De Schrems II au CLOUD Act, du RGPD à NIS2 — comment les régulateurs européens ont fait basculer la conformité dans l'architecture, et ce que tout CTO devrait avoir verrouillé avant son prochain audit.
En 2018, le RGPD ressemblait au collègue un peu pénible qui demande où sont rangés les contrats de sous-traitance pendant l'apéro de Noël.
En 2026, le RGPD est devenu Liam Neeson dans Taken.
"I will look for you, I will find your logs, and I will fine you."
Mais ce qui a changé n'est pas le montant des amendes. C'est la doctrine. Pendant des années, les CTO européens ont joué un jeu d'équilibriste : serveurs à Francfort, support à Bangalore, freelances à Austin, équipe data à Shanghai, et un Slack rempli de captures d'écran de prod comme si c'était Pinterest. Sur le papier, les données restent "dans l'UE". Dans la réalité, la base SQL voyage plus qu'un DJ techno en festival.
La décision TikTok de mai 2025 a sifflé la fin de cette partie. L'autorité irlandaise a infligé 530 millions d'euros. Le point juridique qui doit obséder tout CTO : les transferts ont enfreint le RGPD parce que TikTok n'a pas démontré que les données auxquelles le personnel en Chine accédait à distance bénéficiaient d'un niveau de protection essentiellement équivalent à celui garanti dans l'UE.
Pas "stockées en Chine". Accessibles depuis la Chine.
Nuance juridique. Catastrophe budgétaire. Et pour comprendre pourquoi cette décision n'arrive pas du ciel mais conclut une trajectoire de cinq ans, il faut remonter à un arrêt que beaucoup ont oublié — alors qu'il est la matrice de toute la doctrine actuelle.
Schrems II — l'acte fondateur que tout le monde a sous-estimé
Le 16 juillet 2020, la Cour de justice de l'Union européenne rend l'arrêt Schrems II (C-311/18). En une décision, elle invalide le Privacy Shield — le mécanisme qui permettait depuis 2016 à 5 400 entreprises américaines auto-certifiées de recevoir légalement des données européennes.
Le raisonnement de la CJUE est lapidaire : la législation américaine — en particulier la section 702 du FISA et l'Executive Order 12333 — autorise des programmes de surveillance massive auxquels les Européens ne peuvent pas s'opposer juridiquement. Les États-Unis n'offrent donc pas un niveau de protection essentiellement équivalent à celui de l'UE.
C'est la deuxième fois en cinq ans que la CJUE invalide un mécanisme de transfert UE-USA. La première — Schrems I en 2015 — avait tué le Safe Harbor. La séquence est la même : un accord politique, une certification facile, un arrêt qui réduit tout en cendres.
Volet 1 — Invalidation
Le Privacy Shield disparaît du jour au lendemain. Des milliers d'entreprises européennes utilisent soudain un mécanisme de transfert qui n'existe plus.
Volet 2 — La doctrine qui tue
Les CCT restent valides sous condition : analyse au cas par cas, "mesures supplémentaires" si nécessaire (chiffrement, pseudonymisation), suspension du transfert si la protection ne peut être garantie.
Le 10 juillet 2023, la Commission européenne adopte le Data Privacy Framework (DPF), censé remplacer le Privacy Shield. Mais Max Schrems lui-même a déjà annoncé son intention de l'attaquer. Personne ne mise sur sa survie à un éventuel Schrems III.
Ce que Schrems II a posé comme doctrine — un transfert n'est légal que si la protection effective est démontrée, partout dans la chaîne — est ce qui justifie aujourd'hui l'amende de 530 M€ à TikTok. La décision de 2025 est l'application littérale du principe de 2020.
Le triangle infernal — CLOUD Act, CSL/DSL et RGPD
C'est ici que la conformité devient une question géopolitique. Quand un CTO européen choisit son cloud, il croit choisir une infrastructure. Il choisit en réalité une juridiction — et parfois plusieurs en même temps.
🇺🇸 Le côté américain — le CLOUD Act
Le Clarifying Lawful Overseas Use of Data Act est une loi fédérale promulguée le 23 mars 2018. Elle permet aux autorités américaines, munies d'un mandat, d'exiger d'un fournisseur soumis au droit US qu'il leur transmette des données, indépendamment du pays où ces données sont stockées.
Périmètre : toute entreprise dont le siège ou la maison-mère est américaine, ou cotée sur un marché américain. Concrètement : Microsoft, Amazon, Google, Oracle, IBM, Cloudflare, Salesforce, Meta, et toutes leurs filiales européennes.
Un serveur AWS à Paris ? Soumis. Un tenant Azure à Francfort ? Soumis. Une instance GCP à Eemshaven ? Soumis. Le datacenter physique est en Europe, mais le contrôle juridique du fournisseur est américain. L'EDPB et l'EDPS sont clairs : un fournisseur soumis au droit européen ne peut pas légalement transférer des données vers les USA uniquement sur la base d'une demande CLOUD Act. C'est une zone d'impossibilité juridique.
🇨🇳 Le côté chinois — un mur réglementaire complet
Si l'idée de partir chez Alibaba Cloud ou Tencent Cloud pour échapper au CLOUD Act vous a traversé l'esprit, écartez-la immédiatement. Le cadre chinois est encore plus contraignant.
CSL — 2017 (amendée 2026)
Cybersecurity Law. Localisation forcée des données pour les opérateurs d'infrastructures critiques, MLPS 2.0, inspections de sécurité.
DSL — 2021
Data Security Law. Article 36 : interdiction de transmettre des données stockées en Chine à des autorités étrangères sans autorisation gouvernementale. Réponse directe au CLOUD Act.
PIPL — 2021
Personal Information Protection Law. Équivalent partiel du RGPD pour les données personnelles, avec son propre régime de transferts internationaux.
À cela s'ajoute la National Intelligence Law de 2017, dont l'article 7 impose à toute organisation ou citoyen chinois de "soutenir, coopérer et collaborer aux activités de renseignement national". Cette obligation s'applique aux entreprises chinoises où qu'elles opèrent. C'est précisément ce que la DPC irlandaise a cité comme risque dans l'affaire TikTok.
🧭 Le constat brutal pour le CTO européen
AWS / Azure / GCP — pratique, scalable, mature. Mais soumis au CLOUD Act. Ne survit pas à un audit RGPD sérieux sans mesures supplémentaires lourdes (BYOK, ségrégation stricte, chiffrement avec clés sous contrôle européen exclusif).
Alibaba Cloud / Tencent Cloud — cumule CSL, DSL, PIPL et National Intelligence Law. Pratiquement éliminatoire pour des données européennes.
Cloud souverain européen (OVHcloud, Outscale, Scaleway, Cloud Temple) — voie SecNumCloud. Moins riche en services managés, parfois plus cher, mais juridiquement clair.
Architectures hybrides — données régulées sur cloud souverain, traitements non-sensibles sur hyperscaler, avec ségrégation forte. C'est aujourd'hui la posture la plus réaliste pour la plupart des organisations.
Aucune solution n'est gratuite. Toutes sont des arbitrages. Mais l'arbitrage ne peut plus être "AWS pour tout" sans documentation sérieuse. Depuis Schrems II, ce choix est devenu un risque RGPD documenté qu'un DPO sérieux doit consigner dans son AIPD.
Le piège que personne ne mentionne — UK + équipe hors UE
Scénario massivement répandu dans les scale-ups françaises. Vous avez des clients britanniques, vos serveurs sont en France, et une partie de votre équipe tech (devs, support, QA, ops) travaille depuis l'Inde, le Maroc, le Vietnam ou les États-Unis. Sur le papier, tout va bien. En droit, vous venez d'empiler trois juridictions qui peuvent vous sanctionner indépendamment pour le même flux de données.
Voilà ce qui s'est passé silencieusement depuis le Brexit.
Avant le 1er janvier 2021, le mécanisme du "guichet unique" (one-stop-shop) du RGPD garantissait à toute entreprise européenne UN seul interlocuteur (sa lead supervisory authority) pour tous ses flux transfrontaliers. Une boîte française avec des clients UK et un incident affectant les deux : la CNIL pilotait, l'ICO suivait, et la sanction — si elle tombait — était coordonnée.
Depuis le 1er janvier 2021, le Royaume-Uni est sorti du guichet unique. L'ICO et la CNIL sont désormais deux régulateurs autonomes, sans aucune obligation de coopération entre eux. Et le UK GDPR est resté quasi-identique à l'EU GDPR, avec le même plafond : jusqu'à £17,5 millions ou 4 % du chiffre d'affaires mondial annuel, qui s'ajoute aux 20 M€ / 4 % côté européen. Le cumul est possible.
Ce qui se passe concrètement dans votre scénario
CNIL 🇪🇺
Compétente pour les données de vos clients européens hébergées en France, et pour l'accès distant par l'équipe hors UE — c'est un transfert au sens de Schrems II et de la doctrine TikTok.
ICO 🇬🇧
Compétente pour les données de vos clients UK qui transitent par votre infrastructure française, et pour le transfert vers votre équipe hors UE — c'est un transfert au sens du UK GDPR.
Pays tiers 🌍
L'équipe à Bangalore ou Austin est elle-même soumise à sa juridiction locale. Si elle est aux USA : CLOUD Act applicable.
Les deux régimes de transferts sont distincts : la CNIL exige les Clauses Contractuelles Types européennes (avec analyse Schrems II), l'ICO exige soit l'International Data Transfer Agreement britannique (IDTA) soit l'UK Addendum aux CCT européennes. Aucune des deux autorités n'est obligée de reconnaître les démarches faites auprès de l'autre. En cas d'incident, vous notifiez sous 72h les deux (plus l'ANSSI si NIS2 s'applique).
La bombe à retardement. L'adéquation du Royaume-Uni a été renouvelée le 19 décembre 2025 jusqu'au 27 décembre 2031, après une extension technique de six mois. Le UK Data (Use and Access) Act 2025 a été suffisamment modéré pour préserver l'adéquation, mais la Commission a inscrit une revue conjointe à 4 ans (donc en 2029) et conserve la possibilité de suspendre l'adéquation à tout moment. Si cette suspension arrivait, ce serait un "Schrems II inversé" : du jour au lendemain, transférer une donnée FR → UK demanderait des CCT, comme pour les USA aujourd'hui.
Le levier CTO — trois questions à savoir trancher demain matin
- Savez-vous identifier dans votre base lesquels de vos clients sont UK et lesquels EU/EEA ?
- Vos CCT couvrent-elles bien les deux juridictions (EU SCCs et UK Addendum ou IDTA) ?
- Si l'adéquation UK saute en 2029, votre architecture peut-elle isoler les données UK en quelques semaines, ou est-ce un projet de 18 mois ?
Si la réponse à ces trois questions n'est pas immédiate, vous avez un legacy debt juridique qui ne se voit pas dans vos logs — mais qui se verra dans votre prochaine sanction.
La carte des textes — six lois, six logiques, six plafonds
L'essentiel sans le jargon. À afficher au mur du CTO.
📜 RGPD
Périmètre : toute entité traitant des données personnelles d'Européens, où qu'elle soit.
Date d'effet : mai 2018, durcissement net de l'enforcement en 2024-2025.
Plafond : 20 M€ ou 4 % du CA mondial — le plus élevé.
🛡️ NIS2
Périmètre : ~15 000 entités en France contre 500 sous NIS1. Seuils : 250 salariés ou 50 M€ de CA.
Date d'effet : transposée par la loi du 30 juillet 2025, applicable depuis 2026.
Plafonds : 10 M€ ou 2 % du CA mondial (essentielles), 7 M€ ou 1,4 % (importantes).
Détail glaçant : responsabilité personnelle des dirigeants, avec interdiction temporaire d'exercer.
💰 DORA
Périmètre : secteur financier au sens large + prestataires TIC critiques.
Date d'effet : applicable depuis le 17 janvier 2025.
Sanctions : ACPR/AMF en France. Pour les prestataires critiques : astreintes jusqu'à 1 % du CA mondial journalier.
Levier : contractualisation forcée — clauses d'audit, notification, résiliation obligatoires.
🤖 AI Act
Périmètre : toute entité qui développe, distribue, déploie ou utilise un système d'IA dans l'UE. Aucun seuil de taille.
Date d'effet : entré en vigueur le 1er août 2024. Calendrier échelonné. Systèmes à haut risque reportés au 2 décembre 2027 (Digital Omnibus de mai 2026).
Plafonds : 35 M€ ou 7 % du CA mondial pour les pratiques interdites.
Piège ignoré : l'article 4 s'applique à toutes les entreprises utilisant l'IA — y compris ceux qui utilisent juste ChatGPT ou Claude.
♿ European Accessibility Act
Périmètre : entreprises de plus de 10 salariés et/ou 2 M€ de CA, dans une longue liste de secteurs.
Date d'effet : applicable depuis le 28 juin 2025.
Plafond français : jusqu'à 50 000 € par service non accessible. Contrôles : DGCCRF, Arcep, ACPR, AMF, Banque de France.
🍪 ePrivacy + RGPD (cookies)
Périmètre : tout site, app ou service utilisant des cookies ou traceurs.
Cadre : directive ePrivacy + article 82 LIL. Plafond RGPD.
Doctrine actuelle : depuis 2024, la CNIL ne sanctionne plus seulement la bannière, mais l'exécution réelle des choix utilisateurs. Lecture après retrait, équivalence accepter/refuser, chargement avant consentement.
ISO 27001/27002 — le framework qui n'est pas une loi mais le devient en pratique
ISO 27001 (le système de management de la sécurité de l'information) et ISO 27002 (les 93 contrôles associés, dans leur version 2022) ne figurent pas dans la liste précédente parce que ce ne sont pas des textes réglementaires. Personne ne peut vous infliger d'amende parce que vous n'êtes pas certifié.
Mais en 2026, ISO 27001 est devenu autre chose : la machine à preuve qui mutualise la conformité à toutes les lois ci-dessus. Toute la doctrine européenne 2026 tient en une phrase : tout ce qui ne se prouve pas est désormais réputé absent. RGPD, NIS2, DORA, AI Act, EAA — chacun exige des mesures techniques et organisationnelles, et exige que vous puissiez les documenter. Or il n'existe pas de "certification RGPD" officielle, ni de "certification NIS2". Le seul cadre normatif qui produit cette preuve de manière reconnue est ISO 27001.
1 • Voie pragmatique vers NIS2
L'écrasante majorité des mesures attendues par NIS2 (article 21) se trouvent déjà dans l'annexe A d'ISO 27001:2022. Une organisation déjà certifiée a 70 à 80 % du travail NIS2 fait.
2 • Obligation commerciale
Aucun grand compte sérieux n'achète aujourd'hui un service SaaS sans demander ISO 27001 (ou son équivalent US SOC 2 Type II). Ajoutez HDS, PCI-DSS, SecNumCloud selon le secteur. Ne pas être certifié = sortir des appels d'offres avant la phase technique.
3 • Circonstance atténuante
Reconnue explicitement par la CNIL et l'ANSSI. À l'inverse, l'absence de cadre de gestion est régulièrement retenue comme aggravante — c'est précisément ce que la CNIL a reproché à Free Mobile : "méconnaissance de principes essentiels en matière de sécurité".
ISO n'est pas dans la liste des risques. Il est dans la liste des réponses. C'est l'épine dorsale opérationnelle qui transforme les sept chantiers ci-après en un seul système de management cohérent, auditable et défendable.
Le palmarès des amendes 2024-2026 — personne n'est trop gros, ni trop petit
Lire un texte de loi est une chose. Voir qui paie est une autre. Photographie de l'enforcement européen et français des deux dernières années — et le constat qu'aucune classe d'entreprise n'est épargnée.
💸💸💸 Les amendes à neuf chiffres (les records)
1,2 milliard €
Meta — mai 2023
DPC irlandaise. Transferts vers les USA sans base légale valide. L'amende RGPD la plus lourde à ce jour.
746 M€
Amazon Luxembourg — juillet 2021
CNPD luxembourgeoise. Publicité ciblée sans base légale appropriée.
530 M€
TikTok — mai 2025
DPC irlandaise. Transferts non encadrés vers la Chine, accès distants non sécurisés. Précédé d'une amende de 345 M€ en sept. 2023 (mineurs).
325 M€
Google — septembre 2025
CNIL. Cookies sans consentement valide lors de la création de comptes, pubs entre les emails Gmail sans consentement.
310 M€
LinkedIn — octobre 2024
DPC irlandaise. Traitements pour publicité comportementale sans base légale valide.
290 M€
Uber — août 2024
Autorité néerlandaise. Transferts de données de chauffeurs européens vers les USA sans garanties suffisantes.
💸💸 Les amendes à huit chiffres (le ventre du peloton)
Cookies déposés avant interaction avec la bannière, choix utilisateurs non respectés. Shein conteste, jugeant l'amende "politiquement motivée" — recours préparé devant Conseil d'État et CJUE.
Publicités déguisées en courriels dans Orange Mail sans consentement, et lecture de cookies maintenue après retrait du consentement. Recours en cours devant le Conseil d'État.
27 M€ + 15 M€. Cyberattaque d'oct. 2024 exposant 24 millions de contrats (avec IBAN). Authentification VPN insuffisamment robuste, détection d'anomalies inefficace, conservation excessive (15 M de contrats résiliés depuis 5 ans+).
Surveillance algorithmique via indicateurs "Slow Machine Gun" et "Idle Times". Réduite à 15 M€ par le Conseil d'État qui a admis l'intérêt légitime sur plusieurs indicateurs.
Attaque par ingénierie sociale ayant compromis des comptes Cap Emploi. Politique de mots de passe insuffisante. La CNIL a rappelé que près de 80 % des violations de grande ampleur de 2024 sont parties d'un compte employé/sous-traitant protégé par un simple mot de passe.
💸 Les amendes à six et sept chiffres (la longue traîne)
C'est ici que l'enforcement devient massif. En 2025, la CNIL a prononcé 83 sanctions pour 487 millions d'euros — un record absolu. En 2024 : 87 sanctions pour 55 M€, avec près de 8 sanctions sur 10 prononcées contre des TPE et PME.
Quelques exemples concrets de la procédure simplifiée (plafond 20 000 €, non publique) :
5 000 €
Une boulangerie
(vidéosurveillance)
3-6 000 €
Médecins libéraux
(droits patients)
30 000 €
Alliance Française IDF
(docs en clair)
75 000 €
Association ADEF
(défaut sécurité)
En 2024, le principal motif de sanction simplifiée retenu par la CNIL — 27 organismes concernés — a été le défaut de coopération avec l'autorité lors des contrôles. Autrement dit, beaucoup d'entreprises sont sanctionnées pour ne pas avoir pris la peine de répondre aux courriers de la CNIL.
Trois enseignements pour un CTO
1 — Il n'existe plus de zone de confort par la taille. Les géants paient en centaines de millions, les TPE en milliers, mais tout le monde paie. La CNIL a institutionnalisé en 2022 une procédure simplifiée précisément pour industrialiser les sanctions sur les petits dossiers.
2 — Les motifs de sanction sont devenus banals. Pas des fuites spectaculaires : des bannières cookies mal configurées, des authentifications VPN faibles, des durées de conservation excessives, des prestataires mal encadrés. Ce sont des sujets d'architecture, pas de cybersécurité héroïque.
3 — Le recours fonctionne — partiellement. Le Conseil d'État a réduit l'amende Amazon France Logistique de moitié en déc. 2025. Orange est en recours. Shein conteste. La justice administrative joue son rôle de contre-pouvoir, mais elle ne renverse pas la doctrine — elle ajuste les montants. Le risque structurel reste.
Les 7 chantiers — la checklist actionnable
Maintenant qu'on a la carte et le palmarès, voici les sept chantiers concrets. Aucun n'est facultatif. Tous se croisent. Et aucun ne se règle avec un PDF de politique interne.
Chantier 1 — Cartographier les accès production
C'est le chantier-mère. Tout part de là. Question à se poser le lundi matin : qui peut se connecter à ma base prod, depuis quel pays, avec quel niveau d'authentification, et combien de temps ses sessions restent-elles actives ?
Si la réponse prend plus de cinq minutes, vous avez un problème NIS2 et un problème RGPD post-Schrems II. L'amende Free Mobile/Free de 42 M€ en janvier 2026 tient en grande partie à un seul fait technique : l'authentification VPN n'était pas suffisamment robuste. Une faille humaine sur l'accès est devenue une faille juridique pour 24 millions de personnes.
1 • Ce n'est plus une bonne pratique, c'est une obligation explicite. L'article 21 §2 point j) de NIS2 cite nommément "l'utilisation de solutions d'authentification à plusieurs facteurs ou d'authentification continue" parmi les mesures minimales. L'ANSSI le place dans la mesure 10 de son guide d'hygiène. Le référentiel ReCyF publié en mars 2026 en fait un objectif de sécurité prioritaire. La feuille de route État impose le MFA généralisé pour tous les administrateurs SI fin 2026, et pour tous les utilisateurs fin février 2028. Côté RGPD, l'absence de MFA est désormais retenue par la CNIL comme manquement à l'article 32.
2 • Tous les MFA ne se valent pas. Le SMS est obsolète depuis 2017 selon le NIST (SIM swapping, interception SS7). Le push simple "Accepter/Refuser" est vulnérable au MFA fatigue. Les méthodes encore robustes en 2026 : TOTP (Google Authenticator, Authy), push avec number matching, et surtout FIDO2 / passkeys qui résistent au phishing.
3 • Le périmètre est désormais non négociable. Ne pas avoir de MFA sur les périmètres suivants est un risque juridique direct : VPN d'entreprise, accès aux environnements de production (consoles cloud, bastions SSH, panneaux d'admin), accès admin aux SaaS critiques (Google Workspace, Microsoft 365, GitHub, Slack, AWS/Azure/GCP, CRM, paie), tout compte à privilèges, et tous les comptes ayant accès à des données personnelles. Pour les entités essentielles NIS2, le MFA sur les accès distants est explicitement obligatoire.
Autres leviers : accès just-in-time plutôt que permanents, journalisation immuable, principe du moindre privilège réellement appliqué, revue trimestrielle des accès. Mesure de maturité : pouvez-vous produire, en deux clics, la liste des humains ayant accédé à une donnée personnelle donnée sur 90 jours ?
Chantier 2 — Auditer la chaîne de sous-traitants et la juridiction de votre cloud
C'est l'angle mort le plus dangereux. Chaque sous-traitant est une porte d'entrée juridique. À cartographier : qui sont vos sous-traitants TIC, où sont-ils incorporés (la juridiction, pas le datacenter), où sont leurs propres sous-traitants en cascade, quels accès ont-ils à vos données, et avez-vous des DPA à jour avec les bonnes CCT ?
Pour les hyperscalers américains, l'AIPD doit documenter explicitement les mesures supplémentaires post-Schrems II : chiffrement avec clés sous contrôle européen (BYOK / HYOK), pseudonymisation systématique, ségrégation des accès admin. Sans ces mesures, l'utilisation d'AWS/Azure/GCP pour des données régulées est aujourd'hui un risque juridique documenté.
Pour DORA, c'est encore plus précis : identification exhaustive des sous-traitants critiques, droits d'audit étendus, clauses de notification préalable, droit de résiliation. Ces clauses doivent être dans le contrat principal, pas dans un addendum vague.
Chantier 3 — Désamorcer le front
Le navigateur d'un utilisateur lambda ressemble parfois à Times Square un soir de pluie : Google Analytics, Meta Pixel, Hotjar, LinkedIn Insight, TikTok Ads, Segment, HubSpot, Mixpanel, scripts A/B, widgets de chat… Et beaucoup se chargent avant le consentement.
C'est précisément ce que la CNIL a sanctionné chez Shein (150 M€) et Google (325 M€) en septembre 2025 — et chez Orange (50 M€) en novembre 2024.
1 • Ordre de chargement
Votre CMP bloque-t-elle vraiment les scripts tiers tant que le consentement n'est pas donné ? Pas "déclare bloquer" — bloque effectivement, vérifié au DevTools.
2 • Équivalence des boutons
"Accepter" et "Refuser" doivent être aussi simples d'accès. Un "Tout accepter" vert face à un "Refuser" gris caché derrière trois clics est désormais sanctionnable.
3 • Retrait effectif
Quand l'utilisateur retire son consentement, toutes les lectures de cookies cessent-elles vraiment ? C'est ici qu'Orange a perdu 50 M€.
Chantier 4 — Mettre l'IA sous gouvernance
Si vos équipes utilisent des LLM, vous êtes un "déployeur" au sens de l'AI Act. Article 4 : obligation de maîtrise de l'IA en vigueur depuis le 2 février 2025.
- Cartographier tous les systèmes d'IA utilisés, y compris les usages "shadow" (ChatGPT personnel pour traduire un email client).
- Former en proportion des usages — un dev senior n'a pas les mêmes besoins qu'un sales qui colle des CV dans un chatbot.
- Tracer ce qui sort. Où vont les prompts ? Sont-ils stockés ? Servent-ils à l'entraînement ? Le fournisseur transfère-t-il hors UE ?
- Politique d'usage écrite, signée, connue. Les données client n'ont rien à faire dans un prompt non isolé.
L'angle Schrems II ressurgit immédiatement : si vous envoyez des prompts contenant des données personnelles à un fournisseur IA américain, vous reproduisez le schéma TikTok inversé. L'accès distant compte, même si "le serveur est en Irlande".
Chantier 5 — Préparer la machine à notifier
NIS2 article 23 : 24h, 72h, un mois. RGPD article 33 : 72h pour notifier la CNIL. DORA : régime spécifique pour incidents TIC majeurs.
Ces délais ne se respectent pas avec un plan PDF rangé dans un Confluence oublié. Ils nécessitent une machine : détection en continu, classification rapide, contacts d'astreinte documentés vers ANSSI / CNIL / ACPR, templates pré-rédigés, chaîne d'approbation claire, exercices réguliers.
Test mental : votre incident est détecté samedi 23h. Qui prend la décision de notifier dimanche matin ? Sur quel template ? Avec quelle approbation ? Si la chaîne ne tient pas le week-end, elle ne tient pas du tout. Free Mobile et Free ont reçu 2 500 plaintes individuelles après leur fuite — qui ont déclenché le contrôle CNIL.
Chantier 6 — Rendre les services accessibles
Depuis le 28 juin 2025, l'EAA est applicable. Pour tout produit ou service numérique nouveau, la conformité WCAG 2.1 niveau AA / RGAA 4.1 est une obligation, pas une option.
- Audit d'accessibilité dans le périmètre.
- Déclaration d'accessibilité publiée et tenue à jour.
- Schéma pluriannuel de mise en accessibilité.
- Formation des équipes design / dev / contenu.
- Plan de remédiation pour les services antérieurs à juin 2025, conformité avant juin 2030.
Chantier 7 — Désamorcer la shadow data
Le chantier dont personne ne parle, et qui est probablement le plus gros gisement de risque réel pour la plupart des scale-ups françaises.
Vous avez mis du MFA partout, vous avez audité vos sous-traitants, votre CMP est béton. Bravo. Maintenant, ouvrez votre Jira au hasard. Ou votre Notion. Ou votre Confluence, votre Linear, votre ClickUp, votre Asana. Et regardez ce qu'il y a dedans.
Vous allez trouver, sans forcer :
- Des mots de passe en clair dans des tickets ("le compte demo, c'est
admin / Welcome2024!"), dans des pages d'onboarding. - Des clés API balancées dans Slack "juste pour le test", retrouvées trois ans plus tard via la recherche.
- Des captures d'écran de production dans les bug reports, avec des vrais noms, vraies adresses, vrais IBAN.
- Des stack traces contenant des tokens de session, des emails clients.
- Des dumps SQL en pièce jointe d'un ticket "reproduire le bug avec ces données".
- Et le bouquet final : des comptes de freelances partis depuis 14 mois qui ont encore accès à tout ça.
C'est ce qu'on appelle la shadow data : une donnée personnelle ou sensible qui n'est pas dans votre base prod, n'est pas dans votre plan de classification, n'est pas dans votre AIPD, mais existe quand même — souvent en plus grande quantité que dans le système nominal.
📜 Pourquoi c'est juridiquement explosif
Article 32 (sécurité)
Mots de passe en clair = violation par construction. Recommandation CNIL n° 2022-100 explicite. 80 % des violations de grande ampleur de 2024 viennent d'un compte employé/sous-traitant avec simple mot de passe.
Article 5 (minimisation)
Les données client n'ont rien à faire dans un bug report. Une stack trace avec email + commande, c'est un traitement non documenté, sans base légale.
Articles 44+ (transferts)
Si votre équipe hors UE ouvre ces tickets, vous réalisez un transfert de données personnelles vers un pays tiers. Tout Schrems II, CCT, TIA s'applique.
Article 28 (sous-traitants)
Notion, Atlassian, Linear, Asana, Slack — tous sont vos sous-traitants. Votre DPA couvre-t-il les types de données qu'on retrouve réellement dedans ? Probablement pas.
Et le piège juridiction par-dessus. Notion, Atlassian Cloud, Linear, ClickUp, Asana, Monday — quasiment tous américains, donc soumis au CLOUD Act. C'est votre triangle CLOUD Act qui revient — sauf que cette fois, ce n'est pas une décision d'architecture stratégique, c'est une exposition silencieuse que personne n'a vue passer.
🛠️ Les 8 leviers concrets
- Politique zéro-secret dans les outils de collaboration. Jamais. Pas de "sauf cas exceptionnel".
- Gestionnaire de secrets obligatoire. Humains : 1Password, Bitwarden, Dashlane. Machines/prod : HashiCorp Vault, AWS Secrets Manager, Doppler.
- Scanners de secrets sur les outils de collab. GitGuardian, TruffleHog, Nightfall, Wiz ont des intégrations Jira/Notion/Confluence/Slack.
- Templates de bug report avec champs interdits. Forcer la structure, exclure les copier-coller de données client. Floutage automatique des PII sur les screenshots.
- SSO + MFA sur tous les outils de collab, y compris les "secondaires" (Miro, Figma, Loom).
- Audit périodique des permissions et des comptes inactifs. Trimestriel minimum. Tout compte inactif > 90 jours désactivé automatiquement.
- Classification des espaces. Pas tous les espaces Notion / projets Jira ne doivent contenir le même type de données.
- Pour les équipes hors UE, ajouter une couche : DPA spécifique couvrant les transferts, formation explicite, logs d'accès auditables.
Le modèle mental à garder : votre base prod a un coffre-fort, mais votre Jira est trop souvent la table de jardin où on a posé les clés du coffre. Et un attaquant lit Jira aussi facilement qu'il scanne la prod.
Le nouveau CTO — architecte, juriste et chef de la traçabilité
Le changement le plus profond n'est pas technique. Il est mental.
Avant, le CTO répondait surtout à des questions techniques :
- "Ça scale ?"
- "Ça tient la charge ?"
- "Pourquoi Redis est à 100 % CPU ?"
Aujourd'hui :
- "Qui peut voir cette donnée — vraiment, log à l'appui ?"
- "Peut-on prouver le consentement, et son retrait effectif ?"
- "Notre cloud nous expose-t-il au CLOUD Act, à la CSL, à la PIPL ?"
- "Le fournisseur IA transfère-t-il les prompts hors UE ?"
- "Combien de mots de passe, de clés API et de données client traînent en clair dans notre Jira, notre Notion, notre Slack ?"
- "Notre chaîne de notification tient-elle 24h le week-end ?"
- "Si la DPC irlandaise nous écrit demain, que produit-on en 30 jours ?"
Le métier glisse du pilotage technique vers la gouvernance numérique. Et la plupart des organisations ne sont pas prêtes — pas par négligence, mais parce qu'elles ont grandi avec des pratiques héritées de 2018-2022 : comptes admin sans MFA, accès production partagés, exports CSV par email, environnements de staging remplis de vraies données client, sauvegardes "temporairement" sur un bucket S3 public depuis deux ans.
Le danger 2026 n'est plus le hacker en hoodie dans une cave éclairée au néon bleu. C'est beaucoup plus banal : un accès Jira oublié chez un freelance parti depuis huit mois, un cookie tiers chargé 200ms avant le bandeau, un prestataire trop large en permissions jamais audité, un dashboard analytics branché sans consentement, un dump PostgreSQL envoyé sur WhatsApp "juste pour debug".
La cybersécurité version 2026 ressemble moins à Mission Impossible qu'à une cuisine de restaurant un samedi soir : tout le monde court partout, et le risque vient souvent de la petite erreur absurde.
La vraie question pour les CTO
La question 2026 n'est plus : "faut-il être conforme ?"
C'est : "comment construire une architecture capable de survivre aux régulations européennes des cinq prochaines années — et au prochain Schrems III qui ne manquera pas d'arriver ?"
Parce que la trajectoire est nette :
- Plus de contrôle. L'enforcement passe des géants aux scale-ups, puis aux PME et TPE. La CNIL a sanctionné une boulangerie en 2024.
- Plus de traçabilité. Tout ce qui ne se prouve pas est désormais réputé absent.
- Plus de responsabilité — personnelle. NIS2 a inventé l'interdiction professionnelle pour les dirigeants négligents.
- Plus de juridiction. Le choix d'un cloud n'est plus un choix d'infrastructure, c'est un choix de juge compétent.
- Plus de cumul possible. Un même incident peut désormais déclencher 4 % de CA mondial côté CNIL, 4 % côté ICO britannique, et 2 % côté NIS2. Mathématiquement, jusqu'à 10 % du CA mondial pour un seu