Conformité & réglementation

Schrems II

Arrêt de 2020 de la Cour de justice de l'UE (affaire C-311/18) invalidant le Privacy Shield UE-États-Unis et encadrant strictement le transfert de données personnelles européennes vers des plateformes américaines, y compris les systèmes de commentaires.

  • Mis à jour 13 mai 2026
  • Sujet Schrems II · Schrems II commentaires presse · transfert de données UE États-Unis éditeur

Schrems II désigne l’arrêt de la Cour de justice de l’Union européenne C-311/18, rendu le 16 juillet 2020. Cet arrêt a invalidé le cadre du Privacy Shield UE-États-Unis qui régissait jusqu’alors les flux de données transatlantiques, et a imposé un ensemble d’obligations bien plus strictes à tout opérateur européen transférant des données personnelles vers les États-Unis.

Pour les éditeurs de presse qui exploitent des commentaires de lecteurs européens sur des plateformes américaines, Schrems II est le casse-tête juridique qui a rouvert le débat sur le choix du prestataire de commentaires entre 2020 et 2022.

Ce qui a changé

Avant Schrems II, un éditeur européen utilisant un système de commentaires hébergé aux États-Unis (Disqus, OpenWeb, Coral) pouvait s’appuyer sur le Privacy Shield comme mécanisme d’auto-certification. La CJUE a tranché : insuffisant. Plus précisément :

  • Le Privacy Shield a été invalidé avec effet immédiat. Les opérateurs qui s’y appuyaient ont dû trouver une autre base légale.
  • Les clauses contractuelles types (CCT) restent une base possible, mais exigent une évaluation au cas par cas du niveau de protection réellement offert par le pays de destination (les États-Unis), qui doit être équivalent à celui de l’UE.
  • Cette évaluation au cas par cas incombe à l’éditeur, et inclut l’analyse des lois américaines de surveillance (FISA 702, EO 12333) susceptibles de contraindre le prestataire américain à divulguer des données européennes.

En pratique, cela signifie que : si vous hébergez vos commentaires sur un système américain et que votre DPO fait son travail, il existe une trace écrite d’évaluations de risques à maintenir, assortie d’une responsabilité non négligeable en cas d’évaluation erronée.

L’état des lieux en 2026

Un nouveau cadre de protection des données UE-États-Unis (le Data Privacy Framework, qui remplace le Privacy Shield) a été adopté en 2023. Il est en vigueur mais activement contesté en justice, avec un probable arrêt « Schrems III » attendu pour le remettre en cause.

Pour les éditeurs qui veulent une réponse stable, indépendante de la prochaine affaire devant la CJUE, la solution la plus simple consiste à héberger les commentaires au sein de l’UE auprès d’un prestataire sous contrôle européen. Cela élimine d’emblée toute la question du transfert transfrontalier, des évaluations CCT et de l’exposition à la surveillance américaine.

Pourquoi c’est déterminant dans le choix du prestataire

C’est l’une des différences les plus concrètes entre Logora et les plateformes de commentaires américaines :

  • Logora, exclusivement UE (OVH, France). Aucun transfert de données transatlantique. Schrems II ne s’applique pas.
  • Disqus / Viafoura / OpenWeb, dont le siège ou l’hébergement est aux États-Unis. Schrems II s’applique. Évaluation CCT requise.
  • Coral (Vox), open source. La résidence des données dépend de l’endroit où vous choisissez de l’héberger. Si vous hébergez dans l’UE, Schrems II devient sans objet.

Concepts liés

Consultez la comparaison Logora vs Disqus pour voir comment Schrems II intervient dans le choix d’un prestataire.

← Retour au lexique
Guides utilisateur
Modération Bonnes pratiques Charte de modération
Exemples
Cas d'usage Documentation Espace admin
À propos
Équipe Blog Partenaires Positionnement Contact
Mentions légales
Mentions légales CGU Confidentialité
Aucun cookie de tracking. Infrastructure souveraine sur OVH (France).
Conçu pour la démocratie par Logora
⌘K / Ctrl+K pour ouvrir