Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Comment prouver la souveraineté des données à vos clients européens : des engagements contractuels aux preuves architecturales

Comment prouver la souveraineté des données à vos clients européens : des engagements contractuels aux preuves architecturales

par Marc ten Eikelder updated février 18, 2026 Conformité RGPD
temps de lecture: 11 minutes

Les équipes achats européennes n’acceptent plus les engagements de souveraineté sur la seule base de déclarations. Les DPO exigent des Transfer Impact Assessments avant signature. Les architectes sécurité demandent des précisions sur l’architecture de gestion des clés, et pas seulement sur les clauses de localisation des données. L’écart entre les promesses contractuelles de souveraineté et les preuves techniques qui les étayent a désormais des conséquences commerciales : les fournisseurs capables de fournir ces preuves remportent les contrats ; ceux qui ne le peuvent pas les perdent, ou doivent accepter des clauses de responsabilité qui reflètent l’incertitude persistante de l’acheteur.

Ce billet cartographie les trois catégories de preuves de souveraineté désormais exigées par les clients européens — contractuelles, techniques et opérationnelles — et explique à quoi ressemblent concrètement des preuves crédibles dans chaque catégorie.

Résumé Exécutif

À retenir : Les clients B2B européens mènent des vérifications poussées sur la souveraineté, sous l’impulsion du renforcement post-Schrems II, du contrôle de la supply chain dans les DPA et des obligations sectorielles liées à NIS 2 et DORA. Les engagements contractuels — DPA, clauses de localisation des données, listes de sous-traitants — sont nécessaires mais ne suffisent plus. Les clients veulent des preuves techniques que l’architecture tient les promesses contractuelles : clés de chiffrement contrôlées par le client dans du matériel sous contrôle EEE, déploiement à locataire unique, et géorepérage au niveau de l’infrastructure.

Pourquoi c’est important : L’application du RGPD se concentre désormais sur la supply chain. Les responsables de traitement doivent prouver que leurs sous-traitants respectent les mêmes standards de souveraineté qu’eux-mêmes. Si vos clients ne peuvent pas démontrer à leurs régulateurs que votre plateforme protège leurs données, vous perdez le contrat — ou vous êtes cité dans une procédure d’application à leurs côtés.

5 points clés à retenir

  1. Les clients européens font la différence entre promesses et preuves de souveraineté. Une clause de souveraineté dans un DPA consigne vos engagements. Une documentation d’architecture montrant des clés de chiffrement contrôlées par le client dans sa juridiction prouve ce que vous avez mis en place. Les acheteurs avertis et leurs DPO connaissent la différence — et exigent les deux.
  2. Les engagements contractuels en matière de souveraineté ont une limite structurelle. Un DPA ne peut pas empêcher une demande fondée sur le CLOUD Act adressée à l’infrastructure d’un fournisseur incorporé aux États-Unis. Aucun engagement contractuel ne résout l’exposition juridictionnelle. Seule une architecture plaçant les clés de chiffrement hors du contrôle du fournisseur peut combler cette faille — et c’est précisément ce que les DPO demandent désormais.
  3. Les trois catégories de preuves sont indispensables. Les contrats posent le cadre de responsabilité. L’architecture technique démontre les capacités. Les preuves opérationnelles — journaux d’audit, historiques d’accès, rapports d’incident — attestent de la conformité continue. Un fournisseur capable de fournir ces trois volets est bien mieux positionné que celui qui ne présente que le premier.
  4. La gestion des clés est la question technique décisive. L’emplacement des clés et les personnes qui y ont accès déterminent si le chiffrement garantit la souveraineté ou s’il ne fait que l’affirmer. Des clés hébergées dans l’infrastructure du fournisseur — même dites « gérées par le client » — restent sous la juridiction légale du fournisseur. Des clés intégrées à un HSM contrôlé par le client, hors de l’environnement du fournisseur, échappent à cette contrainte.
  5. Les certifications sont nécessaires mais insuffisantes. ISO 27001, SOC2 et FIPS attestent de la maturité du programme de sécurité — c’est un prérequis. Elles ne traitent pas la souveraineté juridictionnelle. Un client qui s’interroge sur l’exposition au CLOUD Act ne se satisfera pas d’un certificat ISO 27001 ; il attend une documentation d’architecture qui traite directement la question de la juridiction.

