ISMS Copilot
Sécurité

Évaluation de l'impact des transferts (TIA)

ISMS Copilot a réalisé une évaluation de l'impact des transferts (TIA) pour les transferts internationaux de données vers les États-Unis conformément aux exigences du chapitre V du RGPD. Cet article explique les conclusions de l'évaluation, les mesures supplémentaires mises en œuvre et comment le mode de protection avancée des données affecte vos obligations en matière de transfert.

Qu'est-ce qu'une évaluation de l'impact des transferts ?

En vertu du RGPD et de l'arrêt Schrems II, les organisations qui transfèrent des données à caractère personnel vers des pays situés en dehors de l'UE/EEE doivent évaluer si les lois du pays de destination offrent une protection adéquate. Les clauses contractuelles types (CCT) seules peuvent ne pas suffire — vous devez évaluer si des garanties supplémentaires sont nécessaires.

Une TIA évalue :

  • Les lois du pays de destination susceptibles de permettre l'accès du gouvernement aux données

  • Si votre importateur de données (sous-traitant ultérieur) pourrait être soumis à ces lois

  • Les mesures techniques et organisationnelles qui atténuent les risques identifiés

  • Si la combinaison des CCT et des mesures supplémentaires offre une protection adéquate

Cette évaluation s'applique lorsque le mode de protection avancée des données est DÉSACTIVÉ (par défaut). Lorsqu'il est ACTIVÉ, le traitement par l'IA reste dans l'UE, ce qui simplifie considérablement les obligations de transfert.

Suivi du cadre de protection des données UE-États-Unis

En juillet 2023, la Commission européenne a adopté une décision d'adéquation pour le Cadre de protection des données (DPF) UE-États-Unis. Toutefois, ISMS Copilot ne s'appuie pas exclusivement sur le DPF et met en œuvre des mesures supplémentaires indépendamment des décisions d'adéquation.

Engagement de suivi du DPF : ISMS Copilot surveille trimestriellement les contestations juridiques du cadre de protection des données UE-États-Unis. En cas d'évolution juridique majeure (ex : contestation devant la CJUE, révocation de la décision d'adéquation, nouvelles directives du CEPD), cette TIA sera revue et mise à jour sous 30 jours. Les utilisateurs seront informés de tout changement matériel des mécanismes de transfert par e-mail et via les annonces produit.

Les organisations doivent rester attentives à toute contestation du DPF (similaires aux décisions Schrems I/II).

TIA d'ISMS Copilot : Fournisseurs d'IA basés aux États-Unis

Portée de l'évaluation

ISMS Copilot a réalisé une évaluation de l'impact des transferts pour les sous-traitants ultérieurs basés aux États-Unis utilisés lorsque le mode de protection avancée des données est désactivé :

  • Anthropic (Claude) [PAR DÉFAUT] : Traitement des conversations IA

  • OpenAI : IA pour les conversations et l'analyse de documents

  • xAI (Grok) : Traitement des conversations IA

  • Google Gemini : Traitement des conversations IA

  • SendGrid (Twilio) : Envoi d'e-mails transactionnels

  • Kit (ConvertKit) : E-mails d'intégration et de mise à jour du produit

Note : Anthropic (Claude) est le fournisseur d'IA par défaut lorsque le mode de protection avancée des données est DÉSACTIVÉ. Les utilisateurs peuvent sélectionner d'autres fournisseurs (OpenAI, xAI ou Google Gemini) dans les paramètres.

Cadre juridique : Accès du gouvernement américain

La TIA a évalué les lois de surveillance américaines qui pourraient permettre l'accès du gouvernement :

FISA Section 702

  • Autorise les agences de renseignement américaines à contraindre les entreprises américaines à fournir les communications de personnes non américaines

  • S'applique aux « fournisseurs de services de communication électronique »

  • Le ciblage doit être effectué à des fins de renseignement étranger

Executive Order 12333

  • Régit les activités de renseignement étranger

  • Peut permettre l'interception de données en transit

CLOUD Act

  • Permet aux forces de l'ordre américaines d'exiger la divulgation de données détenues par des entreprises américaines, même si elles sont stockées à l'étranger

  • Nécessite une procédure judiciaire (mandat ou assignation)

Conclusions de l'évaluation des risques

La TIA d'ISMS Copilot a conclu que les risques sont atténués par les facteurs suivants :

Nature des données traitées

  • Requêtes liées à la conformité et projets de politiques

  • Généralement pas de contenu de communication ciblé par la section 702 de la FISA

  • Peu susceptible d'atteindre le seuil de « renseignement étranger » pour le ciblage

Rétention limitée par les fournisseurs d'IA

  • xAI/OpenAI : rétention de 30 jours uniquement pour le suivi des abus

  • Non stockées de manière permanente ni indexées à des fins de renseignement

  • Interdiction contractuelle d'utiliser les données pour l'entraînement des modèles

Chiffrement de bout en bout

  • Le chiffrement TLS 1.3 protège les données en transit

  • Réduit le risque d'interception massive sous l'EO 12333

Aucune preuve de requêtes gouvernementales

  • xAI, OpenAI et les fournisseurs de messagerie n'ont pas signalé avoir reçu de demandes d'accès du gouvernement pour les données client d'ISMS Copilot

  • Les rapports de transparence montrent des demandes ciblées des forces de l'ordre, et non une surveillance de masse

Mesures supplémentaires

Au-delà des clauses contractuelles types, ISMS Copilot met en œuvre ces mesures techniques et organisationnelles supplémentaires :

Mesures techniques

  • Chiffrement en transit : TLS 1.3 pour tous les transferts de données

  • Chiffrement au repos : Base de données de l'UE chiffrée en AES-256

  • Rétention limitée : Cache de 30 jours chez le fournisseur d'IA contre un stockage permanent

  • Rétention contrôlée par l'utilisateur : Les clients définissent leurs propres durées de rétention (1 jour à 7 ans)

  • Mode réduction des PII : Masquage optionnel des données personnelles côté client avant le traitement par l'IA

Mesures contractuelles

  • Pas d'entraînement sur les données : Interdiction contractuelle pour les fournisseurs d'IA d'utiliser les données clients pour l'entraînement de modèles

  • Clauses contractuelles types : CCT approuvées par la Commission européenne avec tous les sous-traitants américains

  • Surveillance des abus uniquement : Rétention de 30 jours limitée à la détection d'abus de la plateforme, pas d'usage commercial

Mesures de contrôle de l'utilisateur

  • Mode de protection avancée des données : Les utilisateurs peuvent passer au traitement exclusif dans l'UE (Mistral AI, zéro rétention) pour éviter tout transfert vers les États-Unis

  • Isolation des espaces de travail : Données clients séparées pour limiter l'exposition lors de chaque requête

  • Minimisation des données : Seules les données essentielles sont collectées ; aucune donnée démographique ou personnelle inutile

La combinaison des CCT, du chiffrement, de la rétention limitée et du contrôle par l'utilisateur offre une protection adéquate pour les transferts de données liés à la conformité vers les fournisseurs d'IA américains. Pour une protection maximale, activez le mode de protection avancée des données.

Comment le mode de protection avancée des données modifie les obligations TIA

Mode par défaut (protection avancée DÉSACTIVÉE)

Lorsque la protection avancée des données est désactivée :

  • Lieu de traitement IA : États-Unis (Anthropic Claude [PAR DÉFAUT], OpenAI, xAI ou Google Gemini - au choix de l'utilisateur)

  • Mécanisme de transfert : Clauses contractuelles types + mesures supplémentaires

  • Exigence de TIA : Les organisations soumises au RGPD doivent réaliser leur propre TIA ou s'appuyer sur celle d'ISMS Copilot

  • Rétention par les fournisseurs IA : 30 jours (cache temporaire pour le suivi des abus)

  • Transferts d'e-mails : Toujours vers des fournisseurs américains (SendGrid/Kit), quel que soit le réglage de l'IA

Si vous utilisez le mode par défaut pour traiter des données personnelles de résidents de l'UE, documentez ce transfert dans votre registre des activités de traitement (ROPA) et appuyez-vous sur la TIA d'ISMS Copilot ou réalisez votre propre évaluation.

Protection avancée ACTIVÉE (Mode UE uniquement)

Lorsque la protection avancée des données est activée :

  • Lieu de traitement IA : Union européenne (Mistral AI, Francfort)

  • Mécanisme de transfert : Pas de transfert international pour le traitement IA (UE vers UE)

  • Exigence de TIA : Non requise pour le traitement IA (pas de transfert hors UE/EEE)

  • Rétention par le fournisseur IA : Zéro rétention — données traitées en temps réel et supprimées

  • Transferts d'e-mails : Toujours vers des fournisseurs américains (SendGrid/Kit) ; une TIA reste nécessaire pour les e-mails

Le mode de protection avancée des données élimine le besoin de TIA pour le traitement IA, simplifiant considérablement la conformité au RGPD. Toutefois, les transferts d'e-mails vers les fournisseurs américains subsistent et nécessitent toujours une évaluation.

