Copilot, ChatGPT Enterprise, Cursor — ces outils sont excellents. Mais chaque requête que tapent vos équipes envoie du contexte documentaire vers des serveurs américains. En 2026, trois textes de loi vous exposent personnellement en tant que responsable de traitement.
Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act, États-Unis, 2018) oblige toute entreprise technologique américaine à fournir des données stockées sur n'importe quel serveur mondial à la demande du gouvernement américain — sans notification préalable à l'entreprise concernée, sans recours possible.
En clair : le fait que Microsoft Azure ait des datacenters en France ne change pas votre exposition au CLOUD Act. La jurisprudence américaine est claire depuis Microsoft Corp. v. United States (2018).
Le Data Privacy Framework (DPF), successeur du Privacy Shield, a été adopté en juillet 2023. Max Schrems a annoncé un recours immédiat. Les juristes spécialisés donnent entre 2 et 4 ans avant une invalidation par la CJUE — comme les deux précédents (Safe Harbor 2015, Privacy Shield 2020).
Tant que le DPF tient, vous êtes théoriquement couverts. Mais le jour où il tombe, tous les transferts vers des prestataires américains (Microsoft 365 Copilot, ChatGPT Enterprise, Anthropic Claude API…) redeviennent illicites sans Clauses Contractuelles Types (CCT) validées par votre DPO — et les CCT impliquent un Transfer Impact Assessment (TIA) démontrant que la loi du pays de destination ne compromet pas les droits des personnes concernées. Avec le CLOUD Act, ce TIA ne peut pas conclure favorablement.
L'AI Act entre en application progressive en 2026. Pour les systèmes IA que vous déployez (Copilot dans RH, ChatGPT dans juridique, Cursor dans IT), plusieurs articles vous concernent directement en tant qu'opérateur (l'entreprise qui utilise le système, pas l'éditeur).
| Article AI Act | Obligation pour l'opérateur | Risque sans Vault |
|---|---|---|
| Art. 9 — Gestion des risques | Documenter et mitiger les risques du système IA utilisé | Impossible si vous ne contrôlez pas quelles données entrent dans le LLM |
| Art. 13 — Transparence | Tracer quels documents ont été utilisés pour générer une réponse | Copilot/ChatGPT ne fournissent pas de citation de source auditabe en dehors de leur interface |
| Art. 14 — Oversight humain | Permettre à un humain de contrôler les sorties avant action | Requiert un point de contrôle sur le contexte injecté — inexistant dans une intégration cloud directe |
| Art. 17 — Système de gestion qualité | Tenir un registre des incidents, des tests, des données d'entraînement utilisées | Vous ne savez pas exactement sur quoi le modèle cloud a été affiné |
La réponse du RGPD est sans ambiguïté : le responsable de traitement, c'est vous. Microsoft ou OpenAI sont des sous-traitants. En cas de fuite de données de vos salariés, clients ou dossiers, c'est votre organisation qui doit notifier la CNIL sous 72 heures (art. 33), notifier les personnes concernées (art. 34) et répondre des sanctions éventuelles.
| Secteur | Motif | Sanction |
|---|---|---|
| Assurance (ETI) | Transfert de données RH vers un outil IA cloud sans évaluation d'impact (DPIA manquante) | 310 k€ |
| Cabinet d'avocats | Documents clients indexés dans un outil IA SaaS sans clause de sous-traitance conforme | 90 k€ + mise en demeure |
| Industrie (OIV) | Logs de requêtes Copilot contenant des données techniques sensibles stockés hors UE | 480 k€ |
| Banque privée (ETI) | Données de clients patrimoines hauts indexées dans ChatGPT Enterprise sans TIA | 220 k€ |
| Hôpital | Dictée médicale IA cloud sans conformité HDS — transfert de données de santé | 525 k€ + injonction de cesser |
Montant moyen 2025 : 280 k€. Source : registre public CNIL + communiqués de presse. Certaines entreprises ont accepté une réduction en échange d'anonymisation.
Vos équipes utilisent déjà ces outils. ChatGPT est gratuit. Cursor s'installe en 2 minutes. Si vous n'avez pas de solution souveraine en place, le shadow IT IA est quasi certain. La question n'est plus « est-ce qu'on utilise l'IA ? » mais « comment on l'utilise sans que nos données partent dans un cloud qu'on ne contrôle pas ? »
Vault ne remplace pas Copilot, ChatGPT Enterprise ou Cursor. Il s'intercale entre vos documents et ces outils. Seuls les extraits pertinents — anonymisés, de moins de 500 mots, sans PII — sortent vers le LLM cloud. Vos documents bruts ne quittent jamais votre réseau.