Pourquoi les engagements contractuels ne suffisent plus

Le package de base de documentation sur la souveraineté — un accord de traitement des données conforme à l’article 28 du RGPD, des clauses contractuelles types pour les transferts internationaux, une liste de sous-traitants et un engagement de localisation des données — était déjà sous surveillance avant Schrems II. Depuis Schrems II, il est clairement insuffisant pour garantir la souveraineté des données traitées par ou via des prestataires affiliés aux États-Unis.

La raison est structurelle. Les contrats régissent les relations entre parties ; ils ne supplantent pas les obligations légales liées à l’incorporation ou à la propriété des parties. Un fournisseur incorporé aux États-Unis, même signataire d’un DPA solide avec un client européen, reste soumis aux demandes du CLOUD Act pour les données qu’il contrôle, quel que soit le contenu du DPA. L’article 48 du RGPD interdit les transferts vers des autorités non-UE sur la seule base d’une décision judiciaire ou administrative étrangère — mais il n’empêche pas les autorités américaines d’émettre de telles demandes, ni les sociétés américaines d’être légalement tenues d’y répondre. Le DPA consigne l’intention du fournisseur ; il ne modifie pas son exposition légale.

Les équipes juridiques et conformité des clients européens font bien la différence. Depuis Schrems II, les DPO sont formés à la détecter. Les enquêtes DPA — et les procédures ayant donné lieu à plus de 5,88 milliards d’euros d’amendes RGPD depuis 2018 — se concentrent de plus en plus sur les flux de données dans la supply chain et sur la capacité des responsables de traitement à obtenir des garanties réelles sur l’architecture technique de leurs sous-traitants. La question n’est plus « avez-vous signé les bons contrats ? » mais « que fait réellement votre architecture de nos données ? »

Liste de contrôle RGPD Conformité

Pour en savoir plus :

Catégorie 1 : Preuves contractuelles — Ce que les contrats doivent vraiment contenir

Les contrats restent la base du dossier de preuves de souveraineté. Ils établissent le cadre de responsabilité dans lequel s’inscrivent les preuves techniques et opérationnelles. Mais tous les contrats ne se valent pas, et les équipes juridiques des acheteurs européens examinent de plus en plus le fond des DPA, au lieu d’accepter des modèles standards.

Ce qu’un DPA crédible doit couvrir

Un DPA crédible en matière de souveraineté va au-delà des exigences minimales de l’article 28 du RGPD. Il doit préciser les mesures techniques et organisationnelles qui garantissent la souveraineté — et pas seulement s’engager à des mesures « appropriées » — notamment les standards de chiffrement appliqués, l’architecture de gestion des clés et le modèle de déploiement. Il doit nommer explicitement les sous-traitants et leurs juridictions, avec un mécanisme de notification pour tout changement permettant au client un véritable droit de regard. Il doit traiter explicitement le CLOUD Act et la Section 702 du FISA — reconnaître l’exposition juridictionnelle et spécifier les mesures techniques qui la limitent. Les contrats qui passent sous silence l’exposition au CLOUD Act sont de plus en plus considérés par les DPO comme la preuve que le fournisseur n’a pas sérieusement abordé la question de la souveraineté.

Le régime des sous-traitants mérite une attention particulière. Les clients européens savent que les engagements de souveraineté d’un fournisseur ne valent que par le maillon le plus faible de sa chaîne de sous-traitance. Un fournisseur basé en Europe qui fait transiter des données par un prestataire cloud, une plateforme d’analytics ou un support basé aux États-Unis a un problème de souveraineté sur les sous-traitants que le DPA principal ne peut masquer. Les équipes juridiques des clients examinent les listes de sous-traitants pour détecter toute exposition à la juridiction américaine, et les fournisseurs incapables de démontrer des contrôles de souveraineté au niveau des sous-traitants devront répondre à des questions auxquelles les engagements contractuels seuls ne suffiront pas.

