Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > 100 millions d’euros : vos SCC ne suffisent pas pour la souveraineté des données

100 millions d’euros : vos SCC ne suffisent pas pour la souveraineté des données

par Marc ten Eikelder updated mai 25, 2026 Conformité RGPD
temps de lecture: 9 minutes

Résumé

  1. Les contrats n’ont pas protégé le responsable de traitement. L’Autorité néerlandaise de protection des données a infligé une amende de 100 millions d’euros à une plateforme de taxis pour avoir transféré des données personnelles de l’UE vers la Russie, alors même que l’entreprise avait signé les clauses contractuelles types de l’UE. Les SCC ne suffisent plus à se défendre.
  2. Les régulateurs exigent une architecture, pas des garanties sur papier. La décision repose sur une question simple : le responsable de traitement peut-il réellement empêcher l’accès non autorisé par le pays tiers ? Les garanties contractuelles ne suffisent pas. La gestion des clés de chiffrement, l’application de la résidence des données et les contrôles d’accès, oui.
  3. Le schéma se généralise. L’autorité irlandaise a ouvert une enquête parallèle sur Shein concernant des transferts de données vers la Chine. Deux juridictions, deux destinations à haut risque, une même logique réglementaire : prouver le contrôle ou payer l’amende.
  4. La plupart des organisations ne peuvent pas prouver la souveraineté du traitement. La souveraineté du stockage est acquise. Celle du traitement ne l’est pas. Seules 36 % des organisations disposent d’une visibilité sur la gestion des données par les tiers dans les systèmes d’IA, et les charges de travail IA compliquent tous les contrôles transfrontaliers.
  5. Le CFO devient acteur de la souveraineté des données. Les plafonds RGPD de 4 % du chiffre d’affaires mondial, l’atteinte à la réputation et le coût de la restructuration des transferts font sortir la souveraineté du périmètre de la conformité pour l’inscrire au registre des risques de la direction.

L’AP néerlandaise a tranché. Les SCC ne vous sauveront pas.

En avril 2026, l’Autorité néerlandaise de protection des données (AP) a infligé une amende RGPD de 100 millions d’euros à MLU B.V., opérateur néerlandais de l’application de taxis Yango et filiale du groupe technologique russe Yandex, pour des transferts illicites de données personnelles d’utilisateurs finlandais et norvégiens vers la Russie. La décision date du 1er avril 2026 ; l’AP a annoncé la sanction publiquement le 8 mai 2026, en coordination avec les autorités finlandaise et norvégienne, qui co-enquêtaient depuis 2023. L’entreprise avait signé les clauses contractuelles types de l’UE. L’AP a jugé ces clauses insuffisantes au vu des risques de surveillance et d’accès gouvernemental en Russie. Les transferts étaient donc illégaux.

Cette conclusion résume toute l’affaire. Les SCC ne présument pas d’une protection adéquate. Elles constituent un point de départ. Le responsable doit encore démontrer que, dans la pratique, le régime juridique du pays tiers permet de protéger les données à un niveau « essentiellement équivalent » à celui de l’UE. Quand cette démonstration échoue — et la posture de surveillance russe la rendait impossible — le mécanisme contractuel s’effondre.

Il s’agit ici de la logique Schrems II pleinement appliquée. En 2020, la Cour de justice de l’Union européenne a indiqué que les SCC exigent des mesures complémentaires lorsque le droit du pays tiers présente des risques d’accès systémique. Pendant six ans, le secteur a traité cette décision comme théorique. L’AP néerlandaise vient d’en faire une facture de 100 millions d’euros.

La leçon dépasse le secteur des taxis et la Russie. Toute multinationale ayant recours à des développeurs, équipes de support, prestataires analytiques ou régions cloud situés dans des juridictions à fort pouvoir d’accès étatique se retrouve désormais sous la même loupe juridique. L’examen ne porte pas sur l’existence du contrat, mais sur la capacité de l’architecture à rendre le contrat exécutoire.

