Solution française • Hébergement souverain • Conformité européenne Blog IA souveraine
Conformité & RGPD5 février 202510 min de lecture

Schrems II et IA américaine : pourquoi chaque prompt ChatGPT peut violer le droit européen

Le 16 juillet 2020, la Cour de Justice de l'Union Européenne (CJUE) a rendu l'arrêt Schrems II, invalidant le Privacy Shield — le mécanisme qui permettait les transferts de données personnelles entre l'UE et les États-Unis. Depuis, chaque transfert de données vers des serveurs américains doit reposer sur des garanties alternatives. Avec l'adoption massive d'outils d'IA américains, des millions d'entreprises européennes effectuent des transferts non conformes au quotidien, souvent sans le savoir.

Ce qu'il faut retenir

  • Schrems II (2020) a invalidé le Privacy Shield US-UE pour surveillance de masse par les autorités US
  • L'EU-US Data Privacy Framework (2023) le remplace mais reste fragile juridiquement
  • Utiliser ChatGPT, Copilot ou AWS avec des données personnelles sans base légale adéquate expose à des amendes RGPD
  • La seule protection pérenne : ne pas transférer les données (IA on-premise ou hébergement UE sans contrôle américain)

L'histoire des transferts UE-USA : un feuilleton juridique

Safe Harbor (2000-2015)

Pendant 15 ans, les entreprises américaines pouvaient recevoir des données européennes en s'auto-certifiant conformes au "Safe Harbor" — une série de principes de protection des données alignés sur la directive européenne de 1995. C'était principalement du déclaratif, peu contrôlé.

Schrems I (2015) : fin du Safe Harbor

Max Schrems, étudiant autrichien en droit, a déposé une plainte contre Facebook Ireland pour son transfert de données vers les serveurs américains de Facebook. La CJUE a invalidé le Safe Harbor, estimant que la surveillance massive pratiquée par les agences américaines (révélations Snowden) rendait le niveau de protection européen impossible à garantir.

Privacy Shield (2016-2020)

Remplaçant le Safe Harbor, le Privacy Shield ajoutait des mécanismes de recours pour les citoyens européens. Il a été invalidé par Schrems II en 2020, pour les mêmes raisons fondamentales : la loi américaine (FISA Section 702, Executive Order 12333) autorise une surveillance de masse qui n'est pas compatible avec les droits fondamentaux européens.

EU-US Data Privacy Framework (2023)

Le troisième accord, entré en vigueur en juillet 2023, vise à corriger les défauts précédents. Il inclut un tribunal de révision indépendant pour les citoyens européens et des limitations sur l'accès des agences de renseignement. Max Schrems a annoncé de nouvelles contestations judiciaires. La durabilité de ce cadre reste incertaine — un "Schrems III" est possible.

2020Arrêt Schrems II invalide le Privacy Shield
4% CAAmende max RGPD (transferts illicites inclus)
1,3 Md€Amende Meta pour transferts illicites vers USA (2023)
130+Entreprises européennes sanctionnées pour transferts illicites

Comment Schrems II s'applique à l'IA générative

Chaque prompt est potentiellement un transfert illicite

Quand un utilisateur européen envoie des données personnelles dans ChatGPT (OpenAI, serveurs aux USA), Microsoft Copilot, ou Google Gemini, il effectue un transfert de données personnelles vers un pays tiers (États-Unis). Ce transfert doit reposer sur une base légale adéquate selon le RGPD (chapitre V).

Les bases légales disponibles pour les transferts vers les USA sont :

  • EU-US Data Privacy Framework : applicable uniquement si l'entreprise américaine est certifiée (OpenAI, Microsoft, Google le sont) — mais reste fragile
  • Standard Contractual Clauses (SCC) : clauses contractuelles types entre exportateur et importateur — mais Schrems II impose un TIA (Transfer Impact Assessment) qui souvent conclut à une insuffisance des garanties pour les données très sensibles
  • Dérogations de l'article 49 : consentement explicite de la personne concernée, nécessité contractuelle — difficiles à appliquer systématiquement

Le Transfer Impact Assessment (TIA) : l'exercice difficile

Depuis Schrems II, les autorités de protection des données (CNIL, CEPD) recommandent de réaliser un TIA avant tout transfert vers un pays tiers. Le TIA évalue si le droit du pays de destination offre un niveau de protection équivalent à celui de l'UE. Pour les USA :

  • FISA Section 702 permet une surveillance ciblée sans mandat judiciaire
  • Executive Order 12333 autorise la collecte massive de signaux à l'étranger
  • Ces textes sont incompatibles avec les droits fondamentaux européens

Un TIA honnête sur l'utilisation de LLM américains avec des données sensibles devrait conclure à un risque résiduel élevé et recommander des mesures compensatoires ou l'abandon du transfert.

Les sanctions réelles

En 2023, la DPC irlandaise a infligé à Meta une amende de 1,3 milliard d'euros pour transferts illicites de données européennes vers les serveurs américains de Facebook, en violation de Schrems II. C'est la plus grande amende RGPD jamais prononcée.

Des entreprises de taille bien inférieure ont également été sanctionnées : un cabinet comptable autrichien pour l'utilisation de Google Analytics, une plateforme e-commerce française pour son CRM américain. L'utilisation d'IA américaine avec des données personnelles crée le même type de risque.

Les données les plus à risque dans l'IA générative

Données sensibles (santé, origine ethnique, opinions politiques, religion) : soumises à des exigences encore plus strictes, leur transfert vers des IA américaines expose à des amendes majorées. Données de RH (fichiers salariés) : transferts fréquents via Copilot ou ChatGPT dans les processus RH. Données clients (CRM) : noms, emails, adresses envoyés dans des prompts de personalisation.

L'EU-US Data Privacy Framework résout-il le problème ?

Le DPF de 2023 permet aux entreprises américaines certifiées (dont OpenAI, Microsoft, Google) de recevoir des données européennes dans un cadre légal. En théorie, cela régularise l'utilisation d'IA américaine. En pratique, plusieurs limites importantes subsistent :

  • Instabilité juridique : Max Schrems a déposé un recours devant la CJUE. Si le DPF est invalidé, toutes les entreprises qui y avaient basé leur conformité se retrouvent à nouveau exposées
  • Périmètre limité : le DPF couvre les transferts commerciaux mais pas les accès pour raisons de sécurité nationale — le Cloud Act reste applicable
  • Données sensibles : pour les données de santé, biométriques ou pénales, des garanties supplémentaires restent nécessaires même avec le DPF

La stratégie de conformité durable

Approche 1 : Data minimization (minimisation des données)

Ne jamais envoyer de données personnelles identifiantes dans des LLM américains. Pseudonymiser ou anonymiser avant tout envoi. Pour les cas d'usage génériques (rédaction, résumé de textes non personnels), les outils américains peuvent être utilisés sans problème de transfert.

Approche 2 : Infrastructure souveraine

Déployer l'IA sur infrastructure européenne sans contrôle américain : hébergeurs certifiés SecNumCloud, ou déploiement on-premise. Aucun transfert vers les USA = aucun problème Schrems II. C'est la solution structurellement robuste.

Approche 3 : Consentement explicite et documenté

Pour les cas d'usage impliquant des données personnelles, recueillir un consentement explicite des personnes concernées au transfert vers les USA, dans les conditions de l'article 49(1)(a) du RGPD. Cette approche est lourde et ne s'applique pas aux traitements de masse.

La position de la CNIL

La CNIL a publié en 2023 des lignes directrices sur l'IA générative, rappelant que l'utilisation d'outils IA avec des données personnelles constitue un traitement soumis au RGPD, et que les transferts vers des pays tiers doivent reposer sur une base légale adéquate. La CNIL n'a pas interdit l'usage de ChatGPT, mais a ouvert une procédure d'investigation sur OpenAI pour vérifier la conformité RGPD de ses traitements.

Conformité Schrems II garantie

Intelligence Privée déploie votre IA sur infrastructure française — zéro transfert vers les USA, conformité Schrems II structurelle, zéro risque d'amende RGPD pour transferts illicites.

Sécuriser votre conformité →

Articles liés

Conformité

Cloud Act et données entreprise

L'autre menace américaine sur vos données.
RGPD

RGPD et IA : le guide complet

Toutes vos obligations RGPD quand vous déployez l'IA.
Technique

IA on-premise vs cloud souverain

L'architecture qui supprime le risque de transfert.