Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Comment les comités d’entreprise allemands (Betriebsräte) peuvent garantir la souveraineté des données des collaborateurs lors des déploiements cloud

Comment les comités d’entreprise allemands (Betriebsräte) peuvent garantir la souveraineté des données des collaborateurs lors des déploiements cloud

par Danielle Barbour updated février 11, 2026 Conformité réglementaire
temps de lecture: 10 minutes

Selon l’article 87(1) n° 6 de la Loi sur la constitution des entreprises (Betriebsverfassungsgesetz, BetrVG), le Betriebsrat dispose d’un droit de codétermination sur tout dispositif technique susceptible de surveiller le comportement ou la performance des salariés. Les plateformes cloud génèrent des journaux, des métadonnées et des schémas d’utilisation qui sont considérés comme des systèmes de surveillance au sens de la jurisprudence du Bundesarbeitsgericht, conférant ainsi aux comités d’entreprise un pouvoir direct sur les décisions d’adoption du cloud.

Pourtant, la plupart des organisations allemandes considèrent l’approbation du comité d’entreprise comme une simple formalité. Lorsque des fournisseurs cloud dont le siège est aux États-Unis traitent des données de salariés, le CLOUD Act et la section 702 du FISA autorisent les autorités américaines à exiger l’accès aux données, quel que soit l’emplacement des serveurs. Les clauses contractuelles types ne peuvent pas s’opposer à cette obligation légale, créant ainsi un conflit fondamental : approuver une plateforme cloud exploitée par une entreprise américaine peut exposer les données des salariés à la surveillance d’un gouvernement étranger.

Dans ce guide, nous expliquons comment les comités d’entreprise peuvent exercer leurs droits de codétermination pour garantir une véritable souveraineté des données des salariés, notamment les exigences architecturales à imposer, comment évaluer les modèles de chiffrement et les clauses à intégrer dans les Betriebsvereinbarungen.

Résumé Exécutif

Idée principale : Les comités d’entreprise allemands disposent de droits de codétermination juridiquement contraignants sur les déploiements cloud affectant les données des salariés. Pour exercer efficacement ces droits, il faut exiger des contrôles architecturaux de souveraineté : gestion des clés de chiffrement par le client, déploiement européen à locataire unique et application vérifiable de la résidence des données.

Pourquoi c’est important : Le Bundesarbeitsgericht interprète largement l’article 87(1) n° 6 BetrVG. Toute plateforme cloud objectivement apte à surveiller le comportement des salariés déclenche la codétermination, indépendamment de l’intention de l’employeur. Déployer un service cloud américain sans accord du comité d’entreprise sur la souveraineté des données peut être contesté juridiquement. Les membres du comité d’entreprise qui approuvent des plateformes sans garanties suffisantes risquent de manquer à leur devoir légal de contrôler le respect des lois de protection des salariés par l’employeur.

5 points clés à retenir

  1. Les droits de codétermination couvrent pratiquement toutes les plateformes cloud. L’interprétation large du Bundesarbeitsgericht signifie que tout logiciel générant des journaux d’activité, des historiques d’accès ou des métadonnées d’utilisation implique l’intervention du comité d’entreprise, même sans intention de surveillance de l’employeur.
  2. L’emplacement des serveurs en Allemagne n’assure pas la souveraineté des données. Les fournisseurs cloud américains restent soumis au CLOUD Act et à la section 702 du FISA, quel que soit l’endroit où les données sont stockées. Le BfDI a confirmé que la localisation du centre de données seule est insuffisante.
  3. Les accords d’entreprise doivent inclure des clauses techniques de souveraineté. Les Betriebsvereinbarungen efficaces doivent préciser la propriété des clés de chiffrement, l’architecture de déploiement, l’application de la résidence des données et les limitations d’accès du fournisseur, plutôt que de s’appuyer sur des engagements contractuels.
  4. La gestion des clés de chiffrement par le client est la meilleure garantie de souveraineté. Lorsque l’organisation contrôle les clés de chiffrement dans son propre module de sécurité matériel (HSM), le fournisseur ne peut pas déchiffrer les données des salariés, même sous la contrainte d’une autorité étrangère.
  5. Les comités d’entreprise doivent exiger une vérification continue de la conformité. Un contrôle ponctuel lors du déploiement ne suffit pas. Les accords doivent prévoir des droits d’audit réguliers, des exigences de journalisation des accès et des obligations de notification en cas de modification des traitements de données.