Les Transfer Impact Assessments comme documents à partager avec le client

Les Transfer Impact Assessments sont de plus en plus demandés par les clients européens dans le cadre de la due diligence achats — et non plus seulement conservés en interne comme documentation de conformité. Un TIA qui identifie l’exposition au CLOUD Act et à la Section 702 du FISA, évalue l’impact de ces lois sur l’efficacité des SCC, puis démontre que des clés de chiffrement contrôlées par le client et stockées hors de l’infrastructure du fournisseur offrent une protection équivalente, constitue le document de souveraineté le plus crédible qu’un fournisseur puisse partager avec le DPO d’un prospect. Cela prouve que le fournisseur s’est réellement penché sur le cadre légal, et ne s’est pas contenté de cocher des cases de conformité.

Les fournisseurs doivent considérer leurs TIA comme des documents vivants et être prêts à partager des versions expurgées lors des appels d’offres. Un TIA datant de 2021, antérieur aux tendances actuelles d’application, soulèvera plus de questions qu’il n’apportera de réponses. Un TIA mis à jour pour refléter l’environnement réglementaire actuel, la fragilité structurelle du DPF et les mesures d’atténuation architecturales propres au fournisseur prouve un engagement continu en matière de conformité des données, et non un simple exercice historique de conformité.

Catégorie 2 : Preuves techniques — Ce que l’architecture garantit réellement

Les preuves techniques révèlent l’écart entre les promesses de souveraineté et la réalité. La documentation d’architecture qui montre comment la plateforme traite effectivement les données — où elles sont chiffrées, qui détient les clés, comment l’isolement des déploiements est assuré — est la catégorie de preuves que les DPO et les architectes sécurité examinent le plus attentivement, et que la plupart des fournisseurs sont les moins prêts à produire de façon crédible.

Architecture de chiffrement et gestion des clés

La question technique décisive de toute évaluation de souveraineté est la gestion des clés. Où sont stockées les clés de chiffrement ? Qui y a accès ? Sous quelle juridiction légale se trouve l’infrastructure de gestion des clés ? Ces questions déterminent si le chiffrement garantit la souveraineté ou n’en donne que l’apparence.

Des clés de chiffrement contrôlées par le client — générées et stockées par le client dans des modules matériels de sécurité sous son contrôle exclusif, dans sa juridiction — constituent l’architecture que les Recommandations 01/2020 de l’EDPB identifient comme apte à répondre à l’exposition au droit américain de la surveillance. Lorsque les clés ne quittent jamais l’environnement contrôlé par le client, une demande fondée sur le CLOUD Act adressée au fournisseur atteint son infrastructure mais ne permet pas d’obtenir de données lisibles. L’exposition légale du fournisseur devient alors sans objet, car il n’a pas la capacité technique de se conformer, même sous contrainte légale.

Les fournisseurs souhaitant fournir des preuves techniques crédibles doivent pouvoir présenter : des schémas d’architecture montrant où le chiffrement est appliqué dans le flux de données, une documentation de gestion des clés démontrant que les clés sont hébergées dans une infrastructure contrôlée par le client, une certification FIPS 140-3 Niveau 1 pour la mise en œuvre du chiffrement, et des preuves de déploiement HSM. Les fournisseurs dont l’architecture de gestion des clés place les clés dans leur propre cloud — même si elles sont qualifiées de « gérées par le client » dans les supports marketing — doivent être transparents avec les clients sur la réalité de cette gestion, car les DPO poseront les questions de suivi.

Architecture de déploiement et isolement des locataires

L’architecture cloud mutualisée — le standard de la plupart des fournisseurs SaaS — crée un risque de souveraineté distinct de la question juridictionnelle, mais tout aussi important pour les acheteurs avertis. Dans un environnement mutualisé, les données chiffrées et les clés de plusieurs organisations coexistent dans une infrastructure partagée. Un seul incident sur cette infrastructure peut exposer plusieurs clients simultanément. Pour les entreprises européennes traitant des données personnelles réglementées, des informations sensibles ou des communications couvertes par le secret professionnel, le risque de mélange n’est pas théorique mais bien réel.

Le déploiement à locataire unique — où l’environnement de chaque client est totalement isolé, avec une infrastructure dédiée, des clés de chiffrement dédiées, sans partage de ressources de calcul ou de stockage avec d’autres clients — élimine totalement ce risque. Les preuves techniques à demander incluent la documentation d’architecture de déploiement attestant de l’isolement des locataires, des preuves de segmentation réseau, et une confirmation indépendante de l’absence d’infrastructure partagée entre locataires. Les fournisseurs proposant le déploiement à locataire unique — sur site, dans un cloud privé contrôlé par le client ou en instance dédiée hébergée — sont bien mieux positionnés pour répondre à cette exigence que ceux n’offrant que du cloud mutualisé.

Géorepérage et vérification de la localisation des données

Les engagements contractuels de localisation des données sont fréquents. L’application technique de la localisation au niveau de l’infrastructure l’est beaucoup moins, et cette différence est cruciale pour les clients qui doivent démontrer la conformité à la localisation à leurs propres régulateurs. Les engagements contractuels indiquent au client où les données sont censées être stockées. Les contrôles de géorepérage — listes d’adresses IP autorisées ou bloquées, appliquées au niveau de l’infrastructure et configurables par juridiction — montrent au client où se trouvent réellement les données, et offrent un mécanisme vérifiable pour le démontrer.

Le dossier de preuves techniques pour la localisation des données doit inclure une documentation de configuration de l’infrastructure montrant les contrôles de géorepérage, une vérification indépendante des emplacements de stockage, et la capacité à générer à la demande des rapports de stockage par juridiction. Pour les clients allemands soumis au BDSG, français avec des obligations ANSSI, néerlandais sous contrôle de l’AP, ou britanniques devant se conformer au UK GDPR, la capacité à prouver — et non simplement à affirmer — que les données sont restées dans la juridiction requise est la preuve qui transforme une clause de localisation en protection souveraine réelle.

Catégorie 3 : Preuves opérationnelles — Prouver la conformité continue

L’architecture technique définit ce qu’un système est capable de garantir. Les preuves opérationnelles démontrent ce qu’il garantit réellement, de façon continue. Cette distinction est essentielle, car la documentation d’architecture est une photographie à un instant donné ; les journaux d’audit et les historiques opérationnels reflètent la réalité continue de la conformité. Les clients européens soumis à leur propre contrôle réglementaire doivent prouver une conformité continue, et non une simple conformité initiale — et ils attendent de leurs fournisseurs qu’ils les accompagnent dans cette démonstration.

Journaux d’audit immuables comme preuve de souveraineté

Des journaux d’audit immuables couvrant tous les accès aux données, les mouvements de fichiers, l’activité des utilisateurs et les événements système constituent la couche de preuve opérationnelle qui transforme les affirmations architecturales de souveraineté en historique de conformité vérifiable. Un journal d’audit qui consigne qui a accédé à quelles données, quand, depuis quel emplacement, sous quelle politique d’accès et via quelle application — et qui est protégé contre toute altération — est ce qui se rapproche le plus d’une preuve continue de conformité.

Pour les clients soumis au principe de responsabilité de l’article 5(2) du RGPD, la capacité à prouver que la plateforme du fournisseur a maintenu les contrôles de souveraineté dans la durée — et pas seulement à l’implémentation — est directement liée à leur propre conformité. Les fournisseurs doivent pouvoir donner accès à leurs clients à des exports de journaux d’audit couvrant leurs données, à la demande, dans des formats adaptés au reporting de conformité du client. Le CISO Dashboard de Kiteworks offre cette visibilité centralisée — chaque échange de fichier, chaque accès, chaque action de politique — dans une interface unique qui facilite à la fois la production de preuves pour le client et la supervision opérationnelle du fournisseur.

Preuves de contrôle d’accès et principe Zero Trust

Les contrôles d’accès sont le mécanisme opérationnel qui permet de faire respecter la souveraineté dans la pratique. Une déclaration de souveraineté n’a de valeur que si l’on est certain que seuls les utilisateurs autorisés peuvent accéder aux données — et que chaque accès est consigné, vérifiable, et lié à des identités, rôles et autorisations spécifiques. Les contrôles d’accès basés sur les rôles avec des droits par défaut minimaux, l’authentification multifactorielle et des structures d’autorisations granulaires sont les contrôles opérationnels qui donnent tout son sens à l’architecture de chiffrement.