Les transferts d'e-mails subsistent quel que soit le mode

Même avec le mode de protection avancée activé, les communications par e-mail impliquent des transferts vers les États-Unis :

  • SendGrid (Twilio) : E-mails transactionnels (vérification de compte, réinitialisation de mot de passe, alertes de sécurité)

  • Kit (ConvertKit) : Séquences d'intégration et mises à jour du produit (optionnel, l'utilisateur peut se désabonner)

  • Données transférées : Adresses e-mail, données d'engagement (ouvertures, clics), métadonnées des messages

  • Garanties : Clauses contractuelles types, chiffrement en transit, accords de traitement des données (DPA) conformes au RGPD

Pour minimiser les transferts d'e-mails, les utilisateurs peuvent se désabonner des communications non essentielles.

Réaliser votre propre TIA

Quand avez-vous besoin de votre propre évaluation ?

Les organisations doivent mener leur propre TIA si :

  • Vous traitez des catégories particulières de données (Article 9 du RGPD) via ISMS Copilot

  • Votre tolérance au risque diffère de l'évaluation d'ISMS Copilot

  • Votre autorité de protection des données exige des TIA spécifiques à l'organisation

  • Les contrats clients imposent des évaluations de transfert indépendantes

  • Vous traitez de gros volumes de données personnelles de résidents de l'UE

Questions clés pour votre TIA

Lors de la réalisation de votre propre évaluation, considérez :

Sensibilité des données

  • Quels types de données personnelles téléchargez-vous ?

  • Incluent-elles des catégories particulières (santé, biométrie, opinions politiques) ?

  • Comment un accès gouvernemental non autorisé nuirait-il aux personnes concernées ?

Probabilité d'accès

  • Vos données de conformité pourraient-elles atteindre le seuil de « renseignement étranger » selon la section 702 de la FISA ?

  • Êtes-vous ou vos clients des cibles potentielles de surveillance gouvernementale ?

  • Gérez-vous des données liées à la sécurité nationale, au terrorisme ou au crime organisé ?

Mesures supplémentaires

  • Les mesures techniques d'ISMS Copilot (chiffrement, rétention limitée) sont-elles suffisantes pour votre cas d'usage ?

  • Devriez-vous activer le mode de protection avancée des données pour un traitement exclusivement européen ?

  • Devriez-vous activer le mode réduction des PII pour masquer les données personnelles avant le traitement par l'IA ?

  • Avez-vous besoin d'une anonymisation supplémentaire avant de télécharger des documents ?

Solutions alternatives

  • Si les risques ne peuvent être atténués, pouvez-vous éviter le transfert en activant le mode de protection avancée ?

  • Pouvez-vous anonymiser les données avant d'utiliser ISMS Copilot ?

  • Devriez-vous restreindre l'usage d'ISMS Copilot aux seules données non personnelles ?

Ressources pour votre TIA

Guide de décision : Quel mode choisir ?

Utilisez le mode de protection avancée des données (UE uniquement) quand :

  • Votre organisation a des exigences impératives de résidence des données dans l'UE

  • Vous gérez des données personnelles de résidents de l'UE et souhaitez simplifier la conformité TIA

  • Les contrats clients interdisent le traitement des données aux États-Unis

  • Vous traitez des catégories particulières de données (Article 9 du RGPD)

  • Votre autorité de protection des données exige un traitement exclusif dans l'UE

  • Votre évaluation des risques conclut que les transferts vers les États-Unis posent des risques inacceptables

  • Vous souhaitez une rétention nulle chez le fournisseur d'IA pour une confidentialité maximale

Les consultants en conformité travaillant avec des clients européens devraient utiliser par défaut le mode de protection avancée pour répondre aux exigences strictes de souveraineté des données.

Le mode par défaut peut être acceptable quand :

  • Vous ne traitez que de la documentation de conformité sans données personnelles

  • Votre TIA conclut que les mesures supplémentaires offrent une protection adéquate

  • Vous n'êtes pas soumis au RGPD (organisation hors UE, pas de sujets de données dans l'UE)

  • Vous ne gérez que du contenu de conformité non sensible (politiques génériques, référentiels)

  • La rétention de 30 jours du fournisseur d'IA est acceptable selon vos politiques

Documenter les transferts dans votre ROPA

Si vous utilisez ISMS Copilot pour traiter des données personnelles, documentez-le dans votre Registre des activités de traitement :

Mode par défaut (protection avancée DÉSACTIVÉE)

  • Sous-traitants ultérieurs : ISMS Copilot (UE), xAI (USA), OpenAI (USA), SendGrid (USA), Kit (USA)

  • Destinations de transfert : États-Unis

  • Mécanismes de transfert : Clauses contractuelles types, chiffrement, rétention limitée

  • Référence TIA : « En s'appuyant sur l'évaluation de l'impact des transferts d'ISMS Copilot datée du [date] » ou « TIA interne réalisée le [date] »

Mode de protection avancée des données (ACTIVÉ)

  • Sous-traitants ultérieurs : ISMS Copilot (UE), Mistral AI (UE), SendGrid (USA), Kit (USA)

  • Destinations de transfert : États-Unis (e-mail uniquement)

  • Mécanismes de transfert : Clauses contractuelles types pour les fournisseurs de messagerie

  • Référence TIA : « Le traitement IA a lieu dans l'UE (pas de transfert) ; les transferts d'e-mails sont couverts par des CCT »

Consultez le Registre des activités de traitement d'ISMS Copilot pour un modèle de référence.

Bonnes pratiques

Pour les organisations de l'UE

  • Activez le mode de protection avancée des données par défaut pour éviter la complexité des TIA

  • Inscrivez ISMS Copilot dans votre ROPA avec les détails appropriés sur les sous-traitants ultérieurs

  • Informez les personnes concernées que vous utilisez des outils d'IA pour le traitement de la conformité (politique de confidentialité)

  • Anonymisez les données personnelles avant le téléchargement lorsque cela est possible

  • Réalisez une AIPD si vous traitez des catégories particulières de données ou des données personnelles à grande échelle

Pour les consultants en conformité

  • Évaluez les exigences de résidence des données de chaque client avant de choisir un mode

  • Créez des espaces de travail distincts par client pour isoler les données

  • Incluez ISMS Copilot comme sous-traitant ultérieur dans vos DPA avec les clients

  • Informez les clients du mode utilisé et des raisons de ce choix

  • Activez le mode réduction des PII pour une protection accrue lors de la gestion de rapports d'audit contenant des noms d'employés

Minimisation des risques de transfert

  • Activer le mode de protection avancée des données : Élimine totalement les transferts liés au traitement par l'IA

  • Activer le mode réduction des PII : Masque les données personnelles avant qu'elles n'atteignent les fournisseurs d'IA

  • Se désabonner des e-mails non essentiels : Réduit les transferts vers les fournisseurs de messagerie

  • Définir des périodes de rétention courtes : Limite la durée de stockage des données

  • Anonymiser avant le téléchargement : Supprimer ou pseudonymiser les identifiants personnels

Foire aux questions

Dois-je réaliser ma propre TIA si j'utilise ISMS Copilot ?

Cela dépend. Si vous utilisez le mode par défaut et traitez des données personnelles de résidents de l'UE, vous devez soit réaliser votre propre TIA, soit documenter le fait que vous vous appuyez sur l'évaluation d'ISMS Copilot. Si vous activez le mode de protection avancée, le traitement IA reste dans l'UE et ne nécessite pas de TIA (bien qu'un transfert pour les e-mails subsiste).

Le mode de protection avancée élimine-t-il complètement les obligations de transfert ?

Non. Il élimine les transferts pour le traitement par l'IA, mais les communications par e-mail impliquent toujours des fournisseurs basés aux États-Unis (SendGrid, Kit). Ces transferts d'e-mails restent soumis aux exigences du chapitre V du RGPD et doivent être documentés dans votre ROPA.

Que se passe-t-il si mon autorité de protection des données rejette la TIA d'ISMS Copilot ?

Si votre autorité conclut que les transferts vers les États-Unis posent des risques inacceptables, activez le mode de protection avancée pour traiter les charges de travail d'IA exclusivement dans l'UE. Cela supprime la nécessité d'une TIA pour le traitement IA.

Puis-je utiliser ISMS Copilot pour des catégories particulières de données ?

Oui, mais avec des précautions. Activez le mode de protection avancée pour un traitement strictement européen, activez le mode réduction des PII, définissez des périodes de rétention courtes et réalisez une analyse d'impact relative à la protection des données (AIPD) conformément à l'article 35 du RGPD. Assurez-vous d'avoir une base légale au titre de l'article 9.

À quelle fréquence dois-je réviser ma TIA ?

Révisez votre TIA chaque fois que :

  • ISMS Copilot change de sous-traitant ultérieur ou de flux de données

  • Les lois de surveillance américaines sont modifiées

  • Votre autorité de protection des données publie de nouvelles directives

  • La nature ou le volume des données que vous traitez change de manière significative

Où puis-je trouver les clauses contractuelles types d'ISMS Copilot ?

Les CCT sont intégrées aux contrats avec les sous-traitants ultérieurs. Contactez le support via le Centre d'aide pour obtenir des copies des CCT pour vos évaluations de fournisseurs ou à des fins d'audit.

Ressources connexes

Obtenir de l'aide

Pour toute question sur les évaluations d'impact des transferts ou les transferts internationaux :

  • Consultez l' Accord de traitement des données pour les mécanismes légaux de transfert

  • Contactez le support via le Centre d'aide pour obtenir la documentation TIA ou des copies de CCT

  • Indiquez « Demande TIA » ou « Évaluation d'impact des transferts » en objet de votre message

  • Visitez la Collection Sécurité pour une documentation complète sur la conformité

Cela vous a-t-il été utile ?