Le problème que vous ignoriez
Si votre entreprise envoie des factures, des bons de commande, des bons de livraison ou tout document contenant des données clients via une messagerie classique, ces données passent par des serveurs qui ne sont probablement pas en Europe. Ou s'ils le sont, ils appartiennent à une entreprise soumise à une législation étrangère. Le RGPD a quelque chose à dire à ce sujet.
La réglementation européenne sur la protection des données exige de savoir où se trouvent vos données, qui y a accès et sous quelle juridiction. Lorsque vous utilisez une messagerie avec un serveur central, vos documents passent par une infrastructure que vous ne contrôlez pas. Les données de vos clients sont stockées — même temporairement — sur des machines appartenant à une autre entreprise, dans un autre pays, sous d'autres lois.
Ce qui change quand il n'y a pas de serveur
Dans une communication pair-à-pair, les données vont directement de l'appareil de l'expéditeur à celui du destinataire. Elles ne passent par aucun serveur intermédiaire. Elles ne sont stockées sur aucune infrastructure tierce. Le document quitte votre ordinateur à Lugo et arrive sur l'ordinateur de votre client à Barcelone. Ou Berlin. Ou Lisbonne. Mais il ne passe jamais par Silicon Valley.
Ce n'est pas un détail technique mineur. Ici, la conformité au RGPD ne repose pas sur l'effort et la bonne volonté. Elle repose sur le fait que l'architecture rend toute violation impossible. Il n'y a pas de transfert international de données parce qu'il n'y a pas de transfert vers un tiers. Les données sont sur votre appareil et celui de votre interlocuteur. Nulle part ailleurs.
À qui cela concerne
Si vous êtes avocat et envoyez un contrat à un client par messagerie, les données de ce contrat passent par un serveur. Si vous êtes conseiller fiscal et partagez une déclaration d'impôts, ces données passent par un serveur. Si vous êtes médecin et envoyez un rapport à un patient, les données de santé passent par un serveur. Dans tous ces cas, vous déléguez la garde d'informations confidentielles à une entreprise que vous n'avez pas choisie et que vous ne contrôlez pas.
Ce n'est pas que vous faites quelque chose de mal intentionnellement. C'est que l'outil que vous utilisez ne vous laisse pas d'autre choix. La seule façon pour que vos données professionnelles ne passent pas par des serveurs tiers est que la communication soit directe. Sans intermédiaires. De votre écran au leur.
Conformité automatique
Avec la communication P2P, vous n'avez pas besoin d'auditer où se trouvent les serveurs de votre fournisseur de messagerie. Vous n'avez pas besoin de vérifier la conformité au Privacy Shield ou aux clauses contractuelles types de l'UE. Vous n'avez pas besoin d'ajouter une clause à votre politique de confidentialité expliquant que vos données « peuvent être traitées en dehors de l'Espace économique européen ». Rien de cela ne s'applique, car aucun tiers ne traite vos données.
La conformité ne dépend de la bonne volonté de personne. Elle ne dépend pas d'un accord de traitement des données avec un prestataire. Elle ne dépend pas d'une entreprise américaine maintenant son engagement envers la législation européenne. Elle dépend de l'architecture. Et l'architecture est vérifiable, immuable, et ne change pas d'avis.
La question pour votre prochain audit
La prochaine fois que quelqu'un vous demandera où se trouvent les données de vos clients, la meilleure réponse possible est : « Sur mon appareil et sur le leur. Nulle part ailleurs. » Pas besoin d'un rapport de cent pages. Pas besoin d'un DPO examinant les contrats des prestataires. La confidentialité des données de vos clients est garantie par conception, pas par des promesses.