Transferts internationaux de données en IA

·

Choisir un service d'IA hébergé en Europe ne prouve pas l'absence de transferts internationaux. Il faut examiner l'hébergement, le support, la télémétrie, les sous-traitants ultérieurs, les copies de sauvegarde et l'accès à distance. Dès lors que des données personnelles sont mises à la disposition d'une entité située hors de l'EEE, le chapitre V du RGPD s'applique, en plus de l'ensemble des autres obligations liées au traitement.

Cartographier le flux réel

La première étape consiste à dresser un inventaire couvrant tous les flux de données impliqués dans l'utilisation du service d'IA :

Pour chaque flux, il convient de consigner l'exportateur, l'importateur, le pays, la finalité, la catégorie de données, la fréquence, le mécanisme retenu et la durée de conservation.

Une région n'est pas synonyme d'absence d'accès

Un prestataire peut stocker les données dans l'UE tout en permettant un support depuis des pays tiers, ou en recourant à des sous-traitants ultérieurs présents dans le monde entier. L'évaluation doit donc reposer sur le contrat et sur l'architecture réelle du service, et non sur le sélecteur de région affiché dans l'interface.

La question à trancher est de savoir qui peut accéder aux données, avec quels identifiants, depuis où, et si cet accès est techniquement possible, indépendamment du lieu annoncé de résidence des données.

Ordre des mécanismes

Décision d'adéquation

Lorsque la Commission européenne reconnaît un niveau de protection adéquat pour le pays de destination, les données peuvent circuler sur le fondement de cette décision, dans le respect de sa portée et de ses conditions.

Garanties de l'article 46

En l'absence de décision d'adéquation, il est possible de recourir aux clauses contractuelles types (SCC), aux règles d'entreprise contraignantes ou à d'autres mécanismes valides. Les SCC de 2021 exigent des annexes précises et une description réelle des mesures appliquées, et non un simple renvoi générique.

Dérogations de l'article 49

Elles sont conçues pour des situations ponctuelles et spécifiques, et ne doivent pas servir à justifier des transferts massifs, répétitifs et structurels.

SCC et annexes

Les annexes des clauses contractuelles types doivent identifier :

Reprendre la formule « chiffrement et contrôle d'accès » sans décrire la manière dont elle est réellement mise en œuvre ne suffit pas à étayer les garanties exigées.

Évaluation d'impact relatif aux transferts (TIA)

L'évaluation d'impact relatif aux transferts (TIA) permet d'analyser si la loi et la pratique du pays de destination sont susceptibles d'affecter les garanties convenues. Elle doit porter sur :

  1. le transfert et le mécanisme utilisé ;
  2. le pays et l'importateur ;
  3. la législation pertinente du pays de destination ;
  4. l'expérience documentée, le cas échéant ;
  5. la possibilité d'un accès des autorités publiques aux données ;
  6. les mesures supplémentaires applicables ;
  7. le risque résiduel après application des mesures ;
  8. l'approbation et la révision périodique.

La TIA ne doit pas se fonder uniquement sur les déclarations du prestataire.

Mesures supplémentaires

Techniques

Contractuelles

Organisationnelles

Si aucune mesure ne permet de garantir une protection essentiellement équivalente à celle de l'Union européenne, le transfert ne doit pas avoir lieu.

Spécificités liées à l'IA

Les services d'IA peuvent générer des données dérivées, des embeddings ou des inférences. Même sans reproduire littéralement la donnée d'origine, ces éléments peuvent rester des données personnelles et doivent être intégrés à l'analyse des transferts.

Il convient également de vérifier si le prestataire utilise les contenus pour améliorer ses propres modèles. Cette finalité peut modifier son rôle au regard du traitement et nécessiter une autre base juridique, une information renforcée des personnes concernées et un contrôle accru de la part du client.

Sous-traitants ultérieurs

Le contrat doit fournir la liste, la localisation, le rôle et le mécanisme de changement des sous-traitants ultérieurs. Une autorisation générale suppose une information préalable et une possibilité réelle de s'y opposer dans les conditions applicables, et non une clause qui la vide de sa substance.

Une chaîne longue de sous-traitants ultérieurs accroît l'incertitude. Il doit être possible d'identifier qui héberge les données, qui les modère, qui les surveille et qui assure le support à chaque maillon de la chaîne.

Transferts via les outils connectés

Un agent d'IA peut envoyer des données vers des moteurs de recherche, une messagerie, un CRM ou des plugins connectés. Chaque outil constitue un flux indépendant qui doit être évalué séparément. Les autorisations et les destinataires doivent être expressément limités ; le modèle lui-même ne peut pas être laissé libre de décider de la juridiction de destination.

Registre et transparence

Le registre des activités de traitement (RAT) doit refléter les transferts et les garanties appliquées. L'information communiquée aux personnes concernées doit mentionner les pays ou catégories de destination, les mécanismes utilisés et les modalités d'obtention d'une copie des garanties, le cas échéant.

La transparence ne légitime pas à elle seule un transfert disproportionné : il faut d'abord une base juridique et un besoin réel de le réaliser.

Révision continue

Plusieurs événements imposent de réexaminer l'analyse réalisée :

Le contrat et son analyse font l'objet d'un suivi continu ; ils ne sont pas classés une fois pour toutes puis oubliés.

Plan de révision

Semaine 1

Inventaire technique et contractuel.

Semaine 2

Rôles, pays et mécanismes.

Semaine 3

Évaluation d'impact relatif aux transferts (TIA) et mesures supplémentaires.

Semaine 4

Décision, documentation et configuration.

Erreurs fréquentes

  1. Se fier uniquement au fait que le prestataire propose une région UE.
  2. Négliger le support et la télémétrie.
  3. Signer les SCC sans compléter les annexes.
  4. Recourir à l'article 49 de façon habituelle plutôt qu'exceptionnelle.
  5. Ne pas évaluer les embeddings comme des données personnelles potentielles.
  6. Ignorer l'identité des sous-traitants ultérieurs.
  7. Ne pas contrôler les outils connectés à l'agent.
  8. Chiffrer avec des clés gérées par le même prestataire sans analyser le risque.
  9. Ne pas informer les personnes concernées.
  10. Ne pas suivre les évolutions ultérieures du service.

Liste de contrôle

Questions fréquentes

Héberger en Europe évite-t-il les transferts internationaux ?

Pas nécessairement. Le support, les sous-traitants ultérieurs et l'accès à distance depuis l'extérieur de l'EEE doivent également être examinés.

Les SCC suffisent-elles toujours ?

Non. Le contexte du pays de destination doit être évalué, et des mesures supplémentaires appliquées lorsqu'elles sont nécessaires pour atteindre une protection essentiellement équivalente.

Un embedding est-il une donnée personnelle ?

Cela peut être le cas s'il se rapporte à une personne identifiée ou identifiable, ou s'il permet de la singulariser ou de l'inférer. L'analyse doit être menée au cas par cas, selon le contexte.

Le consentement peut-il servir de base à ces transferts ?

Les dérogations de l'article 49 (dont le consentement explicite) sont d'interprétation restrictive et ne constituent généralement pas une base adaptée pour des services structurels et récurrents.

Sources officielles consultées

Summum Consultoría peut cartographier les flux de données, réviser les SCC et la TIA, et coordonner les mesures techniques et organisationnelles nécessaires.