Ce qui rend la décision MLU particulièrement difficile à écarter, c’est le raisonnement de l’AP. L’autorité ne remet pas en cause les SCC en tant que telles. Elle affirme que les SCC, seules, ne peuvent limiter les pouvoirs d’accès d’un gouvernement étranger. C’est un constat structurel, pas documentaire. Aucun raffinement contractuel ne corrige un problème structurel. La seule solution consiste à rendre les données inaccessibles dans les faits — via un chiffrement avec des clés contrôlées par l’UE, via l’application de la résidence, via des contrôles architecturaux indépendants de la bonne volonté contractuelle.

Ce que signifient réellement les « mesures complémentaires »

La décision de l’AP met en lumière une expression que les régulateurs européens emploient depuis des années et que la plupart des responsables ont systématiquement sous-estimée : « mesures complémentaires ». L’article 46 du RGPD autorise les transferts sur la base de garanties appropriées, mais seulement si ces garanties fonctionnent réellement. Lorsque les SCC constituent le mécanisme, ce sont les mesures complémentaires qui leur donnent leur efficacité.

Concrètement, cela se traduit par trois catégories de contrôle.

  • Contrôles techniques. Chiffrement avec des clés détenues hors du pays tiers. Pseudonymisation empêchant toute déchiffrement dans la juridiction de destination. Journalisation des accès permettant de prouver quelles entités — y compris gouvernementales — ont tenté d’accéder aux données. L’approche technique doit rendre l’accès non autorisé difficile par l’architecture, pas seulement interdit par contrat.
  • Contrôles organisationnels. Réalisation d’analyses d’impact sur les transferts, évaluant le régime juridique de chaque pays de destination. Due diligence fournisseurs portant sur les lois de surveillance, et pas seulement sur les rapports SOC 2. Scénarios de réponse aux demandes d’accès gouvernementales.
  • Contrôles contractuels au-delà des SCC. Clauses d’indemnisation, droits d’audit, délais de notification de violation plus courts que les minima RGPD, et clauses imposant au sous-traitant de contester les demandes d’accès illégales. Ces éléments ne remplacent pas les contrôles techniques et organisationnels, ils les complètent.

L’AP néerlandaise a jugé les mesures complémentaires de MLU insuffisantes au vu du risque systémique de surveillance. L’amende sanctionne le fait de traiter les « garanties appropriées » comme une simple case à cocher.

Pourquoi la souveraineté du stockage n’est pas celle du traitement

La plupart des grandes organisations ont résolu la souveraineté du stockage. Les données résident dans des data centers européens. Les sauvegardes restent dans la région. Les sites de reprise après sinistre sont documentés. La prochaine vague réglementaire pose une question plus complexe : où les données sont-elles effectivement traitées, et la souveraineté des données s’étend-elle jusque-là ?

Les données du rapport prévisionnel 2026 de Kiteworks sur la sécurité et la conformité des données illustrent clairement l’écart. 29 % des organisations citent les transferts transfrontaliers via des prestataires IA comme principal risque de confidentialité. 30 % évoquent la gestion des données par des fournisseurs IA tiers comme préoccupation majeure de sécurité. Mais seules 36 % disposent d’une visibilité sur la gestion des données par leurs partenaires dans les systèmes IA. Les autres s’en remettent aux contrats — exactement ce que l’AP néerlandaise vient de sanctionner.

Le rapport 2026 décrit ce changement de paradigme : on passe de « où les données sont-elles stockées ? » à « où sont-elles traitées, qui peut y accéder, et pouvez-vous le prouver ? ». Les contrôles de stockage répondent à la première question, mais pas aux deux suivantes.

Ce problème se pose de façon aiguë avec les charges de travail IA. Une requête envoyée à un fournisseur IA cloud peut être traitée dans une juridiction différente de celle du stockage. Le modèle peut être hébergé dans un pays tiers et affiné dans un quatrième. Le résultat peut traverser plusieurs frontières avant de revenir. Les contrôles de souveraineté traditionnels — qui supposent une localisation fixe des données — ne couvrent pas ce cas de figure.

