Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Conformité Schrems II : Protéger les flux de données entre le Royaume-Uni et l’UE

Conformité Schrems II : Protéger les flux de données entre le Royaume-Uni et l’UE

par Danielle Barbour updated octobre 10, 2025 Conformité RGPD
temps de lecture: 23 minutes

L’arrêt Schrems II de la Cour de justice de l’Union européenne, rendu en juillet 2020, a invalidé le Privacy Shield UE-États-Unis en concluant que les lois américaines sur la surveillance—en particulier la FISA 702 et l’Executive Order 12333—n’offrent pas de garanties suffisantes pour les droits fondamentaux des personnes concernées dans l’UE. Si l’impact immédiat a touché les entreprises américaines, cette décision a eu des conséquences majeures pour les organisations britanniques qui gèrent des flux de données entre le Royaume-Uni et l’Union européenne. La décision d’adéquation du Royaume-Uni par la Commission européenne, accordée après le Brexit en juin 2021, présente les mêmes vulnérabilités structurelles qui ont conduit à la disparition du Privacy Shield : les fournisseurs cloud américains ayant accès aux clés de chiffrement ouvrent des voies techniques à la surveillance américaine qu’aucune garantie contractuelle ne peut réellement empêcher.

Pour les organisations britanniques utilisant des fournisseurs cloud américains tout en maintenant des échanges de données importants avec des entités de l’UE, Schrems II impose une réalité inconfortable. Les clauses contractuelles types, principal mécanisme légal pour les transferts de données Royaume-Uni–UE, exigent des mesures techniques et organisationnelles complémentaires lorsque les transferts impliquent des pays dotés de lois de surveillance problématiques. Les Recommandations 01/2020 du Comité européen de la protection des données précisent que ces mesures doivent rendre les données « inintelligibles » pour les autorités publiques—pourtant, la plupart des organisations britanniques s’appuient sur des architectures cloud où les fournisseurs conservent l’accès aux clés de chiffrement, rendant les données accessibles aux autorités américaines sur demande légale, indépendamment de leur lieu de stockage ou des protections contractuelles censées empêcher leur divulgation.

Table of Contents

La menace dépasse la simple conformité et met en jeu la pérennité même des flux de données Royaume-Uni–UE. Si les organisations britanniques généralisent l’usage d’architectures cloud permettant la surveillance américaine des données personnelles européennes, les défenseurs de la vie privée contesteront la décision d’adéquation du Royaume-Uni en s’appuyant sur le raisonnement de Schrems II qui a invalidé le Privacy Shield. Une telle contestation priverait le Royaume-Uni de son statut privilégié pour les transferts de données depuis l’UE, obligeant les entreprises britanniques à adopter les mêmes mécanismes de transfert complexes que ceux exigés pour les pays sans décision d’adéquation. Les organisations britanniques doivent donc évaluer si leurs relations avec les fournisseurs cloud répondent non seulement aux exigences actuelles en matière de transfert, mais aussi aux standards architecturaux nécessaires pour préserver le cadre d’adéquation qui permet des échanges de données efficaces entre le Royaume-Uni et l’UE.

Résumé exécutif

Idée principale : Schrems II a invalidé le Privacy Shield car les lois américaines sur la surveillance (FISA 702, Executive Order 12333) n’offrent pas de garanties suffisantes pour les personnes concernées dans l’UE.

Pourquoi c’est important : Les organisations britanniques utilisant des fournisseurs cloud américains doivent mettre en place des mesures techniques complémentaires—en particulier la gestion des clés de chiffrement par le client—pour protéger les flux de données Royaume-Uni–UE et préserver le statut d’adéquation du Royaume-Uni.

Points clés à retenir

  1. La Cour de justice de l’Union européenne a invalidé le Privacy Shield car les lois américaines sur la surveillance permettent l’accès aux données personnelles européennes sans garanties suffisantes, estimant que la FISA 702 et l’Executive Order 12333 n’imposent pas de limites suffisantes à l’accès gouvernemental et ne prévoient pas de recours judiciaire effectif pour les personnes concernées de l’UE dont les droits sont violés.
  2. L’adéquation du Royaume-Uni par la Commission européenne présente les mêmes vulnérabilités que celles qui ont détruit le Privacy Shield lorsque les organisations britanniques utilisent des fournisseurs cloud américains qui conservent l’accès aux clés de chiffrement, ouvrant la voie à la surveillance américaine des données personnelles européennes transitant par les infrastructures britanniques.
  3. Les clauses contractuelles types exigent des mesures techniques complémentaires rendant les données inintelligibles pour les autorités publiques selon les Recommandations 01/2020 du CEPD, mais le chiffrement géré par le fournisseur, où ce dernier conserve l’accès aux clés, ne répond pas à cette exigence car les autorités américaines peuvent contraindre le fournisseur à déchiffrer les données, indépendamment des interdictions contractuelles.
  4. Les analyses d’impact sur les transferts doivent évaluer l’efficacité pratique des mesures complémentaires, et non seulement leur conception théorique. La plupart des analyses sous-estiment la manière dont l’accès du fournisseur aux clés de chiffrement compromet les garanties techniques que les clauses contractuelles ne peuvent remplacer.
  5. La gestion des clés de chiffrement par le client, sans que le fournisseur ne possède jamais la capacité de déchiffrement, répond aux exigences des mesures complémentaires du CEPD en garantissant que les données restent inintelligibles même si les gouvernements contraignent le fournisseur cloud à divulguer les informations stockées, offrant ainsi une protection mathématique plutôt que contractuelle.
  6. Préserver l’adéquation du Royaume-Uni exige que les organisations britanniques prouvent que les données personnelles européennes transitant par leurs systèmes restent protégées de la surveillance américaine, ce qui signifie que l’adoption généralisée d’architectures cloud permettant l’accès du gouvernement américain pourrait entraîner des contestations mettant en péril la base légale des échanges de données Royaume-Uni–UE.

Schrems II et l’invalidation du Privacy Shield

Qu’est-ce que Schrems II ? L’affaire Schrems II (affaire C-311/18, décision du 16 juillet 2020) est un arrêt de la Cour de justice de l’Union européenne qui a invalidé le cadre Privacy Shield UE-États-Unis tout en établissant que les clauses contractuelles types exigent des mesures techniques complémentaires lors du transfert de données vers des pays sans garanties suffisantes contre la surveillance.

L’affaire Schrems II, officiellement intitulée Data Protection Commissioner c. Facebook Ireland Limited et Maximillian Schrems (affaire C-311/18), constitue la deuxième contestation réussie du militant autrichien Max Schrems contre les mécanismes de transfert de données UE–États-Unis. L’arrêt du 16 juillet 2020 a invalidé le Privacy Shield tout en confirmant la validité des clauses contractuelles types—mais uniquement si elles sont complétées par des garanties supplémentaires adaptées aux risques spécifiques des pays de destination.

Pourquoi le Privacy Shield n’a pas passé le test des droits fondamentaux

La Cour a estimé que les programmes de surveillance américains, notamment la Section 702 du Foreign Intelligence Surveillance Act et l’Executive Order 12333, permettent l’accès aux données personnelles européennes au-delà de ce qui est « strictement nécessaire » et proportionné à la protection de la sécurité nationale. Ces programmes autorisent la collecte massive de communications sans suspicion individualisée, fonctionnent sans véritable contrôle judiciaire pour les personnes non américaines et n’offrent aucun recours judiciaire effectif permettant aux personnes concernées de l’UE de contester une surveillance illégale.

La FISA 702 autorise le gouvernement américain à contraindre les entreprises technologiques américaines à fournir l’accès aux communications de personnes non américaines situées hors des États-Unis. Le FISA Court, qui supervise ces programmes, n’examine pas les mandats individuels mais approuve des certifications annuelles couvrant de larges catégories de cibles. Les personnes concernées de l’UE dont les communications sont interceptées n’ont aucun moyen réel d’être informées de la surveillance ou de la contester devant les tribunaux américains.

L’Executive Order 12333, qui régit la collecte de renseignements hors juridiction américaine, est encore moins encadré. Il autorise la collecte de communications directement depuis les infrastructures Internet, y compris les câbles sous-marins et les points d’échange réseau, sans même le contrôle limité du FISA Court applicable à la Section 702. Pour les données personnelles européennes transitant par les infrastructures américaines ou stockées chez des entreprises américaines, ces programmes de surveillance sont jugés incompatibles avec les droits fondamentaux à la vie privée et à la protection des données dans l’UE.

La limite des mécanismes contractuels

La Cour a souligné que les mécanismes contractuels comme le Privacy Shield ne peuvent pas compenser les lois du pays de destination permettant un accès gouvernemental incompatible avec les droits fondamentaux de l’UE. Les États-Unis s’étaient engagés par le Privacy Shield à limiter l’accès aux données à ce qui est nécessaire et proportionné, mais ces engagements contractuels ne peuvent prévaloir sur les lois américaines de sécurité nationale qui obligent les entreprises à fournir l’accès aux données.

Ce principe—selon lequel les contrats ne peuvent pas surpasser les obligations légales—est au cœur de l’impact durable de Schrems II. Si les engagements contractuels suffisaient à protéger les données contre un accès gouvernemental problématique, le Privacy Shield aurait survécu. Le rejet de cette approche par la Cour signifie que les organisations qui s’appuient uniquement sur les clauses contractuelles types sans mesures techniques complémentaires s’exposent à la même vulnérabilité qui a détruit le Privacy Shield.

Conséquences pour les fournisseurs de services cloud

L’arrêt Schrems II ne cite pas explicitement les fournisseurs cloud, mais ses conséquences pour les infrastructures cloud américaines sont évidentes. AWS, Microsoft Azure, Google Cloud et d’autres fournisseurs américains sont soumis aux mêmes autorités FISA 702 et Executive Order 12333 que la Cour a jugées incompatibles avec les droits fondamentaux de l’UE. Ces fournisseurs doivent répondre aux demandes d’accès du gouvernement américain, et leurs engagements contractuels envers les clients ne peuvent pas prévaloir sur leurs obligations légales de répondre aux ordres de surveillance.

Pour les organisations britanniques, cela complique immédiatement la donne. Les données stockées chez des fournisseurs cloud américains restent accessibles aux agences de renseignement américaines via des mécanismes légaux que la CJUE a explicitement rejetés comme insuffisants. Lorsque ces données incluent des informations personnelles sur des personnes concernées de l’UE—salariés d’entreprises européennes, clients d’entreprises de l’UE ou tout autre individu protégé par le RGPD—les organisations britanniques utilisant des fournisseurs cloud américains facilitent une surveillance jugée fondamentalement incompatible avec les droits à la protection des données.

Adéquation du Royaume-Uni et précédent Schrems II

Statut d’adéquation du Royaume-Uni : La Commission européenne a accordé au Royaume-Uni une décision d’adéquation le 28 juin 2021, permettant des flux de données sans restriction de l’UE vers le Royaume-Uni. Ce statut reste toutefois vulnérable si les organisations britanniques permettent la surveillance américaine des données personnelles européennes via des architectures cloud inadéquates.

Après le Brexit, le Royaume-Uni est devenu un « pays tiers » au sens du droit européen de la protection des données, nécessitant une décision d’adéquation de la Commission européenne pour permettre des flux de données sans restriction depuis l’UE. La Commission a accordé l’adéquation au Royaume-Uni le 28 juin 2021, estimant que la législation britannique offre une protection essentiellement équivalente à celle du RGPD.

La vulnérabilité de l’adéquation britannique

L’adéquation du Royaume-Uni présente la même vulnérabilité structurelle qui a détruit le Privacy Shield : si les organisations britanniques généralisent des architectures techniques permettant la surveillance américaine des données personnelles européennes, les défenseurs de la vie privée peuvent contester l’adéquation en s’appuyant sur le raisonnement de Schrems II. La décision d’adéquation part du principe que les données transférées au Royaume-Uni seront protégées selon les standards du RGPD britannique et du Data Protection Act 2018—mais si ces données sont immédiatement transférées à des fournisseurs cloud américains soumis à la FISA 702, la protection est-elle réelle ?

La décision d’adéquation de la Commission européenne précise qu’elle doit être réévaluée si les standards britanniques de protection des données évoluent au détriment des droits fondamentaux. Une adoption massive au Royaume-Uni d’architectures cloud facilitant la surveillance américaine pourrait constituer un tel changement, non par une modification législative, mais par une érosion pratique des garanties techniques. Si les données personnelles européennes transitent par le Royaume-Uni pour être stockées sur des infrastructures cloud américaines accessibles aux agences américaines, l’adéquation devient une faille technique contournant les protections posées par Schrems II.

Le problème du transfert ultérieur

L’adéquation du Royaume-Uni ne s’étend pas automatiquement aux transferts ultérieurs du Royaume-Uni vers des pays tiers. Lorsque des organisations britanniques transfèrent des données personnelles européennes à des fournisseurs cloud américains, elles réalisent des transferts ultérieurs qui doivent répondre à l’article 46 du RGPD britannique sur les garanties appropriées. Les clauses contractuelles types peuvent constituer la base légale de ces transferts—mais depuis Schrems II, les CCT seules sont insuffisantes lorsque les transferts concernent des pays dotés de lois de surveillance jugées incompatibles avec les droits fondamentaux par la CJUE.

Cela crée une cascade d’exigences de conformité. Les organisations européennes transférant des données à des destinataires britanniques doivent s’assurer que ces derniers disposent de garanties appropriées pour les transferts ultérieurs. Les organisations britanniques doivent réaliser des analyses d’impact sur les transferts pour vérifier si les CCT avec leurs fournisseurs cloud américains offrent une protection suffisante au regard des lois américaines sur la surveillance. Si ces analyses identifient des risques que les clauses contractuelles ne peuvent pas couvrir, des mesures techniques complémentaires deviennent obligatoires.

Le problème, c’est que la plupart des mesures complémentaires—chiffrement en transit, chiffrement au repos, droits d’audit contractuels—ne traitent pas la vulnérabilité fondamentale : les fournisseurs cloud américains conservent l’accès aux clés de chiffrement, rendant les données accessibles aux autorités américaines sur demande légale, indépendamment du lieu de stockage ou des protections contractuelles censées empêcher cet accès.

