Évaluation de l'impact des transferts - Ajout d'Anthropic
ISMS Copilot a réalisé une évaluation de l'impact des transferts (TIA) pour les transferts de données internationaux vers les États-Unis, conformément aux exigences du chapitre V du RGPD. Cet article explique les conclusions de l'évaluation, les mesures supplémentaires mises en œuvre et la manière dont le mode de protection avancée des données affecte vos obligations en matière de transfert.
Qu'est-ce qu'une évaluation de l'impact des transferts ?
En vertu du RGPD et de l'arrêt Schrems II, les organisations qui transfèrent des données à caractère personnel vers des pays situés en dehors de l'UE/EEE doivent évaluer si les lois du pays de destination offrent une protection adéquate. Les clauses contractuelles types (CCT) seules peuvent ne pas suffire : vous devez évaluer si des garanties supplémentaires sont nécessaires.
Une TIA évalue :
Les lois du pays de destination qui pourraient permettre au gouvernement d'accéder aux données
Si votre importateur de données (sous-traitant ultérieur) pourrait être soumis à ces lois
Les mesures techniques et organisationnelles qui atténuent les risques identifiés
Si la combinaison des CCT et des mesures supplémentaires offre une protection adéquate
Cette évaluation s'applique lorsque le mode de protection avancée des données est DÉSACTIVÉ (par défaut). Lorsqu'il est ACTIVÉ, le traitement par l'IA reste dans l'UE, ce qui simplifie considérablement les obligations de transfert.
TIA d'ISMS Copilot : Fournisseurs d'IA basés aux États-Unis
Portée de l'évaluation
ISMS Copilot a réalisé une évaluation de l'impact des transferts pour les sous-traitants basés aux États-Unis utilisés lorsque le mode de protection avancée des données est désactivé :
xAI (Grok) : Traitement des conversations IA
OpenAI : Analyse de documents et de conversations IA
Anthropic (Claude) : Traitement des conversations IA
SendGrid (Twilio) : Envoi d'e-mails transactionnels
Kit (ConvertKit) : E-mails d'onboarding et de mise à jour du produit
Cadre juridique : Accès du gouvernement américain
La TIA a évalué les lois de surveillance américaines qui pourraient permettre l'accès du gouvernement :
FISA Section 702
Permet aux agences de renseignement américaines de contraindre les entreprises américaines à fournir les communications de personnes non américaines
S'applique aux « fournisseurs de services de communication électronique »
Le ciblage doit être effectué à des fins de renseignement extérieur
Executive Order 12333
Régit les activités de renseignement extérieur
Peut permettre l'interception de données en transit
CLOUD Act
Permet aux forces de l'ordre américaines de contraindre à la divulgation de données détenues par des entreprises américaines, même si elles sont stockées à l'étranger
Nécessite une procédure judiciaire (mandat ou assignation)
Conclusions de l'évaluation des risques
La TIA d'ISMS Copilot a conclu que les risques sont atténués par les facteurs suivants :
Nature des données traitées
Requêtes liées à la conformité et projets de politiques
Généralement pas de contenu de communication ciblé par la FISA 702
Peu probable d'atteindre le seuil de « renseignement extérieur » pour le ciblage
Rétention limitée par les fournisseurs d'IA
xAI, OpenAI, Anthropic : rétention de 30 jours pour la surveillance des abus uniquement
Non stocké de manière permanente ni indexé à des fins de renseignement
Interdiction contractuelle d'utiliser les données pour l'entraînement des modèles
Chiffrement de bout en bout
Le chiffrement TLS 1.3 protège les données en transit
Réduit le risque d'interception massive au titre de l'EO 12333
Aucune preuve de demandes gouvernementales
xAI, OpenAI, Anthropic et les fournisseurs de messagerie n'ont pas signalé avoir reçu de demandes d'accès gouvernementales pour les données des clients d'ISMS Copilot
Les rapports de transparence montrent des demandes ciblées des forces de l'ordre, et non une surveillance de masse
Mesures supplémentaires
Au-delà des clauses contractuelles types, ISMS Copilot met en œuvre ces mesures techniques et organisationnelles supplémentaires :
Mesures techniques
Chiffrement en transit : TLS 1.3 pour tous les transferts de données
Chiffrement au repos : Base de données UE chiffrée avec AES-256
Rétention limitée : Cache de 30 jours chez le fournisseur d'IA contre stockage permanent
Rétention contrôlée par l'utilisateur : Les clients définissent leurs propres périodes de rétention des données (de 1 jour à 7 ans)
Mode de réduction des PII : Suppression facultative des données personnelles côté client avant le traitement par l'IA
Mesures contractuelles
Pas d'entraînement sur les données : Interdiction contractuelle pour les fournisseurs d'IA d'utiliser les données clients pour l'entraînement des modèles
Clauses Contractuelles Types : CCT approuvées par la Commission européenne avec tous les sous-traitants américains
Surveillance des abus uniquement : Rétention de 30 jours limitée à la détection des abus de plateforme, pas d'utilisation commerciale
Mesures de contrôle de l'utilisateur
Mode de protection avancée des données : Les utilisateurs peuvent passer à un traitement exclusif dans l'UE (Mistral AI, zéro rétention) pour éviter totalement les transferts vers les États-Unis
Isolation de l'espace de travail : Données clients séparées pour limiter l'exposition dans chaque requête
Minimisation des données : Seules les données essentielles sont collectées ; aucune information personnelle démographique ou inutile
La combinaison des CCT, du chiffrement, de la rétention limitée et du contrôle de l'utilisateur offre une protection adéquate pour les transferts de données liés à la conformité vers les fournisseurs d'IA américains. Pour une protection maximale, activez le mode de protection avancée des données.
Comment le mode de protection avancée des données modifie les obligations de TIA
Mode par défaut (protection avancée des données DÉSACTIVÉE)
Lorsque la protection avancée des données est désactivée :
Lieu de traitement par l'IA : États-Unis (xAI, OpenAI, Anthropic)
Mécanisme de transfert : Clauses contractuelles types + mesures supplémentaires
Exigence de TIA : Les organisations soumises au RGPD doivent réaliser ou s'appuyer sur la TIA d'ISMS Copilot
Rétention par les fournisseurs d'IA : 30 jours (cache temporaire pour la surveillance des abus)
Transferts d'e-mails : Toujours vers des fournisseurs américains (SendGrid/Kit) quel que soit le réglage de l'IA
Si vous utilisez le mode par défaut pour traiter des données personnelles de résidents de l'UE, documentez ce transfert dans votre registre des activités de traitement et appuyez-vous sur la TIA d'ISMS Copilot ou réalisez votre propre évaluation.
Protection avancée des données ACTIVÉE (Mode UE uniquement)
Lorsque la protection avancée des données est activée :
Lieu de traitement par l'IA : Union européenne (Mistral AI, Francfort)
Mécanisme de transfert : Aucun transfert international pour le traitement par l'IA (UE vers UE)
Exigence de TIA : Non requis pour le traitement par l'IA (pas de transfert hors UE/EEE)
Rétention par le fournisseur d'IA : Zéro rétention — les données sont traitées en temps réel et supprimées
Transferts d'e-mails : Toujours vers des fournisseurs américains (SendGrid/Kit) ; TIA toujours requise pour les e-mails
Le mode de protection avancée des données élimine le besoin de TIA pour le traitement par l'IA, simplifiant considérablement la conformité au RGPD. Cependant, les transferts d'e-mails vers les fournisseurs américains subsistent et nécessitent toujours une évaluation.
Les transferts d'e-mails subsistent quel que soit le mode
Même avec la protection avancée des données activée, les communications par e-mail impliquent des transferts vers les États-Unis :
SendGrid (Twilio) : E-mails transactionnels (vérification de compte, réinitialisation de mot de passe, alertes de sécurité)
Kit (ConvertKit) : Séquences d'onboarding et mises à jour de produits (facultatif, l'utilisateur peut se désabonner)
Données transférées : Adresses e-mail, données d'engagement (ouvertures, clics), métadonnées des messages
Garanties : Clauses contractuelles types, chiffrement en transit, accords de traitement des données (DPA) conformes au RGPD
Pour minimiser les transferts d'e-mails, les utilisateurs peuvent se désabonner des communications non essentielles.
Réaliser votre propre TIA
Quand vous avez besoin de votre propre évaluation
Les organisations doivent mener leur propre TIA si :
Vous traitez des catégories particulières de données (Article 9 du RGPD) via ISMS Copilot
Votre tolérance au risque diffère de l'évaluation d'ISMS Copilot
Votre autorité de protection des données exige des TIA spécifiques à l'organisation
Les contrats clients imposent des évaluations de transfert indépendantes
Vous traitez de gros volumes de données personnelles de résidents de l'UE
Questions clés pour votre TIA
Lors de la réalisation de votre propre évaluation, considérez :
Sensibilité des données
Quels types de données personnelles téléchargez-vous ?
Incluent-elles des catégories particulières (santé, biométrie, opinions politiques) ?
Quel préjudice un accès gouvernemental non autorisé causerait-il aux personnes concernées ?
Probabilité d'accès
Vos données de conformité pourraient-elles atteindre le seuil de « renseignement extérieur » selon la FISA 702 ?
Vous ou vos clients êtes-vous des cibles potentielles de surveillance gouvernementale ?
Manipulez-vous des données relatives à la sécurité nationale, au terrorisme ou au crime organisé ?
Mesures supplémentaires
Les mesures techniques d'ISMS Copilot (chiffrement, rétention limitée) sont-elles suffisantes pour votre cas d'utilisation ?
Devriez-vous activer le mode de protection avancée des données pour un traitement exclusivement dans l'UE ?
Devriez-vous activer le mode de réduction des PII pour biffer les données personnelles avant le traitement par l'IA ?
Avez-vous besoin d'une anonymisation supplémentaire avant de télécharger des documents ?
Solutions alternatives
Si les risques ne peuvent pas être atténués, pouvez-vous éviter le transfert en activant le mode de protection avancée des données ?
Pouvez-vous anonymiser les données avant d'utiliser ISMS Copilot ?
Devriez-vous restreindre l'utilisation d'ISMS Copilot aux seules données non personnelles ?
Ressources pour votre TIA
Recommandations 01/2020 de l'EDPB sur les mesures supplémentaires
CNIL : Comment réaliser une évaluation de l'impact d'un transfert
Accord de traitement des données d'ISMS Copilot (Section 3 : Transferts internationaux de données)
Registre des activités de traitement pour des informations détaillées sur les sous-traitants
Guide de décision : Quel mode choisir ?
Utilisez le mode de protection avancée des données (UE uniquement) lorsque :
Votre organisation a des exigences obligatoires de résidence des données dans l'UE
Vous manipulez des données personnelles de résidents de l'UE et souhaitez simplifier la conformité TIA
Les contrats clients interdisent le traitement des données aux États-Unis
Vous traitez des catégories particulières de données (Article 9 du RGPD)
Votre autorité de protection des données exige un traitement exclusivement dans l'UE
Votre évaluation des risques conclut que les transferts vers les États-Unis posent des risques inacceptables
Vous souhaitez une rétention nulle du fournisseur d'IA pour une confidentialité maximale
Les consultants en conformité travaillant avec des clients européens devraient utiliser par défaut le mode de protection avancée des données pour répondre aux exigences strictes de souveraineté des données et simplifier la conformité au RGPD.
Le mode par défaut peut être acceptable lorsque :
Vous ne traitez que de la documentation de conformité sans données personnelles
Votre TIA conclut que les mesures supplémentaires offrent une protection adéquate
Vous n'êtes pas soumis au RGPD (organisation hors UE, pas de personnes concernées dans l'UE)
Vous ne manipulez que du contenu de conformité non sensible (politiques génériques, cadres de référence)
La rétention de 30 jours par le fournisseur d'IA est acceptable selon vos politiques
Documenter les transferts dans votre ROPA
Si vous utilisez ISMS Copilot pour traiter des données personnelles, documentez-le dans votre registre des activités de traitement (ROPA) :
Mode par défaut (protection avancée des données DÉSACTIVÉE)
Sous-traitants : ISMS Copilot (UE), xAI (US), OpenAI (US), SendGrid (US), Kit (US)
Destinations de transfert : États-Unis
Mécanismes de transfert : Clauses contractuelles types, chiffrement, rétention limitée
Référence TIA : « S'appuie sur l'évaluation de l'impact des transferts d'ISMS Copilot datée du [date] » ou « TIA interne réalisée le [date] »
Mode de protection avancée des données (ACTIVÉ)
Sous-traitants : ISMS Copilot (UE), Mistral AI (UE), SendGrid (US), Kit (US)
Destinations de transfert : États-Unis (e-mail uniquement)
Mécanismes de transfert : Clauses contractuelles types pour les fournisseurs d'e-mails
Référence TIA : « Le traitement par l'IA a lieu dans l'UE (pas de transfert) ; les transferts d'e-mails sont couverts par les CCT »
Consultez le Registre des activités de traitement d'ISMS Copilot pour obtenir un modèle de référence.
Bonnes pratiques
Pour les organisations de l'UE
Activez le mode de protection avancée des données par défaut pour éviter la complexité de la TIA
Documentez ISMS Copilot dans votre ROPA avec les détails appropriés sur les sous-traitants
Informez les personnes concernées que vous utilisez des outils d'IA pour le traitement de la conformité (avis de confidentialité)
Anonymisez les données personnelles avant le téléchargement lorsque cela est possible
Réalisez une AIPD si vous traitez des catégories particulières de données ou des données personnelles à grande échelle
Pour les consultants en conformité
Évaluez les exigences de résidence des données de chaque client avant de choisir un mode
Créez des espaces de travail séparés par client pour isoler les données
Incluez ISMS Copilot comme sous-traitant dans les DPA de vos clients
Informez les clients du mode que vous utilisez et pourquoi
Activez le mode de réduction des PII pour une protection supplémentaire lors de la manipulation de rapports d'audit contenant des noms d'employés
Minimiser les risques de transfert
Activez le mode de protection avancée des données : Élimine totalement les transferts pour le traitement par l'IA
Activez le mode de réduction des PII : Biffe les données personnelles avant qu'elles n'atteignent les fournisseurs d'IA
Désabonnez-vous des e-mails non essentiels : Réduit les transferts vers les fournisseurs de messagerie
Définissez des périodes de rétention courtes : Limite la durée de stockage des données
Anonymisez avant le téléchargement : Supprimez ou pseudonymisez les identifiants personnels
Foire aux questions
Dois-je réaliser ma propre TIA si j'utilise ISMS Copilot ?
Cela dépend. Si vous utilisez le mode par défaut et traitez des données personnelles de résidents de l'UE, vous devez soit réaliser votre propre TIA, soit documenter votre confiance en l'évaluation d'ISMS Copilot. Si vous activez le mode de protection avancée des données, le traitement par l'IA reste dans l'UE et ne nécessite pas de TIA (bien que les transferts d'e-mails en nécessitent toujours une).
Le mode de protection avancée des données élimine-t-il complètement les obligations de transfert ?
Non. Il élimine les transferts pour le traitement par l'IA, mais les communications par e-mail impliquent toujours des fournisseurs basés aux États-Unis (SendGrid, Kit). Ces transferts d'e-mails restent soumis aux exigences du chapitre V du RGPD et doivent être documentés dans votre ROPA.
Que se passe-t-il si mon autorité de protection des données rejette la TIA d'ISMS Copilot ?
Si votre autorité conclut que les transferts vers les États-Unis posent des risques inacceptables, activez le mode de protection avancée des données pour traiter les charges de travail d'IA exclusivement dans l'UE. Cela supprime le besoin de TIA pour le traitement par l'IA.
Puis-je utiliser ISMS Copilot pour des catégories particulières de données ?
Oui, mais avec des précautions. Activez le mode de protection avancée des données pour un traitement exclusivement dans l'UE, activez le mode de réduction des PII, définissez des périodes de rétention courtes et réalisez une analyse d'impact relative à la protection des données (AIPD) comme l'exige l'article 35 du RGPD. Assurez-vous d'avoir une base légale en vertu de l'article 9.
À quelle fréquence dois-je réviser ma TIA ?
Révisez votre TIA chaque fois que :
ISMS Copilot change de sous-traitant ou de flux de données
Les lois de surveillance américaines changent
Votre autorité de protection des données publie de nouvelles directives
La nature ou le volume des données que vous traitez change de manière significative
Où puis-je trouver les clauses contractuelles types d'ISMS Copilot ?
Les CCT sont intégrées dans les accords avec les sous-traitants. Contactez le support via le centre d'aide pour demander des copies des CCT à des fins d'évaluation de vos fournisseurs ou d'audit.
Ressources connexes
Accord de traitement des données (DPA) — Cadre juridique complet pour le traitement des données par ISMS Copilot
Mode de protection avancée des données — Comment activer le traitement uniquement dans l'UE
Aperçu des contrôles de données — Rétention, réduction des PII et paramètres de confidentialité
Confidentialité des données et conformité au RGPD — Vos droits et mise en œuvre du RGPD
Registre des activités de traitement (ROPA) — Liste des sous-traitants et détails du traitement
Obtenir de l'aide
Pour toute question concernant les évaluations d'impact des transferts ou les transferts internationaux de données :
Consultez l'Accord de traitement des données pour les mécanismes légaux de transfert
Contactez le support via le centre d'aide pour obtenir la documentation TIA ou des copies des CCT
Indiquez « Demande TIA » ou « Évaluation de l'impact des transferts » dans votre objet
Visitez la Collection Sécurité pour une documentation complète sur la conformité