Le principe du Zero Trust pour l’échange de données — ne jamais faire confiance, toujours vérifier, au niveau du contenu — est la philosophie opérationnelle que les clients européens attendent désormais des fournisseurs, et pas seulement en théorie. Les preuves attendues incluent : des enregistrements de configuration des contrôles d’accès montrant la définition des rôles et l’attribution des droits, des journaux d’authentification attestant de leur application, et des historiques de toute dérogation aux politiques d’accès avec la chaîne d’autorisation correspondante. Les fournisseurs dont la plateforme applique le Zero Trust au niveau du contenu — avec des décisions d’accès prises fichier par fichier, utilisateur par utilisateur, action par action, et non au seul périmètre réseau — sont mieux placés pour fournir ces preuves que ceux qui se limitent à des contrôles périmétriques.

Gestion des incidents et préparation à la notification de violation

Les clients européens exigent de plus en plus la preuve que les fournisseurs ont testé et documenté leurs capacités de gestion des incidents — et pas seulement qu’un plan existe sur le papier. L’obligation de notification sous 72 heures du RGPD crée une vraie dépendance opérationnelle à la capacité du fournisseur à détecter, contenir et signaler un incident dans les délais. NIS 2 impose ses propres exigences de notification pour les opérateurs d’infrastructures critiques et les entités importantes, notamment sur la notification des incidents dans la supply chain. Les fournisseurs capables de démontrer des mécanismes de détection testés, un plan de gestion des incidents documenté, et une procédure claire de notification — avec la preuve d’exécutions passées — fournissent une preuve opérationnelle de souveraineté que les certifications génériques ne peuvent remplacer.

Comment les certifications s’intègrent dans le dossier de preuves de souveraineté

Les certifications de conformité — conformité ISO 27001, certification SOC2 Type II, validation FIPS 140-3 — sont devenues un prérequis pour les fournisseurs européens. Elles prouvent qu’un programme de sécurité existe, qu’il est audité de façon indépendante et qu’il répond à des standards reconnus. Elles ont leur place dans le dossier de preuves de souveraineté comme preuve de maturité du programme. Mais elles ne traitent pas la souveraineté juridictionnelle, l’exposition au CLOUD Act ou l’architecture de gestion des clés. Un certificat ISO 27001 indique à un client qu’un fournisseur a un système de gestion de la sécurité de l’information. Il ne lui dit pas que les clés de chiffrement du fournisseur sont hors de la juridiction américaine. Les DPO qui s’interrogent sur ce point ne se satisferont pas d’un certificat — et les fournisseurs qui présentent des certifications à la place de preuves architecturales de souveraineté devront répondre à des questions auxquelles ils ne sont pas préparés.

Le bon positionnement consiste à présenter les certifications comme la base de confiance sur laquelle repose la documentation technique de souveraineté. Un fournisseur disposant d’ISO 27001 et SOC2 Type II, de documentation d’architecture prouvant la gestion des clés par le client et le déploiement à locataire unique, et d’un TIA à jour traitant l’exposition au CLOUD Act, présente un dossier de preuves de souveraineté complet. Un fournisseur qui ne présente que les certifications n’apporte que la fondation, sans la structure.

Comment Kiteworks aide les fournisseurs à prouver la souveraineté des données à leurs clients européens

Les clients B2B européens ne deviendront pas moins exigeants sur la preuve de souveraineté. Les fournisseurs qui investissent dans la constitution d’un dossier contractuel, technique et opérationnel conforme aux attentes des acheteurs avertis ne se contentent pas de remporter des contrats : ils bâtissent un avantage concurrentiel de plus en plus difficile à remettre en cause à mesure que la réglementation se durcit.

Kiteworks a été conçu pour produire des preuves de souveraineté, et pas seulement pour fournir une architecture souveraine. Le Réseau de données privé se déploie en instance à locataire unique — sur site, en cloud privé ou hébergé par Kiteworks — avec des clés de chiffrement AES 256 gérées par le client et stockées dans une intégration HSM sous contrôle de la juridiction, sans accès Kiteworks. Les schémas d’architecture, historiques de gestion des clés et preuves d’isolement des déploiements sont disponibles pour accompagner la due diligence client et la préparation des Transfer Impact Assessments.

Le CISO Dashboard fournit la couche de preuves opérationnelles — journaux d’audit immuables couvrant chaque échange de données, chaque accès, chaque action de politique sur tous les canaux, exportables dans des formats adaptés au reporting de conformité client. Les contrôles de géorepérage appliqués au niveau de l’infrastructure, configurables par juridiction, assurent la vérification de la localisation des données que les engagements contractuels ne peuvent garantir. Le chiffrement validé FIPS 140-3 Niveau 1, la conformité ISO 27001, la certification SOC2 Type II et la documentation de conformité RGPD, NIS2 et DORA complètent la couche de certification.

Pour découvrir comment Kiteworks contribue à votre dossier de preuves de souveraineté, réservez votre démo sans attendre !

Foire aux questions

Une déclaration de souveraineté est un engagement contractuel — une clause de confidentialité dans un DPA ou un engagement de localisation dans un contrat. Une preuve de souveraineté, ce sont des éléments techniques et opérationnels attestant que l’architecture tient réellement les promesses du contrat : clés de chiffrement contrôlées par le client et stockées hors de l’infrastructure du fournisseur, déploiement à locataire unique évitant tout mélange de données, géorepérage appliqué au niveau de l’infrastructure, et journaux d’audit immuables démontrant la conformité continue.

Les contrats régissent les relations entre parties — ils ne supplantent pas les obligations légales liées à l’incorporation ou à la juridiction d’un fournisseur. Un fournisseur incorporé aux États-Unis est soumis aux demandes du CLOUD Act, quel que soit le contenu de son DPA. La seule solution consiste à adopter une architecture où le fournisseur ne détient jamais de données en clair ni de clés de chiffrement — rendant techniquement impossible la remise de données sur demande. Les clauses contractuelles types expriment une intention ; elles ne remplacent pas la protection architecturale.

Un dossier de preuves de souveraineté complet inclut : un Transfer Impact Assessment à jour traitant l’exposition au CLOUD Act et à la Section 702 du FISA ; des schémas d’architecture montrant la gestion des clés et l’isolement des déploiements ; des preuves d’intégration HSM et de chiffrement validé FIPS 140-3 Niveau 1 ; une liste de sous-traitants avec les juridictions associées ; les certificats ISO 27001 et SOC2 ; des preuves de configuration du géorepérage ; et des exemples d’exports de journaux d’audit attestant du suivi continu de la conformité.

Dans une architecture mutualisée, les données et clés de plusieurs organisations partagent la même infrastructure — une seule faille peut exposer plusieurs clients, et la juridiction légale du fournisseur s’applique à tous. Le déploiement à locataire unique garantit un isolement total : infrastructure dédiée, clés de chiffrement contrôlées par le client, aucun partage de ressources avec d’autres locataires. Cela élimine le risque de mélange et fait de la documentation d’architecture une preuve de souveraineté beaucoup plus solide pour les clients et leurs régulateurs.

Les exigences de sécurité de la supply chain imposées par NIS 2 obligent les opérateurs d’infrastructures critiques et les entités importantes à vérifier la posture de sécurité de leurs fournisseurs dans le cadre de leur propre programme de conformité. Les organisations soumises à NIS2 demanderont systématiquement une documentation d’architecture, des journaux d’audit et des preuves de gestion des incidents lors des appels d’offres. Les fournisseurs doivent anticiper cette demande — les acheteurs concernés par NIS 2 n’accepteront pas de simples assurances à la place de preuves concrètes.

Ressources complémentaires 

  • Article de blog  
    Souveraineté des données : bonne pratique ou exigence réglementaire ?
  • eBook  
    Souveraineté des données et RGPD
  • Article de blog  
    Évitez ces pièges de la souveraineté des données
  • Article de blog  
    Bonnes pratiques pour la souveraineté des données
  • Article de blog  
    Souveraineté des données et RGPD [Comprendre la sécurité des données]

    •  

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks