Conformité RGPD et souveraineté numérique : un partage de fichiers hébergé en France

Le Règlement général sur la protection des données impose des principes à tout traitement (article 5) : minimisation, limitation des finalités, limitation de la durée de conservation, intégrité et confidentialité. Pli Scellé applique ces principes dans son fonctionnement même, pas comme une couche ajoutée après coup.

Minimisation (article 5.1.c) : pour partager un fichier ou un secret, le service ne demande que le strict nécessaire. Aucun tracking marketing n'est embarqué : pas de Google Analytics, pas de pixel publicitaire, pas de cookie tiers de profilage. Les seules données traitées servent à délivrer le partage et à le sécuriser.

Sécurité (article 32) : l'article 32 exige des mesures techniques adaptées au risque. Pli Scellé chiffre les contenus, propose un mode zero-knowledge de bout en bout (AES-256-GCM) où le serveur ne déchiffre jamais le fichier, et analyse les pièces jointes non chiffrées via ClamAV. Le chiffrement et la pseudonymisation sont nommément cités par l'article 32 comme mesures appropriées.

Droits des personnes (articles 15 à 22) : droit d'accès, de rectification, d'effacement, de limitation, de portabilité, d'opposition. L'architecture éphémère du service facilite l'effacement, puisque la donnée disparaît d'elle-même à l'expiration. Pour les demandes d'exercice de droits, l'éditeur reste le point de contact responsable du traitement.

Héberger en France ne suffit pas si l'éditeur du service relève du droit américain. Le Clarifying Lawful Overseas Use of Data Act (Cloud Act), adopté aux États-Unis le 23 mars 2018, autorise les autorités américaines à exiger d'une entreprise soumise au droit des États-Unis la communication de données, quel que soit le pays où ces données sont physiquement stockées. Une filiale américaine, ou un éditeur dont la maison mère est américaine, entre dans le champ d'application. Conséquence concrète : des fichiers hébergés sur un serveur situé en France, mais opérés par un acteur sous droit US, restent juridiquement atteignables par une réquisition américaine, sans entraide judiciaire ni notification de la personne concernée.

C'est précisément ce conflit que la Cour de justice de l'Union européenne a sanctionné dans l'arrêt Schrems II du 16 juillet 2020. La Cour a invalidé le Privacy Shield, jugeant que la surveillance américaine (Section 702 du FISA, Executive Order 12333) portait une atteinte disproportionnée à la vie privée des Européens. Les clauses contractuelles types restent valides, mais à condition d'y ajouter des mesures supplémentaires et de mener une analyse de risque au cas par cas. Depuis le 10 juillet 2023, une décision d'adéquation (EU-US Data Privacy Framework) rétablit un cadre pour les transferts vers les entités américaines certifiées ; pour les autres, les clauses contractuelles types et l'analyse d'impact restent nécessaires.

Pli Scellé écarte la racine du problème. L'éditeur est SHPV FRANCE SAS, société de droit français. Les fichiers et les données de partage sont hébergés dans des datacenters situés en France métropolitaine, sans transfert hors de l'Union européenne. Aucun éditeur américain dans la chaîne d'hébergement des fichiers signifie aucune prise du Cloud Act sur ces fichiers.

Le mode chiffrement de bout en bout repose sur une promesse vérifiable : la clé de déchiffrement ne quitte jamais le navigateur. Elle est transmise au destinataire via le fragment de l'URL, partie qui n'est jamais envoyée au serveur par construction du protocole HTTP. En mode zero-knowledge, le serveur stocke un contenu chiffré qu'il est incapable de lire. Même une réquisition adressée à l'hébergeur, ou une compromission du stockage, ne livre que du chiffré inexploitable sans la clé détenue par le seul destinataire.

Ce modèle change la nature du risque. La sécurité ne repose pas seulement sur la confiance accordée à l'opérateur, mais sur une impossibilité technique de lecture côté serveur. Pour un DPO, cela réduit la surface des données réellement exposées : un contenu que le responsable de traitement lui-même ne peut pas déchiffrer en mode E2E n'est pas accessible à un tiers qui obtiendrait l'accès au serveur.

La limitation de la durée de conservation (article 5.1.e) interdit de garder une donnée plus longtemps que nécessaire. La CNIL en fait l'un de ses points de contrôle récurrents lors de ses sanctions. Pli Scellé répond à cette obligation par l'éphémère : selon la gamme, un partage expire entre une heure et trente jours, puis fait l'objet d'une purge automatique. L'effacement n'est pas une action à demander, il est le comportement par défaut du service. Cela matérialise concrètement le droit à l'effacement (article 17) sans intervention manuelle.

Les journaux d'audit, eux, répondent à un autre besoin : la traçabilité et la preuve. Ils sont conservés 30 jours sur la gamme Essentiel et 90 jours sur la gamme Pro, et exportables à partir de la gamme Pro. Un responsable de traitement peut ainsi documenter qui a partagé quoi, et quand, ce qui sert à la fois la sécurité (article 32) et la responsabilité (accountability, article 5.2).

Un point de transparence sur le paiement : la facturation est assurée par Stripe Payments Europe, entité établie à Dublin, en Irlande. Aucun fichier partagé ne transite par Stripe ; seules les données de facturation sont concernées. Stripe Payments Europe sous-traite techniquement à Stripe Inc, aux États-Unis ; ces transferts sont couverts par des clauses contractuelles types et par la décision d'adéquation UE-US (Data Privacy Framework, à laquelle Stripe est certifié). La frontière est nette : les fichiers et données de partage restent en France, le paiement relève d'un sous-traitant dûment encadré.