Évaluation de l'impact des transferts - Ajout d'Anthropic partout

ISMS Copilot a réalisé une Évaluation de l'impact des transferts (EIT) pour les transferts internationaux de données vers les États-Unis conformément aux exigences du chapitre V du RGPD. Cet article explique les conclusions de l'évaluation, les mesures supplémentaires mises en œuvre et la manière dont le mode de protection avancée des données affecte vos obligations en matière de transfert.

Qu'est-ce qu'une Évaluation de l'impact des transferts ?

Conformément au RGPD et à l'arrêt Schrems II, les organisations qui transfèrent des données à caractère personnel vers des pays situés en dehors de l'UE/EEE doivent évaluer si les lois du pays de destination offrent une protection adéquate. Les clauses contractuelles types (CCT) seules peuvent ne pas suffire — vous devez évaluer si des garanties supplémentaires sont nécessaires.

Une EIT évalue :

Les lois du pays de destination susceptibles d'autoriser l'accès du gouvernement aux données
Si votre importateur de données (sous-traitant ultérieur) pourrait être soumis à ces lois
Les mesures techniques et organisationnelles qui atténuent les risques identifiés
Si la combinaison des CCT et des mesures supplémentaires offre une protection adéquate

Cette évaluation s'applique lorsque le mode de protection avancée des données est DÉSACTIVÉ (par défaut). Lorsqu'il est ACTIVÉ, le traitement de l'IA reste dans l'UE, ce qui simplifie considérablement les obligations de transfert.

EIT d'ISMS Copilot : Transferts vers les fournisseurs d'IA

ISMS Copilot maintient une Évaluation de l'impact des transferts pour les transferts internationaux de données. L'acheminement actuel des fournisseurs d'IA est documenté dans les documents juridiques officiels sur notre Trust Center :

Acheminement actuel (autorité du Trust Center) :
• Protection avancée des données ACTIVÉE : Mistral AI (UE, zéro rétention) — pas de transfert international pour le traitement de l'IA
• Payant + ADP DÉSACTIVÉ : Anthropic Claude (États-Unis, rétention jusqu'à 30 jours pour la surveillance des abus)
• Plan gratuit/null + ADP DÉSACTIVÉ : l'agrégateur OpenRouter achemine vers des fournisseurs vérifiés (Inceptron, DeepInfra, Cerebras, Google Vertex)
• Fournisseurs d'e-mails : SendGrid, Kit (États-Unis, CCT)

Pour obtenir la liste complète des sous-traitants avec les emplacements et les détails de rétention, consultez :

Ces documents officiels sont mis à jour chaque fois que les accords avec les fournisseurs d'IA changent.

Comment le mode de protection avancée des données modifie les obligations relatives à l'EIT

Mode par défaut (protection avancée des données DÉSACTIVÉE)

Lorsque la protection avancée des données est désactivée :

Emplacement du traitement de l'IA : États-Unis (xAI, OpenAI, Anthropic)
Mécanisme de transfert : Clauses contractuelles types + mesures supplémentaires
Exigence d'EIT : Les organisations soumises au RGPD doivent réaliser une EIT ou s'appuyer sur celle d'ISMS Copilot
Rétention par les fournisseurs d'IA : 30 jours (cache temporaire pour la surveillance des abus)
Transferts d'e-mails : Toujours vers des fournisseurs américains (SendGrid/Kit), quel que soit le paramètre de l'IA

Si vous utilisez le mode par défaut pour traiter des données à caractère personnel de résidents de l'UE, documentez ce transfert dans votre registre des activités de traitement et appuyez-vous sur l'EIT d'ISMS Copilot ou réalisez votre propre évaluation.

