca­tions du cadre trans­at­lan­tique est frap­pant. Dans l’arrêt Schrems I (C‑362/​14, 6 octobre 2015), la CJUE avait inva­lidé le Safe Harbor notam­ment car le droit améri­cain ne prévoyait aucune limi­ta­tion suffi­sante de l’ac­cès des auto­ri­tés publiques aux données, ni de voie de recours effec­tive pour les personnes concer­nées. L’autorité char­gée de la surveillance du système (la FTC) n’of­frant pas de garan­ties suffi­santes d’in­dé­pen­dance et de contrôle vis-à-vis des services de renseignement.

Dans l’arrêt Schrems II (C‑311/​18, 16 juillet 2020, cf. swiss​pri​vacy​.law/​17/), la CJUE avait inva­lidé le Privacy Shield en jugeant cette fois que le méca­nisme de média­tion censé offrir un recours aux personnes concer­nées ne présen­tait pas l’in­dé­pen­dance struc­tu­relle requise à l’égard du pouvoir exécu­tif améri­cain. Dans les deux cas, c’est donc bien l’in­dé­pen­dance du méca­nisme de surveillance et de recours face à l’exé­cu­tif améri­cain qui a emporté la convic­tion de la CJUE.

Le Data Privacy Framework de 2023 avait préci­sé­ment été construit pour répondre à cette double exigence : la DPRC pour le recours en matière de surveillance, la FTC pour l’exé­cu­tion des enga­ge­ments de confor­mité pris par les entre­prises certi­fiées. Avec Trump v. Slaughter, c’est ce second pilier qui vient d’être fragilisé.

Ce constat ne concerne d’ailleurs pas que l’Union euro­péenne. La Suisse dispose de son propre pendant du dispo­si­tif, le Swiss-US Data Privacy Framework, dont l’équi­va­lence est recon­nue par le Conseil fédé­ral depuis le 14 août 2024 (cf. swiss​pri​vacy​.law/​3​13/ et swiss​pri​vacy​.law/​3​32/). Ce méca­nisme suisse repose sur la même archi­tec­ture insti­tu­tion­nelle améri­caine que son homo­logue euro­péen (la FTC comme auto­rité d’exé­cu­tion des enga­ge­ments de certi­fi­ca­tion) et se trouve donc exposé, dans les mêmes termes, à la fragi­li­sa­tion résul­tant de Trump v. Slaughter.

Il convient toute­fois de ne pas sures­ti­mer la portée immé­diate de l’ar­rêt. La déci­sion d’exé­cu­tion de la Commission euro­péenne reste formel­le­ment en vigueur tant qu’elle n’a pas été abro­gée par la Commission elle-même ou annu­lée par la CJUE. Selon les infor­ma­tions dispo­nibles à ce jour, la Commission a indi­qué qu’elle allait exami­ner les impli­ca­tions de l’ar­rêt améri­cain sur sa déci­sion d’adé­qua­tion, sans toute­fois suspendre celle-ci. De son côté, noyb (NB : orga­ni­sa­tion fondée par Maximilian Schrems) a adressé une lettre formelle à la Commission lui deman­dant d’en­ga­ger un « retrait ordonné » du dispo­si­tif et a annoncé son inten­tion de porter l’af­faire devant la CJUE, un conten­tieux qui, à l’image des précé­dents, pren­drait vrai­sem­bla­ble­ment plusieurs années avant d’abou­tir à une déci­sion définitive.

IV. Alternatives au Data Privacy Framework en Europe et en Suisse

En paral­lèle, un déve­lop­pe­ment récent (sans lien direct avec l’ar­rêt Trump v. Slaughter) mérite atten­tion. Le 15 avril 2026, le Comité euro­péen de la protec­tion des données a adopté l’Opinion 15/​2026 approu­vant la certi­fi­ca­tion Europrivacy (le seul label euro­péen de protec­tion des données reconnu à ce jour au titre de l’art. 42 RGPD) comme méca­nisme de garan­ties appro­priées au sens de l’art. 46 RGPD. Cette certi­fi­ca­tion, désor­mais égale­ment ouverte aux enti­tés établies hors de l’Union euro­péenne, pour­rait ainsi permettre à des entre­prises améri­caines de démon­trer, indé­pen­dam­ment de tout constat d’adé­qua­tion étatique, qu’elles offrent des garan­ties appro­priées pour rece­voir des données en prove­nance de l’UE.

Pour les enti­tés soumises au droit suisse, cette évolu­tion ne se trans­pose toute­fois pas auto­ma­ti­que­ment. Le trans­fert de données person­nelles à l’étran­ger est régi par les art. 16 et 17 LPD et par les art. 8 à 12 de l’OPDo. En l’ab­sence de déci­sion du Conseil fédé­ral recon­nais­sant un niveau de protec­tion adéquat dans l’État desti­na­taire, l’art. 12 al. 1 OPDo permet qu’un niveau de protec­tion appro­prié soit assuré par un code de conduite ou par une certi­fi­ca­tion. Mais Europrivacy, en tant que label reconnu par le CEPD dans le cadre du RGPD, n’a à ce jour pas fait l’ob­jet d’une recon­nais­sance équi­va­lente en droit suisse au titre de l’art. 12 OPDo. Une entre­prise améri­caine certi­fiée Europrivacy pour ses trans­ferts au sens du RGPD ne pour­rait donc pas s’en préva­loir pour justi­fier, sous l’angle de la LPD, la licéité d’un trans­fert de données depuis la Suisse.

La diffi­culté est plus aiguë encore pour certaines légis­la­tions canto­nales appli­cables aux insti­tu­tions publiques qui inter­disent pure­ment et simple­ment aux insti­tu­tions publiques de trans­fé­rer des données person­nelles à un sous-trai­tant établi dans un État dont le niveau de protec­tion n’est pas jugé adéquat, sans ouvrir la possi­bi­lité de recou­rir à des garan­ties alter­na­tives. Pour ces insti­tu­tions, seule une recon­nais­sance d’adé­qua­tion reste suscep­tible d’au­to­ri­ser un tel transfert.

V. Conclusion

Trump v. Slaughter ne remet pas, à lui seul, en cause l’exis­tence juri­dique du Data Privacy Framework, la déci­sion d’adé­qua­tion de 2023 demeure en vigueur. Deux voies pour­raient toute­fois mettre fin à ce régime. D’une part, la Commission dispose du pouvoir de suspendre, modi­fier ou abro­ger elle-même sa déci­sion d’adé­qua­tion par voie d’acte d’exé­cu­tion, sans devoir attendre l’in­ter­ven­tion d’une juri­dic­tion. D’autre part, à défaut d’une telle initia­tive de la Commission, il faudra sans doute attendre l’is­sue d’un conten­tieux devant la CJUE pour connaître le sort défi­ni­tif du dispositif.



Proposition de citation : Anna Ploix, Trump v. Slaughter, quel avenir pour le EU-US Data Privacy Framework ?, 15 juillet 2026 in www.swissprivacy.law/414


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Le rapport 2020 de la Federal Trade Commission américaine en matière de Privacy and Data Security
  • Adéquation UE – États-Unis : le retour ? Point de situation et analyse de la Résolution du Parlement européen
  • Dark patterns : wait & see
  • US CLOUD Act – un aperçu
Derniers articles
  • Trump v. Slaughter, quel avenir pour le EU-US Data Privacy Framework ?
  • Clarification des conditions d’exploitation de données récoltées à l’étranger par le biais de mesures de surveillance techniques
  • Prospection commerciale : France et Suisse face au consentement
  • CJUE et directive sur le commerce électronique – Partie 2 : Interdire la rediffusion de messages par un service de géolocalisation
Abonnement à notre newsletter
swissprivacy.law