Pourquoi les déploiements cloud déclenchent la codétermination du comité d’entreprise

La portée étendue de l’article 87(1) n° 6 BetrVG

Le droit de codétermination du Betriebsrat s’applique à « l’introduction et l’utilisation de dispositifs techniques destinés à surveiller le comportement ou la performance des salariés ». Bien que la loi mentionne « destinés », le Bundesarbeitsgericht l’interprète largement depuis sa décision de 1975 (BAG, 9 septembre 1975, 1 ABR 20/74) : la simple aptitude objective à la surveillance suffit. L’intention de surveiller ou l’exploitation effective des données de performance n’est pas requise.

Cela concerne pratiquement toutes les plateformes cloud. Les suites de productivité, outils de partage de fichiers, systèmes de messagerie et logiciels collaboratifs génèrent tous des journaux d’activité, des horodatages de connexion et des analyses d’utilisation qui remplissent ce critère. La décision Facebook de 2016 l’a confirmé en estimant qu’une page Facebook d’entreprise avec fonction commentaire créait déjà une pression de surveillance. Déployer une plateforme cloud sans accord du Betriebsrat viole les droits de codétermination, et le comité d’entreprise peut saisir le tribunal du travail pour faire suspendre le déploiement.

Quelles normes de conformité des données sont importantes ?

Pour en savoir plus :

Pourquoi c’est crucial pour la souveraineté des données

La codétermination protège les salariés contre toute atteinte disproportionnée à leurs droits personnels via la surveillance technique. Lorsque l’équipement est exploité par un fournisseur soumis à des lois d’accès gouvernemental étranger, le risque dépasse la surveillance de l’employeur et s’étend à la surveillance étatique.

Lorsqu’un employeur allemand déploie Microsoft 365 ou Google Workspace, chaque e-mail, modification de document ou discussion Teams génère des données de salariés sur une infrastructure contrôlée par les États-Unis. Le CLOUD Act permet au gouvernement américain d’exiger ces données, quel que soit leur lieu de stockage, tandis que la section 702 du FISA autorise les agences de renseignement à surveiller des personnes non américaines sans mandat individuel. Les recommandations 01/2020 de l’EDPB précisent que si le fournisseur détient les clés de chiffrement sous un tel régime, « il n’existe aucune garantie effective ».

Le cadre juridique à maîtriser par les comités d’entreprise

Exigences RGPD et BDSG pour les données des salariés

L’article 88 du RGPD permet aux États membres d’adopter des règles spécifiques pour le traitement des données liées à l’emploi. L’Allemagne l’a fait via l’article 26 BDSG, qui exige que le traitement des données des salariés soit nécessaire à la relation de travail ou fondé sur un accord d’entreprise.

Les accords d’entreprise remplissent une double fonction : exercer le droit de codétermination et fournir une base légale au traitement des données selon le RGPD. Un accord autorisant le cloud sans garanties suffisantes de souveraineté peut ne pas constituer une base légale valide au sens du RGPD, car il ne garantit pas « des mesures appropriées et spécifiques pour protéger la dignité humaine de la personne concernée » selon l’article 88(2) du RGPD.

La responsabilité de l’employeur selon l’article 79a BetrVG

La loi de modernisation des comités d’entreprise de 2021 (Betriebsrätemodernisierungsgesetz) a clarifié que l’employeur est responsable de traitement RGPD pour les données traitées par le comité d’entreprise. Les intérêts sont donc alignés : l’employeur risque des sanctions RGPD en cas de mesures techniques insuffisantes, et le comité d’entreprise risque d’avoir approuvé un traitement exposant les données des salariés à un accès gouvernemental étranger. Les deux parties ont donc intérêt à privilégier des architectures rendant tout accès non autorisé techniquement impossible.

Évaluation d’impact sur les transferts et revue par le comité d’entreprise

Depuis Schrems II, les organisations doivent réaliser une évaluation d’impact sur les transferts (TIA) dès lors que des données personnelles peuvent être accessibles par des entités situées dans des pays sans protection adéquate. Les comités d’entreprise doivent exiger l’accès aux TIA complétées avant d’accepter tout déploiement cloud. La TIA doit répondre à une question : le fournisseur cloud peut-il être contraint par une loi étrangère d’accéder aux données des salariés ? Si oui, elle doit documenter les mesures techniques rendant cet accès impossible. Si aucune mesure complémentaire n’existe, le comité d’entreprise a de solides raisons de refuser l’accord.

Ce que les comités d’entreprise doivent exiger lors des déploiements cloud

Exigences architecturales pour la souveraineté des données des salariés

Les comités d’entreprise négociant des Betriebsvereinbarungen pour des plateformes cloud doivent se concentrer sur trois piliers architecturaux offrant une souveraineté technique vérifiable, et non de simples promesses contractuelles.

Pilier 1 : Gestion des clés de chiffrement par le client

La meilleure garantie de souveraineté consiste à ce que l’organisation, et non le fournisseur cloud, contrôle les clés de chiffrement. L’organisation génère et stocke les clés de chiffrement dans son propre HSM situé en Allemagne. Le fournisseur traite les données chiffrées sans jamais posséder les clés de déchiffrement. Si un gouvernement étranger exige la remise des données, le fournisseur ne peut fournir que des données chiffrées, illisibles sans les clés du client.

Cela diffère fondamentalement des dispositifs « Bring Your Own Key » (BYOK) où les clients génèrent les clés mais les confient au service de gestion du fournisseur. Ce dernier conserve alors un accès et peut être contraint de l’utiliser. Le test est simple : si le fournisseur reçoit une demande au titre du CLOUD Act, peut-il fournir les données déchiffrées des salariés ? Si oui, le modèle de chiffrement est insuffisant.

Pilier 2 : Déploiement européen à locataire unique

Les environnements cloud mutualisés partagent l’infrastructure entre des milliers de clients, avec des accès administratifs réalisés par du personnel du fournisseur, potentiellement situé dans des juridictions soumises à des lois d’accès gouvernemental. Un déploiement à locataire unique sur une infrastructure européenne dédiée élimine ces accès administratifs partagés. Associé à la gestion des clés par le client et au contrôle des accès, cela garantit qu’aucun employé du fournisseur ne peut accéder aux données déchiffrées des salariés.

Pilier 3 : Résidence des données appliquée par politique et géorepérage

Les comités d’entreprise doivent exiger des fonctions de géorepérage qui imposent la résidence des données au niveau de la plateforme, et non par simple engagement contractuel. Un géorepérage efficace limite le stockage aux centres de données allemands ou européens, empêche la réplication hors UE, bloque les accès administratifs depuis des juridictions non autorisées et génère des journaux d’audit pour toute tentative d’accès.

Fonctions de souveraineté selon l’architecture cloud

Exigence de souveraineté Fournisseur hyperscale US (standard) Fournisseur hyperscale US (frontière UE) Architecture contrôlée par le client
Propriété des clés de chiffrement Le fournisseur détient les clés Le fournisseur détient les clés Le client détient les clés dans son propre HSM
Exposition au CLOUD Act Exposition totale Exposition totale (entité juridique US) Le fournisseur ne peut pas déchiffrer les données
Modèle de déploiement Mutualisé Mutualisé avec restrictions régionales Dédié à locataire unique
Application de la résidence des données Promesse contractuelle Basée sur la configuration Application par politique avec géorepérage
Contrôle des accès administratifs Personnel global du fournisseur Limité au personnel UE (avec exceptions) Contrôle d’accès réservé au client
Capacité d’audit du comité d’entreprise Rapports de transparence limités du fournisseur Visibilité quelque peu améliorée Traçabilité complète sous contrôle du client
Accès gouvernemental étranger aux données Techniquement possible Techniquement possible Techniquement impossible sans les clés du client

Construire un accord d’entreprise efficace pour la souveraineté des données cloud

Clauses essentielles pour les Betriebsvereinbarungen

Les comités d’entreprise négociant des accords de déploiement cloud doivent veiller à inclure ces clauses, en allant au-delà des accords-cadres IT standards (IT-Rahmenvereinbarungen) pour traiter les risques spécifiques à la souveraineté dans le cloud.

Périmètre et limitations du traitement des données

L’accord doit détailler les catégories de données des salariés traitées par la plateforme, y compris les métadonnées : horaires de connexion, adresses IP, identifiants d’appareils, horodatages d’accès aux fichiers, schémas de collaboration. Pour chaque catégorie, préciser la base légale, la durée de conservation et les autorisations d’accès.

Exigences techniques de souveraineté

Préciser le modèle de chiffrement, l’architecture de gestion des clés et la configuration de déploiement. Indiquer que l’organisation conserve le contrôle exclusif des clés de chiffrement et que le fournisseur ne peut accéder aux données déchiffrées des salariés en aucune circonstance, y compris sur demande d’un gouvernement étranger.

Garanties contre la surveillance

Définir ce que l’employeur peut ou non faire avec les données générées par ces systèmes. Interdire le profilage de performance basé sur les données d’utilisation, restreindre l’accès aux journaux d’activité à des finalités précises via des politiques DLP comme la gestion des incidents de sécurité, et exiger l’anonymisation pour toute utilisation analytique de données agrégées.

Conformité continue et droits d’audit

Établir le droit du comité d’entreprise de contrôler régulièrement les traitements de données. Imposer à l’employeur de notifier toute modification de fournisseur cloud, de sous-traitant, de configuration de chiffrement ou de localisation des données. Définir le droit du comité d’entreprise de mandater des audits techniques indépendants avec accès complet aux journaux d’audit.

Notification d’incident

Imposer à l’employeur d’informer le comité d’entreprise dans un délai défini en cas de violation de données concernant les salariés, de demande d’accès d’un gouvernement étranger ou de modification du cadre légal régissant les obligations d’accès du fournisseur.

Checklist : revue du déploiement cloud par le comité d’entreprise

Élément à contrôler Question clé Réponse acceptable
Contrôle des clés de chiffrement Qui détient les clés de déchiffrement ? Le client exclusivement, dans un HSM détenu par le client
Exposition au CLOUD Act Le fournisseur peut-il déchiffrer les données sous contrainte légale ? Non, le fournisseur ne détient pas les clés
Architecture de déploiement L’infrastructure est-elle partagée ou dédiée ? Dédiée à locataire unique sur infrastructure européenne
Résidence des données Où les données sont-elles stockées et peuvent-elles être répliquées ailleurs ? Uniquement en Allemagne/UE, contrôlé techniquement
Transparence des sous-traitants Quels sous-traitants accèdent aux données des salariés ? Liste complète fournie, tous basés dans l’UE ou sans accès au déchiffrement
Droits d’audit Le comité d’entreprise peut-il vérifier la conformité de façon indépendante ? Oui, avec clauses d’audit indépendant
Disponibilité de la TIA Une évaluation d’impact sur les transferts a-t-elle été réalisée ? Oui, avec évaluation honnête des risques CLOUD Act/FISA 702
Notification d’incident Le comité d’entreprise sera-t-il informé des demandes d’accès ? Oui, dans un délai défini

Mise en œuvre : approche pratique pour les comités d’entreprise

Phase 1 : Évaluation (semaines 1 à 4)

Recenser tous les services cloud traitant les données des salariés. Pour chacun, documenter le pays d’immatriculation du fournisseur, l’emplacement du stockage, la propriété des clés de chiffrement et le statut d’approbation par le comité d’entreprise. Selon l’article 80(2) BetrVG, le comité d’entreprise peut demander toute la documentation nécessaire, y compris les contrats cloud, accords de traitement des données et TIA.

Phase 2 : Évaluation des risques (semaines 5 à 8)

Évaluer chaque service au regard des exigences de souveraineté, en priorisant les données sensibles des salariés : RH, paie, dossiers médicaux, outils de performance, communications. Appliquer le test clé : le fournisseur peut-il accéder aux données déchiffrées des salariés sous contrainte d’un gouvernement étranger ?

Phase 3 : Négociation et accord (semaines 9 à 16)

Présenter les conclusions à l’employeur avec des exigences précises. L’objectif n’est pas de bloquer la transformation numérique, mais de garantir une protection zéro trust des données des salariés. Pour les services existants ne respectant pas les exigences de souveraineté, proposer un calendrier de transition. Pour les nouveaux déploiements, poser les exigences de souveraineté comme prérequis avant la sélection du fournisseur.

Phase 4 : Suivi continu

Les fournisseurs cloud modifient leurs conditions d’utilisation, leurs sous-traitants et leurs architectures techniques. L’obligation de suivi du comité d’entreprise selon l’article 80(1) n° 1 BetrVG impose de vérifier en continu que les déploiements respectent les standards convenus.

La codétermination est le levier le plus fort de la souveraineté des données en droit allemand

Le droit de codétermination du Betriebsrat donne au comité d’entreprise un véritable pouvoir sur la gestion des données des salariés par les plateformes cloud. Lorsqu’un fournisseur américain détient les clés de chiffrement, aucun contrat ni SCC ne peut empêcher une demande d’accès au titre du CLOUD Act. La seule protection fiable est une architecture où le fournisseur ne peut pas déchiffrer les données, car seul le client détient les clés.

En exigeant la gestion des clés par le client, un déploiement européen à locataire unique et une résidence des données imposée par politique, les comités d’entreprise remplissent leur devoir légal. L’accord d’entreprise rend ces protections opposables, et le droit allemand donne au Betriebsrat tous les outils nécessaires.

Kiteworks aide les comités d’entreprise allemands à protéger la souveraineté des données des salariés

Le Réseau de données privé Kiteworks offre aux organisations les contrôles architecturaux dont les comités d’entreprise ont besoin pour approuver sereinement les déploiements cloud. Kiteworks fonctionne selon un modèle de chiffrement géré par le client, où l’organisation génère et conserve les clés de chiffrement dans son propre HSM. Kiteworks ne peut pas accéder au contenu déchiffré et ne peut pas répondre à une demande gouvernementale étrangère de fournir des données lisibles, car il ne détient pas les clés.

Kiteworks se déploie en instance à locataire unique sur une infrastructure européenne dédiée, y compris sur site, en cloud privé ou en appliance virtuelle durcie. Le géorepérage intégré impose la résidence des données au niveau de la plateforme, et l’audit logging détaillé enregistre chaque accès à un fichier, action utilisateur ou changement administratif pour la vérification continue de la conformité.

Pour les organisations soumises à la codétermination du Betriebsrat, Kiteworks fournit la documentation technique et les preuves architecturales nécessaires à la rédaction d’accords d’entreprise efficaces. La plateforme unifie le partage sécurisé de fichiers, la protection des e-mails, le transfert sécurisé de fichiers et les formulaires web, permettant ainsi de couvrir tous les canaux d’échange de données sensibles dans une seule Betriebsvereinbarung.

Pour en savoir plus sur la souveraineté des données des salariés dans le cloud, réservez votre démo personnalisée dès aujourd’hui.

Foire aux questions

Selon la jurisprudence du Bundesarbeitsgericht, oui, si la plateforme est objectivement capable de surveiller le comportement ou la performance des salariés. Cela inclut pratiquement toute application cloud générant des journaux d’activité utilisateur, des horodatages de connexion, des historiques d’accès aux fichiers ou des analyses d’utilisation. L’employeur n’a pas besoin d’avoir l’intention de surveiller pour que la codétermination s’applique. Les comités d’entreprise doivent dresser l’inventaire de tous les services cloud et vérifier qu’une Betriebsvereinbarung adaptée existe pour chacun. Les plateformes déployées sans accord du comité d’entreprise peuvent être contestées devant les tribunaux du travail, et le comité peut demander une injonction pour suspendre le déploiement.

Non. Un accord d’entreprise ne peut pas abaisser le niveau de protection des données en dessous des standards du RGPD. Selon l’article 88(2) du RGPD, les accords d’entreprise relatifs aux données des salariés doivent inclure « des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux de la personne concernée ». Cela signifie qu’un accord autorisant le traitement cloud sans garanties de souveraineté, comme le chiffrement contrôlé par le client, peut ne pas constituer une base légale valable. Les comités d’entreprise doivent considérer les exigences de souveraineté non comme concurrentes de l’accord, mais comme des clauses essentielles pour garantir la conformité RGPD.

Les comités d’entreprise doivent demander la TIA, la documentation de l’architecture de chiffrement, les schémas de flux de données et la liste des sous-traitants. La TIA doit évaluer honnêtement les risques liés au CLOUD Act et à la section 702 du FISA, et non les écarter sur la base d’assurances du fournisseur. La documentation sur le chiffrement doit préciser si le fournisseur peut accéder aux clés de déchiffrement, quelle que soit la circonstance. Les schémas de flux de données doivent indiquer précisément où les données des salariés sont stockées, traitées et transmises. La liste des sous-traitants doit recenser chaque entité susceptible d’accéder aux données des salariés et leur juridiction. Si l’employeur ne peut fournir ces documents, le comité d’entreprise doit refuser l’accord tant qu’ils ne sont pas disponibles.

L’employeur assume la responsabilité de responsable de traitement pour toutes les données, y compris celles traitées par le comité d’entreprise dans le cadre de ses missions. Cela crée un intérêt commun entre employeur et comité d’entreprise pour que les plateformes cloud garantissent une véritable souveraineté des données. Si le fournisseur cloud est contraint de divulguer des données de salariés à un gouvernement étranger, l’employeur s’expose à des sanctions RGPD et à des obligations d’évaluation des risques pour défaut de mesures techniques adéquates. Les comités d’entreprise doivent présenter les exigences de souveraineté comme une protection pour l’employeur, et non comme un frein. Les deux parties bénéficient d’architectures zéro trust où l’accès gouvernemental étranger est techniquement impossible.

Un déploiement sans accord du Betriebsrat viole les droits de codétermination et n’a pas de valeur juridique. Le comité d’entreprise peut saisir le tribunal du travail pour faire suspendre le service. Selon l’article 23(3) BetrVG, le tribunal peut infliger des amendes à l’employeur en cas de violation répétée ou grave de la codétermination. Par ailleurs, tout traitement de données de salariés via une plateforme non approuvée n’a pas de base légale, ce qui expose à un risque distinct de non-conformité RGPD. Les comités d’entreprise découvrant de tels déploiements doivent documenter la violation, notifier formellement l’employeur par écrit et exiger une correction immédiate via une procédure d’incident, incluant soit l’obtention d’un accord conforme, soit l’arrêt du service.

Ressources complémentaires

  • Article de blog  
    Souveraineté des données : bonne pratique ou exigence réglementaire ?
  • eBook  
    Souveraineté des données et RGPD
  • Article de blog  
    Évitez ces pièges de la souveraineté des données
  • Article de blog  
    Bonnes pratiques pour la souveraineté des données
  • Article de blog  
    Souveraineté des données et RGPD [Comprendre la sécurité des données]

    •  

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks