Ce que le DPF fait réellement

Le DPF est une décision d'adéquation émise par la Commission européenne en vertu de l'article 45 du GDPR. Une décision d'adéquation affirme qu'un pays tiers — en l'occurrence, les États-Unis — assure un niveau de protection des données personnelles essentiellement équivalent à celui de l'UE, mais uniquement pour les organisations qui adhèrent à un cadre spécifique. Le DPF est ce mécanisme d'adhésion. Les entreprises américaines s'auto-certifient auprès du Département du Commerce, s'engagent à respecter un ensemble de principes de confidentialité et relèvent de l'application de la FTC ou du DOT à l'égard de ces engagements.

Pour un éditeur européen, l'effet pratique est que les données personnelles peuvent être transférées à un fournisseur américain certifié DPF sans clauses contractuelles types (SCCs) distinctes, sans évaluations d'impact du transfert adaptées à ce fournisseur, ni mesures supplémentaires du type requis après l'arrêt Schrems II. Le DPF effectue le travail lourd au niveau de la couche de base juridique.

Trois choses que le DPF ne fait pas, et que les éditeurs comprennent constamment de travers :

• Il ne remplace pas le consentement. Déposer un cookie non essentiel chez un visiteur européen requiert toujours un consentement au niveau GDPR/vie privée électronique, quelle que soit la destination finale des données.
• Il ne couvre pas les transferts vers des fournisseurs américains non certifiés. Si votre SSP ou votre fournisseur d'analyse ne figure pas sur la liste DPF active, vous avez toujours besoin de SCCs et d'une TIA.
• Il ne couvre pas les transferts vers des filiales américaines opérant en dehors du champ certifié. De nombreux grands fournisseurs ne certifient que certaines branches d'activité.

Le consentement aux cookies reste la porte d'entrée

Le DPF résout le volet transfert du parcours. Il ne fait rien concernant le moment où un cookie est déposé, où un identifiant publicitaire est lu, ou où un événement est envoyé à un tag. Ce moment est régi par la directive ePrivacy (article 5(3)) et le GDPR (articles 6 et 7). Les deux exigent un consentement préalable, éclairé, spécifique et librement donné pour tout accès non strictement nécessaire au stockage de l'équipement terminal.

Autrement dit, même si chaque fournisseur de votre stack est certifié DPF, vous avez toujours besoin d'une plateforme de gestion du consentement qui :

• Bloque les cookies et les tags non essentiels avant la collecte du consentement.
• Présente un choix clair avec une parité de refus-total par rapport à l'acceptation-totale (l'EDPB est explicite là-dessus depuis 2022).
• Enregistre l'événement de consentement avec un horodatage infalsifiable et une copie de l'avis que l'utilisateur a réellement vu.
• Transmet l'état du consentement à chaque outil en aval via TCF v2.3, Google Consent Mode v2 ou les API natives des fournisseurs.

Le DPF remplace la base juridique du transfert ; le CMP fournit la base juridique de la collecte. Négliger l'un ou l'autre côté vous laisse exposé.

Comment vérifier le statut DPF d'un fournisseur

Le Département du Commerce des États-Unis maintient la liste officielle DPF à l'adresse dataprivacyframework.gov. Avant de vous fier à la déclaration DPF d'un fournisseur, vérifiez trois points sur sa fiche d'inscription.

Statut de certification active

Les certifications doivent être renouvelées annuellement. Un fournisseur dont le statut est Inactif, Retiré ou Périmé ne peut pas être utilisé comme mécanisme de transfert, même si ses pages marketing affichent toujours un badge DPF. Intégrez la fiche à votre inventaire de fournisseurs et vérifiez-la chaque trimestre.

Entités et filiales couvertes

De nombreuses sociétés holding certifient certaines filiales et non d'autres. L'entité contractante dans votre DPA doit correspondre à l'entité certifiée. Une erreur courante consiste à signer avec Acme Marketing UK Ltd alors que la certification DPF est détenue par Acme Inc. au Delaware — le flux de données échappe alors au champ certifié.

Catégories de données couvertes

Le DPF autorise des certifications limitées aux données RH uniquement, aux données non-RH uniquement, ou aux deux. Une certification non-RH couvre vos données publicitaires et analytiques ; une certification RH uniquement ne le fait pas. Lisez la fiche attentivement.

Que faire lorsqu'un fournisseur n'est pas certifié DPF

Nombre de fournisseurs américains utiles — notamment les acteurs plus petits de l'ad-tech et les outils d'analyse de niche — ne se sont jamais certifiés ou ont laissé leur certification expirer. Pour eux, le DPF est sans objet et vous revenez à la boîte à outils d'avant 2023 :

• Clauses contractuelles types (SCCs) — les versions du module 2 ou du module 3 de 2021, signées par les deux parties et intégrées dans le DPA.
• Évaluation d'impact du transfert (TIA) — une analyse propre au fournisseur de la législation américaine sur la surveillance, des catégories de données à risque, et des mesures techniques et organisationnelles atténuant l'exposition.
• Mesures supplémentaires — chiffrement en transit et au repos, pseudonymisation, engagements contractuels de transparence et plan de réponse documenté aux demandes d'accès du gouvernement américain.

Tenez un registre listant chaque fournisseur américain de votre stack, la base juridique utilisée pour chacun (DPF, SCCs, dérogation) et la date de la dernière révision. Les régulateurs et les auditeurs le demanderont ; ne pas l'avoir constitue en soi un manquement.

Le risque Schrems III et comment se préparer pour l'avenir

L'activiste de la vie privée Max Schrems et son organisation NOYB ont introduit une action contre le DPF peu après son adoption, en faisant valoir que la réforme de la surveillance américaine dans le cadre du décret exécutif EO 14086 reste en deçà des normes de droits fondamentaux de l'UE. Un renvoi à la CJEU est largement anticipé, et le cadre a une probabilité non négligeable d'être invalidé — pour la troisième fois en vingt ans.

Les éditeurs qui avaient traité le Privacy Shield comme seul mécanisme de transfert en 2020 ont dû s'adapter en urgence du jour au lendemain quand Schrems II l'a invalidé. Cette même urgence est évitable cette fois-ci en traitant le DPF comme un mécanisme principal assorti d'un mécanisme de secours prêt à prendre le relais.

Maintenir les SCCs dans chaque DPA

Insistez pour que vos DPA incluent les SCCs de 2021 en tant que clause de repli qui s'active automatiquement si la décision d'adéquation DPF est invalidée ou si la certification du fournisseur expire. C'est désormais une formulation standard ; si un fournisseur refuse, c'est un signal d'alerte.

Réaliser une TIA quoi qu'il en soit

Le DPF supprime l'obligation légale d'une TIA, mais en réaliser une allégée — notamment pour les fournisseurs traitant des signaux publicitaires sensibles ou de grandes populations européennes — vous fournit une documentation défendable si le cadre s'effondre. Réutilisez le même modèle chez les fournisseurs pour maintenir le coût bas.

Localiser là où le calcul est pertinent

Pour quelques cas d'usage — analyse first-party, données comportementales d'utilisateurs connectés, ou sites à contenu sensible — passer à un fournisseur hébergé et contrôlé dans l'UE élimine totalement la question du transfert. La rentabilité ne s'impose que pour les flux à risque élevé ou à fort volume, mais cela devrait figurer sur la feuille de route comme option.

Intégrer le DPF à votre CMP

Un CMP moderne n'applique pas le DPF directement — il n'existe pas de champ GPP ou TCF indiquant "ce transfert est couvert par le DPF". Ce que le CMP doit faire, c'est collecter le consentement pour chaque fournisseur d'une manière qui étaie la documentation qu'un régulateur finira par demander.

Granularité par fournisseur

Regrouper tous les fournisseurs d'ad-tech américains dans un seul bouton "Marketing" n'est plus défendable. La liste de fournisseurs TCF v2.3, que la plupart des CMP certifiés synchronisent, fournit des finalités et des bases juridiques par fournisseur. Utilisez-la. Quand un régulateur demande "sur quelle base les données personnelles ont-elles transité vers le fournisseur X à la date Y", vous devez pouvoir pointer vers une chaîne TCF, un enregistrement de certification DPF et un DPA.

Refléter la politique de confidentialité dans le bandeau

La liste des destinataires dans votre politique de confidentialité doit correspondre exactement à la liste des fournisseurs chargés après consentement. Les divergences constituent la cible de contrôle la plus facile — l'AEPD espagnole et la CNIL française ont toutes deux sanctionné des éditeurs en 2024 pour des listes de fournisseurs qui omettaient des partenaires actifs.

Journaliser l'état du fournisseur au moment du consentement

Pour chaque événement de consentement, enregistrez l'instantané des fournisseurs présents dans le TCF GVL, ceux certifiés DPF, et la base juridique sur laquelle chacun s'appuyait. C'est la piste d'audit qui transforme une lettre stressante d'un régulateur en une réponse de routine. FlexyConsent et les autres CMP certifiés par Google proposent cette journalisation en standard ; bien des anciens bandeaux ne le font pas.

Liste de contrôle pour la migration

Si vous faites migrer un site existant d'une configuration pré-DPF ou partiellement DPF vers une configuration propre en 2026, parcourez cette liste :

• Inventoriez chaque fournisseur américain dans votre gestionnaire de tags, votre stack publicitaire et votre conteneur côté serveur.
• Croisez chacun avec la liste DPF active. Classez-les en couvert DPF, couvert SCCs ou action requise.
• Mettez à jour les DPA pour inclure les SCCs de 2021 en repli automatique.
• Réalisez une TIA pour les fournisseurs à risque élevé, quel que soit leur statut DPF.
• Confirmez que votre CMP expose une interface de consentement par fournisseur et prend en charge TCF v2.3.
• Vérifiez que Google Consent Mode v2 est connecté à GA4, Ads et tout outil de compensation de signal.
• Planifiez une révision trimestrielle dans le calendrier pour revérifier les certifications, l'appartenance au GVL et les versions des DPA.
• Informez conjointement les équipes juridiques et ad ops de ce qui change si le DPF est invalidé, afin que le plan de réponse ne soit pas improvisé sous pression.

Idées reçues fréquentes

Quelques erreurs reviennent systématiquement lors des audits d'éditeurs et appellent une correction explicite.

« Certifié DPF signifie que nous n'avons pas besoin de consentement. » Non. Le DPF est un mécanisme de transfert. Le consentement est une exigence de collecte. Ils se situent sur des couches juridiques différentes.

« Notre CDN est basé aux États-Unis, donc le DPF le couvre. » Seulement si le CDN lui-même est certifié DPF pour les catégories de données concernées. De nombreux fournisseurs d'infrastructure proposent des régions UE qui évitent totalement la question.

« Le fournisseur X se dit prêt pour le DPF. » Langage marketing. Vérifiez la liste officielle, le nom de l'entité certifiée et les catégories de données.

« Le DPF remplace le bandeau cookie. » Non. La règle de consentement préalable de la directive ePrivacy est indépendante des règles de transfert du GDPR. Les deux s'appliquent.

Conclusion

Le DPF rend l'ad-tech transatlantique opérationnellement plus simple en 2026 qu'elle ne l'était en 2021, mais il n'exonère pas les éditeurs du consentement aux cookies, de la diligence envers les fournisseurs ni de la documentation des transferts. Traitez le DPF comme un mécanisme de transfert valide parmi plusieurs, conservez les SCCs comme repli contractuel, exploitez un CMP qui consigne le consentement par fournisseur en regard d'un inventaire de fournisseurs tenu à jour, et partez du principe que la stabilité juridique du cadre est conditionnelle. Les éditeurs qui construisent cette résilience maintenant n'auront pas à refondre leur architecture du jour au lendemain si un arrêt Schrems III venait à tomber comme les deux précédents. Ceux qui traitent le DPF comme une réponse permanente se préparent au même branle-bas que celui qui a suivi l'invalidation du Privacy Shield — cette fois, les régulateurs sont moins patients et les amendes sont plus élevées.