Protection avancée des données ACTIVÉE (mode UE uniquement)

Lorsque la protection avancée des données est activée :

Emplacement du traitement de l'IA : Union européenne (Mistral AI, Francfort)
Mécanisme de transfert : Aucun transfert international pour le traitement de l'IA (UE vers UE)
Exigence d'EIT : Non requise pour le traitement de l'IA (pas de transfert en dehors de l'UE/EEE)
Rétention par le fournisseur d'IA : Zéro rétention — les données sont traitées en temps réel et supprimées
Transferts d'e-mails : Toujours vers des fournisseurs américains (SendGrid/Kit) ; l'EIT est toujours requise pour les e-mails

Le mode de protection avancée des données élimine le besoin d'EIT pour le traitement de l'IA, ce qui simplifie considérablement la conformité au RGPD. Cependant, les transferts d'e-mails vers des fournisseurs américains subsistent et nécessitent toujours une évaluation.

Les transferts d'e-mails subsistent quel que soit le mode

Même avec la protection avancée des données activée, les communications par e-mail impliquent des transferts vers les États-Unis :

SendGrid (Twilio) : E-mails transactionnels (vérification de compte, réinitialisation de mot de passe, alertes de sécurité)
Kit (ConvertKit) : Séquences d'intégration et mises à jour de produits (facultatif, l'utilisateur peut se désabonner)
Données transférées : Adresses e-mail, données d'engagement (ouvertures, clics), métadonnées de message
Garanties : Clauses contractuelles types, chiffrement en transit, accords de traitement des données conformes au RGPD

Pour minimiser les transferts d'e-mails, les utilisateurs peuvent se désabonner des communications non essentielles.

Réaliser votre propre EIT

Quand avez-vous besoin de votre propre évaluation ?

Les organisations doivent réaliser leur propre EIT si :

Vous traitez des données de catégories particulières (Article 9 du RGPD) via ISMS Copilot
Votre tolérance au risque diffère de l'évaluation d'ISMS Copilot
Votre autorité de protection des données exige des EIT spécifiques à l'organisation
Les contrats des clients imposent des évaluations de transfert indépendantes
Vous traitez de gros volumes de données à caractère personnel de résidents de l'UE

Questions clés pour votre EIT

Lors de la réalisation de votre propre évaluation, tenez compte des éléments suivants :

Sensibilité des données

Quels types de données à caractère personnel téléchargez-vous ?
Incluent-elles des données de catégories particulières (santé, biométrie, opinions politiques) ?
En quoi un accès non autorisé du gouvernement porterait-il préjudice aux personnes concernées ?

Probabilité d'accès

Vos données de conformité pourraient-elles atteindre le seuil de « renseignement étranger » en vertu de la section 702 de la FISA ?
Vous ou vos clients êtes-vous des cibles potentielles de surveillance gouvernementale ?
Manipulez-vous des données liées à la sécurité nationale, au terrorisme ou à la criminalité organisée ?

Mesures supplémentaires

Les mesures techniques d'ISMS Copilot (chiffrement, rétention limitée) sont-elles suffisantes pour votre cas d'utilisation ?
Devriez-vous activer le mode de protection avancée des données pour un traitement exclusivement dans l'UE ?
Devriez-vous activer le mode de réduction des PII pour caviarder les données à caractère personnel avant le traitement par l'IA ?
Avez-vous besoin d'une anonymisation supplémentaire avant de télécharger des documents ?

Solutions alternatives

Si les risques ne peuvent être atténués, pouvez-vous éviter le transfert en activant le mode de protection avancée des données ?
Pouvez-vous anonymiser les données avant d'utiliser ISMS Copilot ?
Devriez-vous restreindre l'utilisation d'ISMS Copilot aux seules données non personnelles ?

Ressources pour votre EIT

UK ICO : Évaluations des risques de transfert
Recommandations 01/2020 de l'EDPB sur les mesures supplémentaires
CNIL : Comment réaliser une évaluation de l'impact des transferts
Accord de traitement des données d'ISMS Copilot (Section 3 : Transferts internationaux de données)
Registre des activités de traitement pour des informations détaillées sur les sous-traitants

Guide de décision : quel mode utiliser ?

Utilisez le mode de protection avancée des données (UE uniquement) lorsque :

Votre organisation a des exigences obligatoires de résidence des données dans l'UE
Vous gérez des données à caractère personnel de résidents de l'UE et souhaitez simplifier la conformité à l'EIT
Les contrats des clients interdisent le traitement des données aux États-Unis
Vous traitez des données de catégories particulières (Article 9 du RGPD)
Votre autorité de protection des données exige un traitement exclusivement dans l'UE
Votre évaluation des risques conclut que les transferts vers les États-Unis présentent des risques inacceptables
Vous souhaitez une rétention nulle du fournisseur d'IA pour une confidentialité maximale

Les consultants en conformité travaillant avec des clients européens devraient utiliser par défaut le mode de protection avancée des données pour répondre aux exigences strictes de souveraineté des données et simplifier la conformité au RGPD.

Le mode par défaut peut être acceptable lorsque :

Vous traitez uniquement de la documentation de conformité sans données à caractère personnel
Votre EIT conclut que les mesures supplémentaires offrent une protection adéquate
Vous n'êtes pas soumis au RGPD (organisation hors UE, pas de personnes concernées dans l'UE)
Vous gérez uniquement des contenus de conformité non sensibles (politiques génériques, référentiels)
La rétention de 30 jours par le fournisseur d'IA est acceptable selon vos politiques

Documenter les transferts dans votre registre des activités de traitement (ROPA)

Si vous utilisez ISMS Copilot pour traiter des données à caractère personnel, documentez-le dans votre registre des activités de traitement :

Mode par défaut (protection avancée des données DÉSACTIVÉE)

Sous-traitants ultérieurs : ISMS Copilot (UE), xAI (États-Unis), OpenAI (États-Unis), Anthropic (États-Unis), SendGrid (États-Unis), Kit (États-Unis)
Destinations de transfert : États-Unis
Mécanismes de transfert : Clauses contractuelles types, chiffrement, rétention limitée
Référence de l'EIT : « S'appuie sur l'Évaluation de l'impact des transferts d'ISMS Copilot en date du [date] » ou « EIT interne réalisée le [date] »

Mode de protection avancée des données (ACTIVÉ)

Sous-traitants ultérieurs : ISMS Copilot (UE), Mistral AI (UE), SendGrid (États-Unis), Kit (États-Unis)
Destinations de transfert : États-Unis (e-mail uniquement)
Mécanismes de transfert : Clauses contractuelles types pour les fournisseurs d'e-mails
Référence de l'EIT : « Le traitement de l'IA a lieu dans l'UE (pas de transfert) ; les transferts d'e-mails sont couverts par les CCT »

Consultez le registre des activités de traitement d'ISMS Copilot pour un modèle que vous pouvez référencer.

Meilleures pratiques

Pour les organisations de l'UE

Activez le mode de protection avancée des données par défaut pour éviter la complexité de l'EIT
Documentez ISMS Copilot dans votre registre des activités de traitement avec les détails appropriés des sous-traitants
Informez les personnes concernées que vous utilisez des outils d'IA pour le traitement de la conformité (avis de confidentialité)
Anonymisez les données à caractère personnel avant le téléchargement lorsque cela est possible
Réalisez une AIPD si vous traitez des données de catégories particulières ou des données à caractère personnel à grande échelle

Pour les consultants en conformité

Évaluez les exigences de résidence des données de chaque client avant de choisir un mode
Créez des espaces de travail distincts par client pour isoler les données
Incluez ISMS Copilot comme sous-traitant dans les accords de traitement des données de vos clients
Informez vos clients du mode que vous utilisez et pourquoi
Activez le mode de réduction des PII pour une protection supplémentaire lors de la manipulation de rapports d'audit contenant des noms d'employés

Minimiser les risques de transfert

Activer le mode de protection avancée des données : Élimine entièrement les transferts liés au traitement de l'IA
Activer le mode de réduction des PII : Caviarde les données à caractère personnel avant qu'elles n'atteignent les fournisseurs d'IA
Se désabonner des e-mails non essentiels : Réduit les transferts vers les fournisseurs d'e-mails
Définir des périodes de rétention courtes : Limite la durée de stockage des données
Anonymiser avant le téléchargement : Supprimer ou pseudonymiser les identifiants personnels

Foire aux questions

Dois-je réaliser ma propre EIT si j'utilise ISMS Copilot ?

Cela dépend. Si vous utilisez le mode par défaut et traitez des données à caractère personnel de résidents de l'UE, vous devez soit réaliser votre propre EIT, soit documenter votre confiance dans l'évaluation d'ISMS Copilot. Si vous activez le mode de protection avancée des données, le traitement de l'IA reste dans l'UE et ne nécessite pas d'EIT (bien que les transferts d'e-mails en nécessitent toujours une).

Le mode de protection avancée des données élimine-t-il complètement les obligations de transfert ?

Non. Il élimine les transferts pour le traitement de l'IA, mais les communications par e-mail impliquent toujours des fournisseurs basés aux États-Unis (SendGrid, Kit). Ces transferts d'e-mails restent soumis aux exigences du chapitre V du RGPD et doivent être documentés dans votre registre des activités de traitement.

Que se passe-t-il si mon autorité de protection des données rejette l'EIT d'ISMS Copilot ?

Si votre autorité de protection des données conclut que les transferts vers les États-Unis présentent des risques inacceptables, activez le mode de protection avancée des données pour traiter les charges de travail d'IA exclusivement dans l'UE. Cela supprime le besoin d'EIT pour le traitement de l'IA.

Puis-je utiliser ISMS Copilot pour des données de catégories particulières ?

Oui, mais avec des précautions. Activez le mode de protection avancée des données pour un traitement exclusivement dans l'UE, activez le mode de réduction des PII, définissez des périodes de rétention courtes et réalisez une analyse d'impact relative à la protection des données (AIPD) comme l'exige l'article 35 du RGPD. Assurez-vous d'avoir une base légale en vertu de l'article 9.

À quelle fréquence dois-je réviser mon EIT ?

Révisez votre EIT chaque fois que :

ISMS Copilot modifie ses sous-traitants ou ses flux de données
Les lois américaines sur la surveillance changent
Votre autorité de protection des données publie de nouvelles directives
La nature ou le volume des données que vous traitez changent considérablement

Où puis-je trouver les clauses contractuelles types d'ISMS Copilot ?

Les CCT sont intégrées dans les accords avec les sous-traitants. Contactez l'assistance via le centre d'aide pour demander des copies des CCT à des fins d'évaluation des fournisseurs ou d'audit.

Ressources connexes

Accord de traitement des données (DPA) — Cadre juridique complet pour le traitement des données par ISMS Copilot
Mode de protection avancée des données — Comment activer le traitement exclusivement dans l'UE
Aperçu des contrôles de données — Rétention, réduction des PII et paramètres de confidentialité
Confidentialité des données et conformité au RGPD — Vos droits et mise en œuvre du RGPD
Registre des activités de traitement (ROPA) — Liste des sous-traitants et détails du traitement

Obtenir de l'aide

Pour toute question concernant les évaluations de l'impact des transferts ou les transferts internationaux de données :

Consultez l'Accord de traitement des données pour connaître les mécanismes de transfert légaux
Contactez l'assistance via le centre d'aide pour obtenir la documentation de l'EIT ou des copies des CCT
Incluez « TIA Request » ou « Évaluation de l'impact des transferts » dans votre objet
Visitez la Collection Sécurité pour une documentation complète sur la conformité

Cela vous a-t-il été utile ?