Transfer Impact Assessment (TIA)

L'arrêt Schrems II de la Cour de Justice de l'Union européenne (C-311/18, 16 juillet 2020) a invalidé le Privacy Shield et imposé aux responsables de traitement européens, lorsqu'ils s'appuient sur les Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914/UE du 4 juin 2021), d'évaluer si le droit du pays de destination offre un niveau de protection essentiellement équivalent à celui du RGPD.

À défaut, le responsable doit mettre en place des mesures supplémentaires (techniques, contractuelles, organisationnelles) permettant de neutraliser les risques identifiés, conformément aux recommandations EDPB 01/2020 adoptées le 18 juin 2021.

La décision d'adéquation UE-États-Unis Data Privacy Framework (UE-US DPF) du 10 juillet 2023 rétablit un cadre d'adéquation limité aux organismes américains certifiés DPF. Pour les sous-traitants non certifiés DPF, les CCT et le présent TIA restent nécessaires.

KRYVA identifie les sous-traitants suivants localisés ou pouvant router des données vers les États-Unis :

• Anthropic PBC (San Francisco, USA) — traitement IA Claude. Non certifié DPF à ce jour. CCT module 2.
• Vapi Inc. (USA) — prospection vocale IA. Non certifié DPF. CCT module 2.
• Apollo.io (San Francisco, USA) — enrichissement de leads B2B. Non certifié DPF. CCT module 2.
• OpenAI LLC (USA) — transcription audio Whisper, fallback IA. Non certifié DPF. CCT module 2.
• Stripe Inc. (San Francisco, USA) — moteur PSP global (contrat principal avec Stripe Payments Europe Ltd., Dublin). Certifié DPF (Stripe Inc.).
• Sentry (Functional Software Inc.) (San Francisco, USA) — monitoring d'erreurs. Certifié DPF.
• Meta Platforms Inc. (USA) — pixel publicitaire (contrat principal avec Meta Platforms Ireland). Certifié DPF.
• Google LLC (USA) — Search Console, Indexing API, Ads. Certifié DPF.
• Telegram Messenger LLP (Dubaï / Royaume-Uni) — notifications internes sans PII client (hors scope TIA US).

Trois instruments juridiques américains présentent un risque de collecte gouvernementale identifié par l'EDPB :

• FISA Section 702 (50 U.S.C. § 1881a) : permet à la NSA de collecter des communications électroniques de personnes non-américaines auprès de fournisseurs de services électroniques qualifiés d'« Electronic Communication Service Providers » (ECSP). Cible les renseignements étrangers.
• Executive Order 12333 : collecte en transit sur les câbles sous-marins, hors cadre judiciaire.
• CLOUD Act (18 U.S.C. § 2713) : permet aux autorités US d'obtenir des données détenues par des entreprises américaines, quelle que soit leur localisation géographique.

• nécessité, proportionnalité et limitation des collectes aux « objectifs définis de sécurité nationale » ;
• mécanisme de recours via le Data Protection Review Court (DPRC) accessible aux ressortissants européens ;
• obligation de déclassification annuelle par la DNI.

KRYVA applique les mesures techniques suivantes (EDPB Recs 01/2020 §84) :

• Chiffrement en transit TLS 1.3 systématique sur toutes les connexions aux APIs américaines.
• Minimisation des données transmises : aucune donnée sensible (art. 9 RGPD) n'est transmise aux sous-traitants US ; pour Anthropic, les prompts excluent identifiants bancaires, de santé ou d'opinion.
• Pseudonymisation des identifiants clients transmis à Apollo et Vapi (prospect_id UUID interne plutôt que SIRET/email en clair lorsque possible).
• Clause no-training contractuelle avec Anthropic : les données transmises ne sont pas utilisées pour l'entraînement des modèles (Zero Data Retention activé sur API Claude).
• Rétention courte : enregistrements audio Vapi supprimés automatiquement après 6 mois, logs Sentry 90 jours, pas de copie miroir locale des prompts Claude.
• Scrubbing PII serveur avant envoi à Sentry (cf. sentry.server.config.ts et sentry.edge.config.ts) : emails, SIRET, IBAN, téléphones, tokens sont redactés par beforeSend avant sortie du territoire UE.
• Hébergement applicatif principal UE : Supabase eu-west-1 (Dublin), Vercel Frankfurt. Les données primaires ne quittent pas l'UE.

KRYVA impose aux sous-traitants US les engagements contractuels suivants :

• Signature des CCT 2021/914/UE module 2 ou 3 selon le rôle (RT→ST ou ST→sous-ST), avec clauses de défense obligeant le sous-traitant à contester toute demande gouvernementale disproportionnée.
• Obligation d'information : le sous-traitant doit notifier KRYVA de toute demande d'accès gouvernementale dans la mesure légalement permise.
• Transparency report : le sous-traitant doit publier un rapport de transparence annuel recensant les demandes reçues (Google, Stripe, Sentry, Anthropic publient un tel rapport).
• Droit d'audit : KRYVA conserve le droit de demander un rapport SOC 2 Type II ou ISO 27001 à jour.
• Clause de résiliation en cas de changement substantiel du cadre juridique US ou d'invalidation de l'UE-US DPF.

• Registre des transferts tenu à jour avec, pour chaque sous-traitant US : statut DPF, instrument de transfert, catégories de données, finalité, mesures techniques.
• Revue annuelle du présent TIA (et à chaque changement substantiel du cadre juridique, d'invalidation du DPF ou d'alerte EDPB / CNIL).
• Procédure de réponse aux demandes gouvernementales documentée en interne : analyse de légalité, notification, contestation.
• Formation du DPO aux évolutions FISA 702 et jurisprudence CJUE / DPRC.
• Plan de contingence : identification de sous-traitants UE alternatifs pour chaque service américain critique (Mistral pour Anthropic, alternatives européennes évaluées pour Vapi/Apollo).

Après combinaison des mesures techniques, contractuelles et organisationnelles décrites ci-dessus, KRYVA estime que :

• Pour les sous-traitants certifiés UE-US DPF (Stripe Inc., Sentry, Meta, Google) : le transfert repose sur la décision d'adéquation du 10 juillet 2023. Aucune mesure supplémentaire n'est strictement requise. Une veille DPF (retrait de certification) est néanmoins assurée.

• Pour les sous-traitants non certifiés DPF (Anthropic, Vapi, Apollo, OpenAI) : le niveau de protection résiduel obtenu grâce aux CCT renforcées, à la pseudonymisation, au chiffrement TLS 1.3, à la clause no-training Claude et à la minimisation atteint un niveau de protection essentiellement équivalent au RGPD pour les catégories de données effectivement transférées (données professionnelles B2B, prompts métier, pas de données sensibles art. 9).

Le présent TIA est révisé au moins annuellement par le DPO KRYVA. Une révision extraordinaire est déclenchée en cas de :

• invalidation ou suspension de la décision d'adéquation UE-US DPF ;
• nouvel arrêt de la CJUE portant sur les transferts internationaux ;
• publication par l'EDPB de lignes directrices ou recommandations modifiant l'évaluation ;
• modification substantielle du droit américain en matière de surveillance ;
• ajout ou retrait d'un sous-traitant relevant du périmètre.