Préserver l’adéquation par l’architecture technique

La survie de l’adéquation britannique dépend en partie de la capacité des organisations à démontrer que les données personnelles européennes transitant par leurs systèmes restent effectivement protégées de la surveillance américaine. Il ne s’agit pas seulement d’une obligation de conformité pour chaque entreprise—c’est une responsabilité collective qui concerne toutes les entreprises britanniques bénéficiant de l’adéquation. Si les défenseurs de la vie privée prouvent que les organisations britanniques permettent systématiquement la surveillance américaine des données européennes via des choix architecturaux inadaptés, l’adéquation est menacée.

La solution passe par l’architecture technique, non par des promesses contractuelles. La gestion des clés de chiffrement par le client, éliminant tout accès du fournisseur, offre une garantie mathématique que les fournisseurs cloud américains ne peuvent pas fournir l’accès aux données, même sous contrainte légale. Les options de déploiement souverain, conservant les données européennes sur des infrastructures britanniques, éliminent totalement le problème du transfert ultérieur. Ces approches architecturales répondent à la préoccupation fondamentale de Schrems II : des voies d’accès gouvernemental que les mesures contractuelles ne peuvent empêcher.

Le problème des clés de chiffrement dans le contexte Schrems II

Point critique : La conformité Schrems II exige que les données soient « inintelligibles » pour les autorités publiques. Le chiffrement géré par le fournisseur ne répond pas à cette exigence car le fournisseur cloud peut être contraint de déchiffrer les données. La gestion des clés par le client—où le fournisseur ne possède jamais la capacité de déchiffrement—répond aux exigences des mesures complémentaires du CEPD.

Schrems II porte essentiellement sur l’accès gouvernemental aux données, et le contrôle des clés de chiffrement détermine si cet accès est possible. Si les fournisseurs cloud peuvent déchiffrer les données de leurs clients, les autorités peuvent les contraindre à exercer cette capacité, indépendamment des interdictions contractuelles. Si les fournisseurs ne peuvent pas déchiffrer les données car ils n’ont jamais possédé les clés, les demandes gouvernementales ne produisent que du texte chiffré inintelligible.

Chiffrement géré par le fournisseur et standard d’inintelligibilité

Les Recommandations 01/2020 du Comité européen de la protection des données sur les mesures complémentaires précisent que les garanties techniques doivent rendre les données « inintelligibles » à toute personne non autorisée à y accéder—including les autorités publiques du pays de destination. Le chiffrement géré par le fournisseur, où le prestataire contrôle les clés via ses services de gestion, ne répond pas à ce standard car le fournisseur peut être contraint de rendre les données intelligibles pour les autorités américaines.

La plupart des implémentations de chiffrement cloud utilisent des modules matériels de sécurité contrôlés par le fournisseur pour stocker les clés. Si ces HSM protègent contre les attaques externes, ils ne protègent pas contre les demandes gouvernementales adressées au fournisseur qui contrôle le HSM. Lorsque les autorités américaines émettent des ordres FISA 702 ou des lettres de sécurité nationale exigeant l’accès aux données, les fournisseurs cloud ayant accès aux clés peuvent déchiffrer et divulguer les données en clair, rendant le chiffrement techniquement solide mais juridiquement inutile au regard de Schrems II.

Certains fournisseurs proposent des « clés gérées par le client » permettant aux organisations de contrôler le cycle de vie et les règles d’utilisation des clés. Cependant, ces implémentations maintiennent souvent un accès fournisseur via des clés de secours, des mécanismes de récupération ou des privilèges administratifs nécessaires à l’exploitation du cloud. À moins que la gestion des clés par le client n’élimine explicitement et architecturalement tout accès du fournisseur—rendant techniquement impossible pour le fournisseur de déchiffrer les données même avec la coopération de ses employés et sous contrainte gouvernementale—elles ne répondent pas à l’exigence d’inintelligibilité du CEPD.

Les recommandations techniques du CEPD

Les Recommandations 01/2020 du CEPD fournissent des orientations détaillées sur les mesures techniques complémentaires adaptées à différents scénarios de transfert. Pour les transferts où l’exportateur conserve le contrôle des clés de chiffrement et où l’importateur (le fournisseur cloud) ne peut pas accéder aux données en clair, le CEPD considère cela comme une mesure complémentaire efficace empêchant l’accès gouvernemental aux données intelligibles.

L’exigence essentielle est que les clés de chiffrement restent exclusivement sous le contrôle de l’exportateur des données, sans jamais résider dans l’infrastructure du fournisseur cloud ni être accessibles via ses systèmes. Les clés doivent être générées hors de l’environnement du fournisseur, stockées dans des modules matériels ou serveurs de gestion contrôlés par le client, et utilisées uniquement dans des systèmes inaccessibles ou non modifiables par le fournisseur. Cette séparation architecturale garantit que les demandes gouvernementales adressées au fournisseur cloud ne permettent ni l’obtention des clés ni l’accès aux données en clair.

Les organisations britanniques mettant en œuvre cette architecture pour les données personnelles européennes stockées chez des fournisseurs cloud américains peuvent répondre à la fois aux exigences des CCT et à l’obligation de mesures complémentaires posée par Schrems II. Les clauses contractuelles instaurent des obligations légales, tandis que l’architecture technique garantit que ces obligations peuvent être respectées même en cas de demande d’accès par les autorités américaines. Le fournisseur peut se conformer aux demandes légales américaines en divulguant des données chiffrées tout en respectant ses engagements contractuels de protection de la vie privée, car sans les clés, les données divulguées restent inintelligibles.

Pourquoi c’est crucial pour les flux de données Royaume-Uni–UE

Lorsque des organisations britanniques reçoivent des données personnelles européennes et les transfèrent ensuite à des fournisseurs cloud américains sans mesures complémentaires adéquates, elles s’exposent, ainsi que leurs partenaires européens, à des risques juridiques. Les organisations européennes transférant des données à des destinataires britanniques doivent s’assurer que des garanties adéquates existent pour les transferts ultérieurs. Si l’architecture cloud britannique ne répond pas aux exigences de Schrems II, les organisations européennes ne peuvent pas légitimement transférer des données à des destinataires britanniques prévoyant de tels transferts ultérieurs.

Cela a des conséquences concurrentielles. Les entreprises britanniques offrant des garanties insuffisantes au regard de Schrems II risquent de voir leurs clients et partenaires européens réticents à partager des données, préférant des concurrents disposant de mesures techniques démontrables. Les sociétés de services financiers, cabinets juridiques, établissements de santé et entreprises technologiques dépendant des flux de données européens doivent concevoir une infrastructure cloud que les responsables de la protection des données de l’UE peuvent valider lors des analyses d’impact sur les transferts.

Analyses d’impact sur les transferts et mesures complémentaires

Exigence TIA : Les organisations britanniques doivent réaliser des analyses d’impact sur les transferts (TIA) pour évaluer si les clauses contractuelles types suffisent à protéger les transferts vers des pays dotés de lois de surveillance problématiques. Les TIA doivent évaluer l’efficacité pratique des garanties, et non seulement le langage contractuel.

Schrems II n’a pas invalidé les clauses contractuelles types, mais a établi qu’elles sont insuffisantes pour les transferts vers des pays dotés de lois de surveillance incompatibles avec les droits fondamentaux de l’UE. Les exportateurs de données doivent réaliser des analyses d’impact sur les transferts pour vérifier si la réalité juridique et technique du pays de destination permet de respecter les protections contractuelles prévues par les CCT.

Ce que les analyses d’impact doivent évaluer

Les analyses d’impact sur les transferts ne sont pas de simples formalités. Le CEPD précise qu’elles doivent évaluer l’efficacité pratique des garanties, et non seulement leur conception théorique. Pour les organisations britanniques transférant des données personnelles européennes à des fournisseurs cloud américains, les TIA doivent évaluer :

  • Si le chiffrement offre une protection effective. Si le fournisseur détient les clés, la réponse est non—les autorités peuvent contraindre à la divulgation ou au déchiffrement, rendant le chiffrement juridiquement inutile même s’il est techniquement solide.
  • Si les engagements contractuels empêchent l’accès gouvernemental. Les lois américaines de sécurité nationale prévalent explicitement sur les obligations contractuelles, donc les engagements contractuels des fournisseurs américains ne peuvent empêcher une divulgation imposée par la loi.
  • Si les mécanismes de transparence permettent de détecter l’accès gouvernemental. Les lettres de sécurité nationale et les ordres FISA interdisent souvent toute divulgation, empêchant les fournisseurs d’informer leurs clients, ce qui rend la détection impossible et la responsabilité illusoire.
  • Si un recours juridique existe en cas d’accès illégal. L’arrêt Schrems II a constaté que les personnes non américaines n’ont pas de recours judiciaire effectif devant les tribunaux américains pour la surveillance FISA 702, ce qui signifie que les violations ne peuvent être contestées ou réparées de manière significative.

Les organisations menant des TIA honnêtes pour leurs relations avec des fournisseurs cloud américains aboutissent généralement à des conclusions inconfortables : les garanties mises en place ne traitent pas réellement les voies d’accès fondamentales identifiées par Schrems II comme incompatibles avec les droits fondamentaux de l’UE.

L’exigence de mesures complémentaires

Lorsque les TIA révèlent que les CCT seules ne suffisent pas, des mesures techniques et organisationnelles complémentaires deviennent obligatoires. Les Recommandations 01/2020 du CEPD présentent différentes mesures complémentaires adaptées aux circonstances, mais toutes ne répondent pas à la problématique de la surveillance identifiée par Schrems II.

Les mesures organisationnelles—droits d’audit contractuels, engagements de transparence, minimisation des données—ne peuvent pas surpasser les pouvoirs d’accès gouvernementaux. Si la loi américaine autorise la surveillance, les engagements contractuels à ne pas y recourir sont juridiquement vides. Les audits ne peuvent pas détecter un accès gouvernemental classifié soumis à des obligations de non-divulgation. La minimisation des données réduit le risque mais n’élimine pas les voies d’accès aux données restantes.

Les mesures techniques offrent davantage de garanties, mais seules celles qui empêchent architecturalement l’accès du fournisseur aux données intelligibles sont efficaces. Le chiffrement en transit (TLS) protège les données lors du transfert mais pas au repos dans l’infrastructure du fournisseur. Le chiffrement au repos avec des clés gérées par le fournisseur échoue car le fournisseur peut être contraint de déchiffrer. La pseudonymisation et l’anonymisation ne fonctionnent que si elles sont réellement irréversibles, ce qui est souvent impossible pour des données opérationnelles nécessitant un lien avec le monde réel.

La mesure complémentaire qui répond de façon fiable aux exigences de Schrems II est le chiffrement géré par le client avec séparation cryptographique—clés générées, stockées et gérées entièrement hors de l’infrastructure du fournisseur, rendant techniquement impossible l’accès du fournisseur aux données en clair même sous contrainte gouvernementale. Cette mesure ne repose pas sur des promesses contractuelles ou des protections juridiques que les autorités peuvent outrepasser. Elle crée une certitude mathématique que la divulgation imposée au fournisseur ne produira que du texte chiffré inintelligible.

Erreurs fréquentes dans les TIA

De nombreuses organisations britanniques réalisent des analyses d’impact sur les transferts qui sous-estiment les risques Schrems II ou surestiment l’efficacité des mesures complémentaires. Les erreurs fréquentes incluent :

  • Considérer les offres de « clés gérées par le client » des fournisseurs comme un véritable contrôle client sans vérifier que le fournisseur ne peut pas accéder aux clés via des mécanismes de secours, de récupération ou des privilèges administratifs.
  • Supposer que le stockage des données au Royaume-Uni ou dans l’UE élimine le risque de surveillance américaine sans reconnaître que les maisons mères américaines restent soumises à la FISA 702, quel que soit l’emplacement des données.
  • S’appuyer sur les rapports de transparence du fournisseur comme preuve d’un accès gouvernemental limité sans admettre que les ordres de surveillance classifiés interdisent toute divulgation, rendant ces rapports incomplets par nature.
  • Mettre en œuvre le chiffrement en transit comme mesure complémentaire sans traiter le fait que les données doivent être déchiffrées pour le stockage et le traitement, moments où les systèmes gérés par le fournisseur y ont accès en clair.
  • Confondre la résidence des données (stockage dans une zone géographique) avec la souveraineté des données (contrôle exclusif de l’accès), en considérant le stockage au Royaume-Uni comme suffisant sans évaluer les voies d’accès de la maison mère américaine.

Ces erreurs dans les TIA ne créent pas seulement des risques de conformité pour chaque organisation. Si elles sont généralisées parmi les entreprises britanniques traitant des données européennes, elles renforcent les arguments en faveur d’une contestation de l’adéquation britannique sur la base de Schrems II.

Pourquoi les clauses contractuelles types ne suffisent pas

À retenir : Les clauses contractuelles types (CCT) posent les bases juridiques nécessaires mais ne peuvent pas surpasser les lois américaines sur la surveillance qui prévalent sur les engagements contractuels. Les mesures techniques complémentaires—en particulier le chiffrement géré par le client éliminant l’accès du fournisseur aux clés—sont obligatoires pour la conformité Schrems II.

Les clauses contractuelles types, approuvées par la Commission européenne en 2021, définissent des obligations contractuelles détaillées pour les transferts internationaux de données. Cependant, Schrems II a établi que ces protections contractuelles sont insuffisantes lorsque les lois du pays de destination permettent un accès gouvernemental incompatible avec les droits fondamentaux de l’UE—ce qui inclut explicitement les fournisseurs cloud américains soumis à la FISA 702.

Le problème de la primauté du droit

Les CCT exigent que les importateurs de données informent les exportateurs s’ils ne peuvent pas respecter les clauses, par exemple en raison de demandes gouvernementales contraires aux obligations contractuelles. Cependant, les lois américaines de sécurité nationale interdisent souvent une telle notification. Les lettres de sécurité nationale émises en vertu du 18 U.S.C. § 2709 comportent des clauses de non-divulgation empêchant les destinataires de révéler l’existence de ces lettres. Les ordres FISA imposent des restrictions similaires. Ces interdictions légales prévalent sur les engagements contractuels d’informer les clients des demandes d’accès aux données.

Cela crée une situation contractuelle insoluble. Les fournisseurs cloud américains ne peuvent pas respecter l’obligation de notification des CCT lorsque la loi interdit toute divulgation. Ils ne peuvent pas non plus refuser les demandes gouvernementales sous peine de violer la loi pénale américaine. Ils ne peuvent donc pas satisfaire aux deux obligations—respecter les autorités américaines de surveillance et honorer les engagements contractuels de confidentialité—car ces obligations sont fondamentalement incompatibles.

L’arrêt Schrems II a reconnu ce conflit et a conclu que les mesures contractuelles seules ne peuvent pas offrir une protection adéquate lorsque les lois du pays de destination prévalent sur les engagements contractuels. Pour les organisations britanniques, cela signifie que les CCT avec des fournisseurs cloud américains doivent être complétées par des mesures techniques qui restent efficaces même lorsque les fournisseurs font face à des demandes gouvernementales auxquelles ils ne peuvent ni s’opposer ni informer leurs clients.

Vulnérabilités propres aux modules

Les CCT de 2021 comportent quatre modules couvrant différents scénarios de transfert : responsable de traitement à responsable de traitement, responsable de traitement à sous-traitant, sous-traitant à sous-traitant, et sous-traitant à sous-traitant secondaire. Les relations avec les fournisseurs cloud utilisent généralement le module deux (responsable de traitement à sous-traitant), où l’organisation britannique agit en tant que responsable de traitement et le fournisseur cloud traite les données sur instruction du responsable.

Le module deux prévoit des dispositions spécifiques exigeant des sous-traitants qu’ils mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données. Cependant, ces mesures doivent satisfaire non seulement aux exigences contractuelles, mais aussi au standard d’efficacité pratique posé par Schrems II. Le chiffrement géré par le fournisseur satisfait au langage contractuel sur le « chiffrement des données personnelles » mais échoue à l’exigence Schrems II selon laquelle le chiffrement doit rendre les données inintelligibles pour les autorités publiques lorsque le fournisseur contrôle les clés et peut être contraint de déchiffrer.

Les CCT exigent également des sous-traitants qu’ils assistent les responsables de traitement dans la gestion des demandes des personnes concernées, la réalisation d’analyses d’impact et la démonstration de la conformité en matière de sécurité des données. Lorsque les sous-traitants utilisent des clés de chiffrement qu’ils contrôlent, ils conservent la capacité technique d’apporter cette assistance—mais cette même capacité leur permet aussi d’assister les autorités gouvernementales exigeant l’accès aux données. L’architecture permettant la fonctionnalité opérationnelle crée la vulnérabilité identifiée par Schrems II.

Les mesures complémentaires comme exigences obligatoires

Les orientations du CEPD précisent que les mesures complémentaires ne sont pas des options facultatives—elles sont obligatoires lorsque les TIA identifient des risques que les CCT seules ne peuvent pas traiter. Pour les transferts vers les États-Unis, la présence de la FISA 702 et d’autorités de surveillance associées crée un besoin présumé de mesures complémentaires. Les organisations affirmant que les CCT seules suffisent doivent démontrer que les lois américaines sur la surveillance ne créent pas de risques nécessitant des garanties supplémentaires—un argument difficile à défendre après Schrems II.

Le Contrôleur européen de la protection des données est allé plus loin, suggérant que pour certains types de transferts vers les États-Unis, aucune mesure complémentaire ne peut offrir une protection adéquate, sauf à ne pas transférer du tout. Bien que cette interprétation soit plus restrictive que les recommandations du CEPD, elle illustre la gravité avec laquelle les autorités européennes considèrent les risques liés à la surveillance américaine après Schrems II.

Pour les organisations britanniques, le message est clair : les CCT posent les bases juridiques nécessaires pour les relations avec les fournisseurs cloud américains, mais seule l’architecture technique détermine si ces relations répondent aux exigences de Schrems II. Les formulations contractuelles sur le chiffrement, la sécurité et la notification d’accès gouvernemental ne peuvent remplacer une architecture cryptographique rendant mathématiquement impossible l’accès du fournisseur aux données en clair.

Scénarios concrets : flux de données Royaume-Uni–UE sous Schrems II

Cabinet d’avocats britannique avec des clients européens : protection du secret professionnel au-delà des frontières

Un cabinet d’avocats basé à Manchester représente des clients à travers l’Europe dans des dossiers de contentieux commercial, de concurrence et d’enquêtes réglementaires. Le cabinet utilisait auparavant Microsoft 365 pour la gestion documentaire et les communications clients, en s’appuyant sur les régions UE d’Azure pour la résidence des données. Lorsqu’il a commencé à conseiller une entreprise pharmaceutique allemande sur un dossier susceptible d’intéresser les autorités américaines, le DPO du client s’est interrogé sur la conformité de l’architecture cloud du cabinet avec les exigences de mesures complémentaires de Schrems II.

La préoccupation du DPO était précise : Microsoft, en tant qu’entreprise américaine soumise à la FISA 702, pourrait être contrainte de donner accès aux autorités américaines aux documents clients stockés dans les régions Azure de l’UE. Même avec des clauses contractuelles types et des engagements contractuels d’Azure en matière de protection des données, les lois américaines sur la surveillance prévalent sur ces protections. Le secret professionnel du client, protégé par le droit allemand et la Charte de l’UE, pourrait être compromis par la surveillance américaine permise par l’architecture cloud du cabinet.

Le cabinet a réalisé une analyse d’impact sur les transferts concernant son déploiement Azure. L’analyse a conclu que l’accès de Microsoft aux clés de chiffrement créait exactement la vulnérabilité identifiée par le DPO du client. Bien que les données résident dans l’UE, la maison mère américaine de Microsoft conserve la capacité technique de déchiffrer et de divulguer ces données sous contrainte FISA 702. Les CCT du cabinet avec Microsoft offrent des protections contractuelles que les lois américaines de sécurité nationale peuvent surpasser.

Le cabinet a déployé Kiteworks sur site dans son data center britannique avec des clés de chiffrement gérées par le client et stockées dans des modules matériels contrôlés au Royaume-Uni. Les données des clients européens ne transitent jamais vers des infrastructures américaines, les clés de chiffrement restent exclusivement sous contrôle du cabinet, et la géofencing bloque toute authentification depuis des adresses IP américaines. Lorsque la DPO du client pharmaceutique allemand a examiné la nouvelle architecture, elle l’a validée comme répondant aux exigences de mesures complémentaires de Schrems II—l’architecture technique rend les données inintelligibles pour Microsoft, les autorités américaines ou toute autre personne dépourvue des clés contrôlées au Royaume-Uni par le cabinet.

Entreprise de services financiers britannique : protection des données clients européennes

Une société de gestion de patrimoine basée à Londres accompagne des particuliers fortunés et des family offices au Royaume-Uni et dans l’Union européenne. Elle utilisait auparavant Salesforce pour la gestion de la relation client et Google Workspace pour les communications opérationnelles, pensant que les engagements contractuels et les certifications suffisaient à protéger les données clients européennes.

Lorsqu’elle a voulu développer ses services en Allemagne et en France, les conseillers conformité des clients potentiels ont soulevé des préoccupations liées à Schrems II. Le stockage d’informations financières de clients européens chez des fournisseurs cloud américains soumis à la FISA 702 exposait potentiellement à la surveillance américaine. Même si cette surveillance vise des menaces légitimes à la sécurité nationale, sa nature de collecte massive signifie que les données clients européennes peuvent être collectées et conservées de façon incidente—exactement le problème jugé incompatible avec les droits fondamentaux par la CJUE dans Schrems II.

La première réaction de la société a été de mettre en place des clauses contractuelles types avec Salesforce et Google, de réaliser des analyses d’impact sur les transferts et de documenter que les données étaient stockées dans des régions de l’UE. Cependant, les conseillers des clients ont identifié que ces mesures ne traitaient pas le problème fondamental : les maisons mères américaines contrôlant les régions UE conservent l’accès aux clés de chiffrement permettant la divulgation sous contrainte gouvernementale. Les CCT offrent des protections contractuelles que les lois américaines de surveillance peuvent surpasser. Les TIA documentaient les risques sans les traiter réellement.

L’entreprise a déployé Kiteworks pour la gestion des données clients et les communications sensibles, en mettant en œuvre un chiffrement géré par le client avec des clés générées et stockées dans une infrastructure contrôlée au Royaume-Uni. Les données personnelles des clients européens transitent via cette architecture souveraine plutôt que par des systèmes cloud américains. Les analyses d’impact sur les transferts documentent désormais des mesures techniques complémentaires conformes aux Recommandations 01/2020 du CEPD—chiffrement rendant les données inintelligibles pour les fournisseurs cloud, contrôle cryptographique des clés éliminant les voies d’accès gouvernemental que les mesures contractuelles ne peuvent empêcher.

L’architecture a permis à l’entreprise de sécuriser des clients allemands et français dont les DPO exigent une conformité démontrable à Schrems II. Lorsque l’adéquation britannique fait l’objet d’un examen périodique, l’architecture protectrice de l’UE de l’entreprise démontre que les organisations britanniques peuvent maintenir une protection robuste des données personnelles européennes, soutenant ainsi les arguments en faveur du maintien de l’adéquation.

Fournisseur de soins de santé britannique : collaboration de recherche transfrontalière

Un NHS Trust britannique participe à des recherches cliniques multinationales impliquant le partage de données patients avec des institutions allemandes et suédoises. La collaboration utilisait auparavant Microsoft Teams et SharePoint pour la gestion des données de recherche, en s’appuyant sur les régions UE de Microsoft et les clauses contractuelles types pour la conformité. Lorsqu’un DPO d’une institution allemande a mené une revue Schrems II des collaborations internationales, l’architecture cloud du NHS Trust a suscité des inquiétudes.

La recherche porte sur des données de santé protégées par l’article 9 du RGPD britannique et les dispositions sur les catégories particulières du RGPD européen. Le DPO allemand a identifié que le contrôle de la maison mère américaine de Microsoft et l’accès aux clés de chiffrement créaient des risques que les CCT seules ne pouvaient pas traiter. Si les autorités américaines adressaient des ordres FISA 702 à Microsoft pour des données relatives à des sujets de recherche présentant un intérêt, même indirect, pour la sécurité nationale, Microsoft serait légalement contraint de fournir l’accès aux données de santé européennes stockées dans ses systèmes.

Le comité d’éthique de l’institution allemande, conseillé par le DPO, a conclu que participer à une recherche utilisant une infrastructure cloud américaine créait des risques incompatibles avec les droits fondamentaux des sujets de recherche au regard de Schrems II. Soit la collaboration devait mettre en œuvre des mesures techniques complémentaires adéquates, soit l’institution allemande se retirerait du programme de recherche.

Le NHS Trust a évalué les options de mesures complémentaires. La pseudonymisation seule était insuffisante car l’utilité de la recherche nécessitait de relier les données aux sujets individuels. Le chiffrement au repos via la gestion des clés Microsoft échouait car Microsoft conservait la capacité de déchiffrement sous contrainte gouvernementale. Les mesures organisationnelles—audits contractuels, engagements de transparence—ne pouvaient pas surpasser les pouvoirs légaux américains.

Le Trust a déployé Kiteworks pour la gestion des données de recherche avec des clés de chiffrement gérées exclusivement dans une infrastructure contrôlée par le NHS. Les données de recherche provenant des institutions européennes transitent via une architecture souveraine britannique où ni les fournisseurs cloud américains ni les autorités américaines ne peuvent accéder aux données en clair. Le DPO de l’institution allemande a validé l’architecture comme répondant aux exigences de mesures complémentaires de Schrems II, permettant la poursuite de la collaboration.

Entreprise technologique britannique : plateforme SaaS pour clients européens

Une société logicielle britannique propose une plateforme SaaS de gestion RH à des clients dans toute l’Europe. La plateforme fonctionnait auparavant sur l’infrastructure AWS dans des régions UE, l’entreprise se positionnant comme une alternative européenne à ses concurrents américains. Lorsque les clients ont commencé à demander des documents de conformité Schrems II, l’entreprise a découvert que son architecture AWS créait précisément les vulnérabilités que ses clients cherchaient à éviter.

Les DPO des clients européens ont identifié qu’AWS, en tant qu’entreprise américaine soumise à la FISA 702, conservait l’accès aux clés de chiffrement permettant la divulgation des données sous contrainte gouvernementale, indépendamment de la localisation des données dans l’UE. Les CCT de l’entreprise avec ses clients incluaient des engagements de protection contre les accès non autorisés—mais comment les honorer si le fournisseur d’infrastructure pouvait être contraint de donner accès aux autorités américaines ?

La position de l’entreprise comme alternative européenne dépendait de sa capacité à protéger réellement les données clients européennes de la surveillance américaine. Or, son infrastructure AWS signifiait que les données restaient aussi vulnérables à la FISA 702 que si elles étaient hébergées directement chez des concurrents américains. Le discours marketing sur la protection européenne des données n’était pas soutenu par une architecture technique empêchant l’accès du gouvernement américain.

L’entreprise a réarchitecturé son déploiement, migré vers une infrastructure cloud souveraine au Royaume-Uni avec clés de chiffrement gérées par le client. Les données clients européennes sont chiffrées avec des clés générées, gérées et stockées hors du contrôle d’AWS. L’entreprise peut désormais démontrer aux DPO de ses clients que son architecture répond aux exigences de mesures complémentaires de Schrems II—les données stockées sur sa plateforme restent inintelligibles pour les fournisseurs cloud américains et les autorités américaines, rendant ses engagements de protection des données techniquement vérifiables et non plus seulement contractuels.

Comparatif : Kiteworks vs. fournisseurs cloud hyperscale américains

Dimension Schrems II Kiteworks Fournisseurs cloud hyperscale américains
Contrôle des clés de chiffrement Clés gérées par le client sans aucun accès Kiteworks ; les clés ne transitent jamais dans l’infrastructure du fournisseur KMS géré par le fournisseur avec accès aux clés ; les clés gérées par le client maintiennent souvent une capacité de récupération par le fournisseur
Exposition FISA 702 Aucune exposition si déployé sur site ou dans un cloud souverain britannique ; Kiteworks ne peut pas être contraint par la FISA 702 Maisons mères américaines soumises à la FISA 702, quel que soit l’emplacement de stockage ou le déploiement régional
Intelligibilité pour le gouvernement Les données restent inintelligibles pour les autorités américaines ; le texte chiffré est inutilisable sans les clés contrôlées par le client Les données sont intelligibles pour les autorités américaines via l’accès aux clés du fournisseur ; la contrainte gouvernementale donne accès au texte en clair
Conformité CCT L’architecture technique soutient les engagements des CCT ; aucun conflit entre obligations contractuelles et droit américain Obligations contractuelles des CCT en conflit avec les lois américaines de sécurité nationale imposant la divulgation des données
Mesures complémentaires Le chiffrement géré par le client répond aux exigences techniques des Recommandations 01/2020 du CEPD Le chiffrement géré par le fournisseur échoue à l’exigence d’inintelligibilité du CEPD ; mesures complémentaires inadéquates
Analyse d’impact sur les transferts Les TIA peuvent documenter des garanties techniques efficaces empêchant la surveillance américaine Les TIA doivent identifier les risques non maîtrisés liés à l’accès du fournisseur aux clés et à l’applicabilité des lois américaines
Protection des flux de données Royaume-Uni–UE L’architecture protège les données personnelles européennes de la surveillance américaine, soutenant la préservation de l’adéquation britannique L’architecture permet la surveillance américaine des données européennes transitant par les systèmes britanniques, menaçant l’adéquation
Ordres de non-divulgation Non applicable ; le fournisseur n’a pas la capacité d’accès aux données que le gouvernement pourrait contraindre Sujet aux lettres de sécurité nationale et aux ordres FISA interdisant la notification au client
Recours juridique Les droits des personnes concernées de l’UE ne sont pas compromis par les lois américaines de surveillance auxquelles Kiteworks n’est pas soumis Les personnes concernées de l’UE n’ont pas de recours effectif contre la surveillance FISA 702—cœur du constat Schrems II
Charge du transfert ultérieur Les organisations britanniques recevant des données européennes peuvent mettre en œuvre des garanties adéquates pour les transferts ultérieurs Les organisations britanniques créent des problèmes de transfert ultérieur pour les sources européennes en utilisant une architecture cloud américaine inadéquate

Conclusion : l’architecture technique détermine la conformité Schrems II

Schrems II a profondément modifié la conformité des transferts internationaux de données en établissant que les protections contractuelles seules ne peuvent pas traiter la surveillance gouvernementale dans les pays de destination. Pour les organisations britanniques gérant des flux de données entre le Royaume-Uni et l’Union européenne tout en utilisant des fournisseurs cloud américains, cet arrêt crée des impératifs juridiques, opérationnels et stratégiques que le langage contractuel ne peut satisfaire.

La Cour de justice de l’Union européenne n’a pas interdit les transferts vers les États-Unis—elle a exigé que ces transferts s’accompagnent de mesures complémentaires rendant les données inintelligibles pour les autorités américaines. Cette exigence technique ne peut pas être satisfaite par des engagements contractuels, des certifications de conformité ou des mesures organisationnelles que les lois de surveillance gouvernementale peuvent surpasser. Elle impose une architecture cryptographique où les fournisseurs cloud ne possèdent jamais les clés de chiffrement nécessaires à la lecture des données, même sous contrainte légale.

L’adéquation britannique permet des mécanismes simplifiés pour les flux de données Royaume-Uni–UE, mais ce statut privilégié est vulnérable si les organisations britanniques permettent la surveillance américaine des données personnelles européennes via une architecture cloud inadéquate. Les défenseurs de la vie privée ont déjà invalidé le Privacy Shield sur la base de Schrems II ; ils pourraient utiliser les mêmes arguments contre l’adéquation britannique si les entreprises généralisent des architectures techniques facilitant la surveillance jugée incompatible avec les droits fondamentaux de l’UE.

Pour les organisations britanniques, la voie à suivre passe par l’architecture technique, non par l’optimisme contractuel. La gestion des clés de chiffrement par le client, éliminant tout accès du fournisseur, répond aux exigences des mesures complémentaires du CEPD en offrant une garantie mathématique que la contrainte gouvernementale ne peut surpasser. Les options de déploiement souverain, conservant les données européennes sur des infrastructures britanniques, éliminent totalement les complications liées aux transferts ultérieurs. Ces approches architecturales ne répondent pas seulement aux obligations de conformité—elles préservent le cadre d’adéquation qui permet des échanges de données efficaces entre le Royaume-Uni et l’UE, au bénéfice de toutes les entreprises britanniques opérant sur les marchés européens.

La conformité Schrems II ne s’obtient pas par la documentation—elle s’obtient par l’architecture. Les organisations britanniques qui comprennent cette distinction peuvent bâtir une infrastructure cloud protégeant réellement les données personnelles européennes tout en maintenant leur efficacité opérationnelle. Celles qui s’en remettent aux promesses contractuelles de fournisseurs américains conservant l’accès aux clés de chiffrement s’exposent, ainsi que leurs partenaires européens, et, à terme, l’adéquation britannique elle-même.

Comment Kiteworks permet la conformité Schrems II pour les organisations britanniques

Kiteworks répond aux exigences de mesures complémentaires de Schrems II grâce à une conception architecturale conforme aux Recommandations 01/2020 du CEPD. Les clés de chiffrement détenues par le client, sans aucun accès du fournisseur, garantissent que les données restent inintelligibles pour les autorités américaines même sous contrainte FISA 702. Les algorithmes de chiffrement validés FIPS 140-3 niveau 1, associés à S/MIME, OpenPGP et TLS 1.3, protègent les données tout au long de leur cycle de vie, tandis que le contrôle cryptographique des clés rend l’accès gouvernemental mathématiquement impossible, quelle que soit la demande légale.

Des options de déploiement flexibles et sécurisées—sur site, cloud souverain britannique ou environnements isolés—éliminent toute exposition à la juridiction américaine. Lorsqu’il est déployé hors des infrastructures américaines, Kiteworks ne peut pas être contraint par la FISA 702, les lettres de sécurité nationale ou d’autres autorités de surveillance extraterritoriales. La géofencing granulaire impose des restrictions d’accès empêchant toute authentification depuis des adresses IP américaines, tandis que les contrôles de juridiction garantissent que seuls les personnels autorisés du Royaume-Uni ou de l’UE accèdent aux données personnelles européennes.

Le Réseau de données privé unifié de Kiteworks étend la conformité Schrems II à tous les canaux de communication de contenu : la messagerie électronique, le partage et le transfert de fichiers
formulaires web sécurisés, SFTP, et autres. Des journaux d’audit détaillés documentent tous les accès aux données, soutenant les analyses d’impact sur les transferts et démontrant l’efficacité des mesures complémentaires. L’intégration avec les solutions SIEM permet une surveillance en temps réel de la gestion des données personnelles européennes.

Kiteworks permet aux organisations britanniques de répondre à la fois aux exigences des clauses contractuelles types et aux mesures techniques complémentaires du CEPD, protégeant les flux de données Royaume-Uni–UE tout en soutenant la préservation de l’adéquation britannique grâce à des garanties techniques démontrables empêchant la surveillance américaine des données personnelles européennes.

Pour en savoir plus sur la protection des données personnelles européennes en conformité avec le RGPD
et les autres exigences réglementaires, réservez votre démo personnalisée dès aujourd’hui.

Foire aux questions

Schrems II a invalidé le cadre Privacy Shield UE–États-Unis le 16 juillet 2020 car la Cour de justice de l’Union européenne a estimé que les lois américaines sur la surveillance—notamment la FISA 702 et l’Executive Order 12333—permettent l’accès gouvernemental aux données personnelles européennes sans garanties suffisantes pour les droits fondamentaux des personnes concernées. Cet arrêt concerne les organisations britanniques car elles sont soumises aux mêmes exigences de conformité lors du transfert de données personnelles européennes à des fournisseurs cloud américains. Les clauses contractuelles types (CCT) restent valides mais exigent des mesures techniques complémentaires rendant les données inintelligibles pour les autorités américaines. La plupart des organisations britanniques utilisant des fournisseurs cloud américains avec accès aux clés de chiffrement ne respectent pas cette exigence, ce qui crée une exposition juridique et menace la légitimité des flux de données Royaume-Uni–UE.

Les clauses contractuelles types (CCT) sont des contrats bilatéraux entre exportateurs et importateurs de données définissant des obligations spécifiques de protection des données, tandis que le Privacy Shield UE–États-Unis était une décision d’adéquation permettant des transferts sans restriction vers des organisations américaines certifiées. Schrems II a confirmé la validité des CCT comme mécanisme juridique mais a établi que les protections contractuelles seules ne peuvent pas traiter les lois du pays de destination permettant une surveillance incompatible avec les droits fondamentaux de l’UE. Les lois américaines de sécurité nationale prévalent sur les engagements contractuels, rendant les dispositions des CCT sur la notification d’accès gouvernemental et le recours juridique inapplicables en pratique. Les mesures techniques complémentaires—en particulier le chiffrement avec clés gérées par le client éliminant l’accès du fournisseur—deviennent obligatoires pour rendre les données inintelligibles aux autorités que les clauses contractuelles ne peuvent empêcher d’exiger l’accès.

Les Recommandations 01/2020 du CEPD fournissent des orientations détaillées sur les mesures complémentaires pour les transferts internationaux de données lorsque les clauses contractuelles types (CCT) ne suffisent pas à protéger les données. Elles précisent que les mesures techniques doivent rendre les données « inintelligibles » à toute personne non autorisée à y accéder, y compris les autorités publiques du pays de destination. Pour les transferts vers les États-Unis impliquant des fournisseurs cloud, le CEPD exige un chiffrement dont l’exportateur contrôle les clés et où l’importateur ne peut pas accéder aux données en clair. Le chiffrement géré par le fournisseur, où ce dernier conserve l’accès aux clés, ne répond pas à cette exigence car les autorités américaines peuvent contraindre le fournisseur à déchiffrer les données. Ces recommandations constituent des orientations contraignantes des autorités européennes sur ce que la conformité Schrems II implique concrètement.

Processus TIA : Les analyses d’impact sur les transferts doivent évaluer l’efficacité pratique des garanties, et pas seulement le langage contractuel. Questions clés : votre fournisseur cloud a-t-il accès aux clés de chiffrement ? Les autorités américaines peuvent-elles contraindre au déchiffrement ? Les lois de non-divulgation empêchent-elles la notification au client ? Le chiffrement géré par le client répond à ces risques ; les clés gérées par le fournisseur non.

Les analyses d’impact sur les transferts doivent évaluer l’efficacité pratique des garanties, et non seulement leur conception théorique ou leur formulation contractuelle. Les organisations britanniques doivent vérifier si leur fournisseur cloud conserve l’accès aux clés de chiffrement que les autorités américaines pourraient contraindre à utiliser pour déchiffrer les données. Les TIA doivent évaluer si les engagements contractuels peuvent réellement être respectés lorsque les lois américaines de surveillance prévalent sur les obligations contractuelles. Les analyses doivent aussi prendre en compte si les dispositions de non-divulgation des lois de sécurité nationale empêchent le fournisseur d’informer ses clients d’un accès gouvernemental. Enfin, les TIA doivent documenter les mesures techniques complémentaires mises en place pour traiter les risques identifiés—le chiffrement géré par le client éliminant l’accès du fournisseur aux clés répond aux exigences du CEPD, tandis que les mesures organisationnelles comme les droits d’audit ou les engagements de transparence ne peuvent pas surpasser les pouvoirs d’accès gouvernementaux que les protections contractuelles ne peuvent empêcher.

Oui—Risque pour l’adéquation : L’adéquation du Royaume-Uni pourrait être contestée si des défenseurs de la vie privée démontrent que les organisations britanniques permettent la surveillance américaine des données personnelles européennes via des architectures cloud inadéquates. Le même raisonnement Schrems II qui a invalidé le Privacy Shield s’applique lorsque les entreprises britanniques facilitent une surveillance américaine jugée incompatible avec les droits fondamentaux.

L’adéquation britannique est susceptible d’être contestée si des défenseurs de la vie privée prouvent que des données personnelles européennes transférées au Royaume-Uni sont ensuite envoyées à des fournisseurs cloud américains permettant une surveillance jugée incompatible avec les droits fondamentaux selon Schrems II. La décision d’adéquation part du principe que le RGPD britannique et le Data Protection Act 2018 offrent une protection essentiellement équivalente aux standards européens, mais une adoption massive au Royaume-Uni d’architectures cloud américaines facilitant la surveillance américaine affaiblit cette protection dans la pratique. Les défenseurs de la vie privée ont déjà invalidé le Privacy Shield en démontrant l’insuffisance des garanties contre la surveillance américaine ; ils pourraient utiliser des arguments similaires contre l’adéquation britannique si les entreprises permettent précisément la surveillance rejetée par Schrems II. Préserver l’adéquation exige de prouver que les données personnelles européennes restent effectivement protégées de l’accès gouvernemental américain, ce qui fait des choix architecturaux des entreprises britanniques un enjeu collectif pour le maintien des bénéfices de l’adéquation.

Étapes de mise en œuvre : 1) Vérifiez si votre fournisseur cloud a accès aux clés de chiffrement. 2) Mettez en place un chiffrement géré par le client avec des clés stockées hors de l’infrastructure du fournisseur. 3) Envisagez un déploiement souverain (sur site ou cloud privé britannique) pour les données personnelles européennes. 4) Documentez les mesures techniques dans les analyses d’impact sur les transferts. 5) Mettez en œuvre une géofencing empêchant tout accès depuis la juridiction américaine aux données européennes.

La mise en œuvre de mesures complémentaires efficaces exige des changements architecturaux, et non de simples améliorations documentaires. Les organisations britanniques doivent vérifier si leurs fournisseurs cloud conservent l’accès aux clés de chiffrement et, le cas échéant, mettre en place un chiffrement géré par le client où les clés sont générées, stockées et gérées entièrement hors de l’infrastructure du fournisseur. Elles doivent envisager des options de déploiement souverain—sur site ou cloud privé britannique—qui éliminent toute exposition à la juridiction américaine pour les données européennes. Les analyses d’impact sur les transferts doivent documenter l’efficacité de ces garanties techniques pour rendre les données inintelligibles aux autorités américaines, conformément aux Recommandations 01/2020 du CEPD. Enfin, les organisations doivent mettre en œuvre une géofencing et des contrôles d’accès garantissant que les données personnelles européennes ne peuvent pas être consultées depuis les États-Unis, empêchant à la fois l’accès opérationnel et la surveillance gouvernementale depuis le territoire américain. Ces mesures techniques offrent la protection complémentaire exigée par Schrems II et que les clauses contractuelles seules ne peuvent garantir.

Ressources complémentaires

 

  • Article de blog  
    Souveraineté des données : bonne pratique ou exigence réglementaire ?
  • eBook  
    Souveraineté des données et RGPD
  • Article de blog  
    Les pièges à éviter en matière de souveraineté des données
  • Article de blog  
    Bonnes pratiques pour la souveraineté des données
  • Article de blog  
    Souveraineté des données et RGPD [Comprendre la sécurité des données]

    •  

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks