Données email et RGPD : le réveil difficile des ETI européennes face à leur dépendance

L'email, angle mort de la conformité RGPD

On a beaucoup parlé des cookies, des CRM, des plateformes analytics. Mais dans les ETI européennes, il y a un borgne dans la pièce que personne ne regarde vraiment en face : l'infrastructure email. C'est là que transitent les contrats, les données RH, les échanges clients, les informations sensibles de toute nature. Et dans la grande majorité des cas, tout cela repose sur des serveurs opérés par Microsoft ou Google, sous juridiction américaine, soumis au Cloud Act.

En 2026, ce n'est plus une question théorique. C'est une exposition juridique concrète, que les équipes juridiques commencent à documenter — et que les régulateurs européens regardent de plus en plus attentivement.

Ce qui a changé, et pourquoi maintenant

Le Privacy Shield, puis le Data Privacy Framework qui l'a remplacé en 2023, ont tenté de stabiliser les transferts de données entre l'UE et les États-Unis. Le DPF a été adopté, les grandes plateformes ont soufflé, et beaucoup de DSI ont rangé le sujet dans le tiroir « réglé ».

Sauf que non. Le DPF est contesté. Max Schrems et l'organisation noyb ont déjà annoncé leur intention de le faire invalider, comme ils l'ont fait avec ses deux prédécesseurs. Le contentieux est toujours en cours devant les juridictions européennes. Autrement dit, l'accord qui légalise aujourd'hui vos transferts de données vers les serveurs de Microsoft ou Google pourrait être annulé — à nouveau. Personne ne sait quand, ni exactement sous quelle forme. Mais l'historique plaide pour une certaine prudence.

Parallèlement, le contexte géopolitique de 2025-2026 a remis la question de la dépendance technologique au premier plan des agendas politiques européens. La souveraineté numérique n'est plus un argument de lobbying pour acteurs alternatifs : c'est devenu un sujet de politique industrielle, avec des positions affichées de la Commission européenne et de plusieurs États membres. Pour les ETI, cela se traduit concrètement par une pression croissante : de la part de clients grands comptes qui imposent des clauses contractuelles, de partenaires publics qui exigent des garanties sur la localisation des données, ou simplement d'équipes juridiques internes qui commencent à poser les bonnes questions.

L'email est au cœur de tout ça. Et c'est précisément parce qu'il est devenu invisible — normalisé, banalisé — qu'il constitue aujourd'hui l'un des angles morts les plus exposés.

Ce que ça veut dire concrètement pour un DSI d'ETI

Prenons la situation telle qu'elle est. Une ETI industrielle de 400 personnes utilise Microsoft 365 pour ses emails, son calendrier, Teams, et souvent une bonne partie de sa gestion documentaire. C'est rationnel, c'est intégré, c'est ce que les utilisateurs connaissent. Le DSI n'a pas tort d'avoir fait ce choix.

Mais voilà ce que cette configuration implique du point de vue RGPD :

Premièrement, Microsoft est ce qu'on appelle un sous-traitant au sens du RGPD. Vous, en tant qu'entreprise, êtes le responsable de traitement. Vous restez juridiquement responsable de ce qui arrive aux données personnelles que vous lui confiez — y compris si Microsoft subit une fuite, une injonction d'une autorité américaine, ou un changement de politique tarifaire ou contractuelle.

Deuxièmement, les emails contiennent des données personnelles en masse : coordonnées clients, échanges avec des salariés, informations médicales dans les RH, données financières dans les échanges avec les partenaires. Ces données sont traitées sur des infrastructures dont vous ne contrôlez pas la géographie précise, même si Microsoft ou Google proposent des options de résidence des données en Europe. La résidence des données n'est pas la même chose que la juridiction applicable à ces données.

Troisièmement — et c'est le point que beaucoup sous-estiment — votre capacité à répondre à une demande d'accès ou d'effacement d'un particulier dépend en partie de ce que vous pouvez techniquement faire sur votre environnement. Quand tout repose sur une plateforme externe, cette capacité peut être contrainte par les outils et les limites de l'éditeur.

Ce n'est pas une raison de tout changer du jour au lendemain. Mais c'est une raison sérieuse de faire un état des lieux honnête.

Les pistes réalistes — et leurs limites

Rester chez les grands, mais documenter sérieusement

Beaucoup d'ETI ne peuvent pas, et peut-être ne doivent pas, sortir de Microsoft 365 ou Google Workspace à court terme. Ce serait ignorer les réalités opérationnelles, le coût du changement, et la valeur réelle de ces écosystèmes intégrés.

Mais rester ne veut pas dire subir. La première étape, souvent négligée, consiste à cartographier précisément quelles données personnelles transitent par l'email, dans quel cadre, et avec quelle légitimité juridique. Cela permet au minimum de construire un registre de traitements sérieux, d'identifier les flux à risque, et de préparer une défense documentée en cas de contrôle de la CNIL ou d'un équivalent européen.

Il faut aussi lire attentivement les Conditions d'Utilisation des Services (conditions de sous-traitance) proposées par Microsoft ou Google, et ne pas se contenter de les signer sans les comprendre. Plusieurs DPO d'ETI reconnaissent que ces documents font plusieurs dizaines de pages et que personne ne les a vraiment lus dans leur organisation.

Explorer les alternatives européennes pour certains usages

La question n'est pas forcément de remplacer toute l'infrastructure email d'un coup. Elle peut être plus chirurgicale : y a-t-il des flux spécifiques, particulièrement sensibles, qui mériteraient d'être isolés sur une infrastructure à garanties renforcées ?

Dans ce registre, des acteurs comme **Proton** (suisse, donc hors UE mais sous juridiction helvétique, avec une architecture de chiffrement de bout en bout documentée et auditée) ou **Infomaniak** (également suisse, avec des engagements forts sur la localisation et la confidentialité) ont développé des offres qui commencent à être crédibles pour des usages professionnels. Ce ne sont pas des solutions magiques, et leur intégration dans un écosystème existant demande un vrai travail. Mais elles existent, elles fonctionnent, et elles méritent d'être évaluées sérieusement.

Pour les ETI qui cherchent une solution hébergée en France, Mailinblack a développé une offre centrée sur la protection des emails et la lutte contre le phishing, avec des engagements de localisation sur le territoire français. C'est un angle différent — moins centré sur la souveraineté juridique que sur la sécurité opérationnelle — mais qui répond à une vraie demande des ETI.

Ce que ces alternatives ne peuvent pas faire, en revanche, c'est reproduire instantanément la richesse fonctionnelle d'un Microsoft 365. C'est le compromis honnête à poser sur la table.

Penser la donnée email différemment

Une piste sous-exploitée dans les ETI consiste à ne pas traiter l'email comme un silo à part, mais à s'interroger sur ce qui devrait transiter par l'email et ce qui ne devrait pas. Des données contractuelles importantes, des informations RH sensibles, des échanges avec des avocats ou des conseils — pourquoi passent-elles par l'email plutôt que par un espace documentaire sécurisé, avec des droits d'accès contrôlés ?

Cette réflexion sur l'hygiène des données est souvent plus efficace, à court terme, qu'une migration d'infrastructure. Elle permet de réduire l'exposition sans révolutionner les outils.

Ce que le DSI doit porter dans son organisation

Le sujet email-RGPD est souvent renvoyé au DPO ou à l'équipe juridique, comme si c'était un problème de conformité déconnecté des choix techniques. C'est une erreur.

Le DSI ou le CTO est le seul à pouvoir avoir la vision complète : ce qui rentre dans les systèmes, comment les données circulent, ce qui peut techniquement être modifié. La conformité RGPD sur l'email n'est pas un sujet de cocher des cases — c'est un sujet d'architecture et de choix d'infrastructure. Et ces choix ont des conséquences qui dépassent la technique.

Concrètement, cela implique de mettre à l'agenda du comité de direction, pas seulement du service IT, la question suivante : quelle est notre dépendance réelle sur nos données les plus sensibles, et quel est notre plan si le cadre juridique qui la légitime est remis en cause ?

Ce n'est pas du catastrophisme. C'est de la gestion des risques.

Conclusion : la vraie question

La souveraineté des données email n'est pas un sujet idéologique. C'est un sujet de gestion du risque juridique et opérationnel, dans un environnement où les règles du jeu sont instables depuis dix ans et ne semblent pas vouloir se stabiliser.

Les ETI européennes n'ont pas à choisir entre efficacité et conformité — mais elles doivent choisir en connaissance de cause. La pire posture est celle du statu quo non documenté : continuer à utiliser Microsoft ou Google sans avoir fait l'effort de comprendre ce que cela implique juridiquement, sans plan B, sans cartographie des risques.

La bonne nouvelle, c'est que le sujet est de plus en plus outillé. Les DPO sont mieux formés, les solutions alternatives mûrissent, et les organisations professionnelles commencent à produire des guides sectoriels. Il n'y a plus d'excuse pour ne pas avoir eu la conversation.

La question à poser à votre équipe cette semaine : si le Data Privacy Framework est invalidé dans six mois, qu'est-ce qui change pour nous — et est-ce qu'on le sait ?