Résidence des Données — Systèmes IA, RGPD et Règlement IA Européen

Point clé : La résidence des données détermine où vos données personnelles résident physiquement et sont traitées. Pour les systèmes IA en entreprise, ce n'est pas une préférence d'infrastructure — c'est une exigence juridique au titre du RGPD, un risque d'achat au titre du Règlement IA européen, et une clause de plus en plus explicite dans les contrats avec les fournisseurs enterprise.

Qu'est-ce que la Résidence des Données ?

La résidence des données désigne la localisation géographique où les données sont physiquement stockées et traitées. En entreprise, elle indique généralement le pays ou la région où les serveurs d'un prestataire cloud hébergent et traitent les données d'une organisation, y compris les états en transit et au repos. Pour les systèmes IA en particulier, la résidence concerne : les données d'entrée envoyées aux modèles IA (requêtes d'inférence), les données d'entraînement et de fine-tuning utilisées pour développer les modèles, les journaux des sorties IA et les traces d'audit, et toute représentation intermédiaire créée lors du traitement IA.

La résidence des données est distincte — mais liée — à la souveraineté des données (le principe selon lequel les données sont soumises aux lois du pays où elles se trouvent) et à la localisation des données (exigences juridiques dans certaines juridictions de maintenir certaines données à l'intérieur de frontières nationales ou régionales). Dans le contexte européen, ces termes sont souvent utilisés de manière interchangeable dans les contrats B2B.

Pourquoi C'est Important

Restrictions RGPD sur les transferts transfrontaliers. Le Chapitre V du RGPD interdit le transfert de données personnelles vers des pays hors EEE sauf si l'un des mécanismes du Chapitre V s'applique : décision d'adéquation, Clauses Contractuelles Types (CCT), Règles d'Entreprise Contraignantes (BCR) ou dérogation. Lorsqu'un fournisseur IA traite des données personnelles UE sur des infrastructures hors EEE — même quelques millisecondes lors d'une inférence — un transfert s'est produit et doit trouver une base juridique.

L'arrêt « Schrems II » (CJUE, 2020) a invalidé le Privacy Shield UE-États-Unis et imposé des exigences supplémentaires sur les CCT, notamment pour les transferts vers les États-Unis où les lois de surveillance gouvernementale (FISA Section 702, Executive Order 12333) peuvent entrer en conflit avec le RGPD. Les acheteurs enterprise doivent vérifier non seulement que des CCT sont en place mais que le fournisseur a réalisé une Transfer Impact Assessment (TIA) pour les traitements IA hébergés aux États-Unis.

Juridiction du Règlement IA. Le Règlement IA européen s'applique à tout système IA dont les sorties affectent des personnes dans l'UE, quel que soit l'endroit où le système est hébergé. Cependant, le lieu d'hébergement détermine quelle autorité de contrôle a juridiction principale et si les restrictions de transfert du RGPD s'appliquent simultanément. Un système IA hébergé entièrement dans l'EEE présente un tableau de conformité plus simple qu'un système distribué sur des centres de données américains et asiatiques.

Exigences sectorielles spécifiques. Les institutions financières (selon les lignes directrices de l'EBA), la santé et les organisations du secteur public font face à des exigences de résidence des données potentiellement plus strictes que le seul RGPD. Pour les marchés publics français, les critères de qualification pour les outils IA intègrent de plus en plus une exigence de résidence des données dans l'UE, notamment pour les opérateurs d'importance vitale (OIV) et les systèmes d'information d'importance vitale (SIIV).

Mécanisme Principal : Les Règles RGPD sur les Transferts pour l'IA

Les principaux instruments juridiques pour régir la résidence des données dans les contrats avec les fournisseurs IA sont :

Clauses Contractuelles Types (CCT, 2021/914/UE). Les CCT mises à jour par la Commission européenne (effectives depuis septembre 2021) constituent la base juridique principale pour la plupart des transferts IA de l'UE vers les États-Unis et les pays tiers. Le Module 2 couvre les transferts responsable-sous-traitant ; le Module 3 couvre les transferts sous-traitant à sous-traitant ultérieur (pertinent pour la chaîne des sous-traitants). Les CCT doivent être incorporées par référence dans le contrat de traitement des données (DPA).

Transfer Impact Assessment (TIA). Les autorités de contrôle attendent que, lorsque des CCT sont utilisées, les parties aient évalué si le régime juridique du pays de destination compromet la protection que les CCT fournissent. Pour les systèmes IA hébergés aux États-Unis, la TIA doit traiter l'exposition à la surveillance au titre du FISA 702.

Engagement de résidence des données dans l'UE. Le résultat d'achat le plus clair pour les entreprises régulées dans l'UE est un fournisseur IA avec une infrastructure exclusivement européenne — les données qui ne quittent jamais l'EEE ne nécessitent pas de CCT, pas de TIA, et éliminent entièrement le risque de transfert.

Cas Limites

Déploiements multi-régions. Les fournisseurs IA déployés sur plusieurs régions AWS/GCP/Azure peuvent traiter des données personnelles UE dans des régions UE en fonctionnement normal, mais les acheminer via des régions américaines lors de basculements, d'escalades au support ou d'inférences du modèle. Les engagements de résidence dans les contrats doivent couvrir tous les scénarios de traitement, pas seulement le chemin de production principal.

Résidence pour l'entraînement vs. l'inférence. Les données peuvent être traitées dans un centre de données UE au moment de l'inférence mais envoyées vers des infrastructures américaines pour le réentraînement ou le fine-tuning du modèle. Il s'agit d'activités de traitement distinctes pouvant avoir des implications de résidence différentes. Les DPA enterprise devraient spécifier les exigences de résidence séparément pour l'inférence et l'entraînement.

Données de journaux et de télémétrie. Les journaux d'audit, la télémétrie des performances et l'historique des sorties IA sont souvent traités comme des données d'infrastructure plutôt que des données personnelles — mais s'ils contiennent des identifiants personnels ou peuvent être liés à des individus, ils sont des données personnelles soumises aux mêmes exigences de résidence.

Knowlee et la Résidence des Données

Knowlee traite les données clients UE sur des infrastructures hébergées dans l'UE. L'isolation par tenant de Supabase garantit que les données personnelles de chaque client restent dans leur environnement de données désigné. Pour les clients ayant des exigences explicites de résidence des données (secteurs régulés, secteur public), Knowlee fournit des engagements contractuels de résidence des données précisant les régions UE dans lesquelles les données sont stockées et traitées.

Le DPA de Knowlee intègre les Clauses Contractuelles Types (Module 2) pour tout transfert techniquement nécessaire et documente les Transfer Impact Assessments associées. La liste des sous-traitants précise le profil de résidence des données de chaque sous-traitant. Le cadre conforme au RGPD et aligné ISO 42001 de Knowlee garantit que les obligations de résidence sont suivies au niveau du système de management de l'IA — pas seulement comme des clauses contractuelles individuelles.

Termes Associés

• Gouvernance des données
• RGPD et intelligence artificielle
• DPA — Contrat de traitement des données
• Sous-traitant IA
• ISO 42001