La décision de l’AP néerlandaise s’applique à l’ensemble. Le test juridique n’est pas « les données étaient-elles stockées dans l’UE ? » mais « un acteur du pays tiers pouvait-il exiger l’accès ? ». Pour la plupart des déploiements IA, la réponse honnête est « nous ne savons pas ».

Cette réponse honnête a des conséquences. Lorsque le régulateur demande où une requête a été traitée, où le modèle a été hébergé, et quelle loi s’applique à une demande d’accès, le responsable doit fournir des preuves — pas une simple déclaration d’intention. Les contrats établissent l’intention. L’architecture fournit la preuve. La décision MLU fait le lien entre les deux : elle sanctionne l’intention non étayée par des preuves.

L’affaire Shein confirme la tendance

Trois jours avant l’annonce publique de l’amende Yango, la Data Protection Commission irlandaise a ouvert une enquête sur Infinite Styles Services Co. Ltd. (Shein Ireland) concernant des transferts de données d’utilisateurs de l’UE et de l’EEE vers la Chine. L’enquête a été lancée le 30 avril 2026 au titre de la section 110 du Data Protection Act 2018 et rendue publique le 5 mai 2026. Elle porte sur la base légale, la transparence et les garanties entourant les traitements à l’étranger via le siège EMEA de Shein à Dublin.

Deux actions de contrôle dans le même mois, visant deux destinations à haut risque différentes, toutes deux fondées sur le même mécanisme juridique : les garanties applicables aux transferts transfrontaliers. Ce n’est plus un cas isolé. C’est une tendance réglementaire.

La Chine pose le même problème juridique que la Russie. La PIPL prévoit des restrictions sur les transferts transfrontaliers ; les lois chinoises sur la sécurité nationale et le renseignement prévoient des accès dans l’autre sens. Résultat : une multinationale qui transfère des données européennes vers des infrastructures de traitement chinoises se heurte au même problème Schrems II que celui tranché par l’AP néerlandaise.

L’affaire Shein n’est pas close. Mais la DPC a le pouvoir d’infliger des sanctions lourdes au titre du RGPD — jusqu’à 4 % du chiffre d’affaires mondial. Pour une plateforme grand public, ce calcul n’a rien d’abstrait.

L’implication plus large : toute organisation disposant d’équipes de développement, d’analyse ou de support dans des juridictions à fort pouvoir d’accès étatique — pas seulement la Russie et la Chine, mais aussi la liste élargie des pays signalés par l’UE dans ses procédures d’adéquation — doit s’attendre à une vigilance accrue. Les autorités se coordonnent, le test juridique est harmonisé, et les budgets alloués à ces dossiers augmentent.

Une souveraineté prouvable : la norme européenne

Les régulateurs européens annoncent depuis des années la nouvelle norme. Le rapport 2026 de Kiteworks sur la sécurité et la conformité des données : souveraineté en Europe la décrit comme le passage de « nous pensons être conformes » à « nous pouvons démontrer où résident les données, comment les accès sont gouvernés, et comment les mouvements transfrontaliers sont empêchés ou documentés ».

Le rapport Europe Sovereignty identifie trois piliers opérationnels.

  • Contrôles. Application de la résidence, gestion des clés de chiffrement, et politiques d’accès empêchant tout mouvement transfrontalier non autorisé au niveau de l’architecture. Pas au niveau des règles. Pas au niveau contractuel. Au niveau de l’architecture — autrement dit, les données ne peuvent pas sortir de la frontière car le système l’interdit, peu importe qui le demande.
  • Preuves. Journaux d’audit exportables, logs de résidence des données, et reporting de conformité disponibles à la demande pour les régulateurs et les clients. Pas à échéance trimestrielle. À la demande.
  • Préparation à la réponse. Scénarios testés pour les demandes d’accès gouvernementales, les défaillances de fournisseurs tiers, les analyses d’impact sur les transferts et les situations de conformité Schrems II. L’exercice doit précéder l’incident.

44 % des répondants européens citent les garanties de souveraineté des fournisseurs comme frein à l’adoption de solutions cloud européennes — le taux le plus élevé de toutes les régions interrogées. Le marché a exprimé ses besoins aux fournisseurs. Les régulateurs viennent de leur adresser le même message, avec une sanction de 100 millions d’euros à la clé.

L’approche Kiteworks : l’architecture, pas l’intention

Kiteworks rend la souveraineté des données opérationnelle au niveau de l’infrastructure, et non au niveau des règles. L’échange sécurisé de données propose des options de déploiement flexibles — sur site, cloud privé, hybride, FedRAMP — permettant de stocker les contenus sensibles dans la juridiction d’origine, que ce soit l’UE, le Canada, le Moyen-Orient ou les États-Unis.

La gestion des clés de chiffrement reste dans la juridiction. Le géorepérage s’applique via des contrôles IP configurables. Messagerie électronique, partage de fichiers, transfert sécurisé de fichiers, SFTP et formulaires de données sont réunis sur une plateforme zéro trust unique, où chaque fichier est contrôlé, tracé et protégé tout au long de son cycle de vie. L’architecture impose la résidence. C’est ce que l’AP néerlandaise attend.

La dimension d’audit est tout aussi essentielle. Journaux d’audit centralisés et immuables, reporting automatisé de conformité — avec des modèles préconfigurés pour le RGPD, DORA, NIS 2, PIPEDA, PDPL, etc. — fournissent les preuves exportables qui, selon le rapport Europe Sovereignty, font la différence opérationnelle entre les organisations qui subissent des incidents et celles qui les préviennent. Lorsqu’une autorité demande la preuve du lieu de traitement des données, la réponse consiste en une requête sur un journal immuable, et non une reconstitution a posteriori.

Pour les organisations qui revoient leur politique de transfert de données après la décision MLU, les conclusions du rapport prévisionnel 2026 de Kiteworks posent la bonne question : l’objectif n’est pas d’améliorer les contrats. L’objectif est un cadre de gouvernance unifié, produisant une documentation prête à l’audit, exigée par les régulateurs, les auditeurs et les clients entreprises.

Que doivent faire les RSSI et les juristes dès maintenant ?

  1. Auditer la géographie. Recensez chaque système, fournisseur et flux de travail qui transfère des données personnelles européennes à l’international. Selon le rapport prévisionnel 2026 de Kiteworks, seules 36 % des organisations disposent d’une visibilité sur la gestion des données par les partenaires IA — un niveau qui ne résistera pas à la prochaine enquête de la DPC. Commencez par les fournisseurs IA, puis les équipes de développement offshore, puis les prestataires analytiques.
  2. Reconsidérer les SCC comme défense. D’après le rapport prévisionnel 2026 de Kiteworks, les garanties contractuelles seules sont de moins en moins suffisantes face aux régimes à fort pouvoir d’accès étatique. Traitez les SCC comme une couche dans une défense en profondeur, pas comme la couche principale. Ajoutez des contrôles techniques — chiffrement, séparation des clés, application de la résidence — et documentez-les dans des analyses d’impact sur les transferts actualisées.
  3. Prouver la souveraineté du traitement, pas seulement du stockage. Les données du rapport prévisionnel 2026 de Kiteworks montrent que 29 % des organisations identifient les transferts IA transfrontaliers comme un risque, mais la prise de conscience ne vaut pas contrôle. Construisez une posture technique qui contraint le lieu du traitement, pas seulement du stockage. Pour les charges de travail IA, c’est le problème le plus difficile et le plus urgent.
  4. Instrumenter la traçabilité. Lorsqu’une autorité demande comment un transfert a eu lieu, la réponse doit venir d’un journal infalsifiable, pas d’une reconstitution. Selon le rapport prévisionnel 2026 de Kiteworks, 33 % des organisations n’ont pas de journaux d’audit de qualité probante. Le rapport Europe Sovereignty décrit la traçabilité exportable comme le facteur différenciant entre les organisations qui subissent des incidents de souveraineté et celles qui les évitent.
  5. Tester le plan avant l’incident. Simulez la réponse à une demande d’accès gouvernementale. Simulez la gestion d’une défaillance fournisseur dans une juridiction à risque. La décision de l’AP néerlandaise montre que le régulateur évaluera la réponse à l’aune de la préparation documentée, pas des bonnes intentions. Les exercices de simulation impliquant le juridique, la sécurité, la protection des données et la direction sont la meilleure assurance contre une enquête réglementaire qui tourne mal.

L’amende MLU s’élève à 100 millions d’euros. L’architecture qui l’aurait évitée coûte moins cher. Le calcul du conseil d’administration a changé. Ce qui relevait du budget conformité devient un enjeu de gestion des risques d’entreprise — au même titre que la cybersécurité, le contrôle financier ou la résilience opérationnelle. Les organisations qui traitent la souveraineté des données comme une question d’architecture dépenseront moins à terme que celles qui la considèrent comme une simple formalité administrative. L’AP néerlandaise vient de rendre ce choix suffisamment coûteux pour qu’il soit pris au sérieux.

Foire aux questions

Oui. La décision de l’AP néerlandaise a jugé les SCC insuffisantes en présence de risques systémiques d’accès étatique dans le pays de destination. Les données du rapport prévisionnel 2026 de Kiteworks sur la sécurité et la conformité des données montrent que seules 36 % des organisations disposent d’une visibilité sur la gestion des données par les partenaires. Ajoutez un chiffrement avec des clés contrôlées par l’UE, documentez une analyse d’impact sur les transferts et évaluez la possibilité de relocaliser le traitement.

Les sociétés financières font face au risque combiné le plus élevé RGPD et sectoriel. Le rapport prévisionnel 2026 de Kiteworks sur la sécurité et la conformité des données indique que 29 % des organisations citent les transferts transfrontaliers via des prestataires IA comme principal risque de confidentialité. Le précédent de l’AP néerlandaise suggère que les SCC seules ne suffiront plus lors d’un contrôle. Les contrôles architecturaux — application de la résidence, gestion des clés dans la juridiction — deviennent la norme défendable.

Traitez le choix des fournisseurs IA comme un exercice d’analyse d’impact sur les transferts, pas comme un simple achat. Le rapport prévisionnel 2026 de Kiteworks sur la sécurité et la conformité des données indique que 30 % des organisations considèrent la gestion des données par des prestataires IA tiers comme un enjeu majeur de sécurité. Documentez la juridiction d’entraînement du modèle, le lieu d’inférence et les flux de données. Les SCC seules ne suffisent plus en présence de régimes à fort pouvoir d’accès étatique.

Partiellement. Le cloud souverain règle la souveraineté du stockage. Les données du rapport prévisionnel 2026 de Kiteworks sur la sécurité et la conformité des données montrent que 44 % des répondants européens citent encore les garanties de souveraineté des fournisseurs comme un frein. La décision MLU cible la souveraineté du traitement, y compris qui peut accéder aux données, sous quelle juridiction. La gestion des clés de chiffrement et la journalisation des accès sont les réponses architecturales.

Les autorités attendent des garanties techniques, organisationnelles et contractuelles documentées, ainsi que des scénarios de réponse testés. Le rapport prévisionnel 2026 de Kiteworks sur la sécurité et la conformité des données indique que 33 % des organisations n’ont pas de journaux d’audit probants. Les logs de résidence exportables, les enregistrements d’accès immuables et la préparation documentée à la réponse sont les preuves attendues à la demande, et non à échéance trimestrielle.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks