Skip to main content
Clozo

Transfer Impact Assessment (TIA) — Résumé

Dernière mise à jour : 13 mai 2026

À la suite de l'arrêt Schrems II de la CJUE (C-311/18, juillet 2020), les responsables du traitement transférant des données personnelles vers des pays tiers doivent documenter un Transfer Impact Assessment au titre des articles 44-49 du RGPD et des Recommandations 01/2020 de l'EDPB. Cette page constitue le résumé public du TIA interne de Clozo ; la version complète est disponible sur demande à legal@useclozo.com pour les inspecteurs de l'AEPD et les personnes concernées.

Sous-traitants couverts par ce TIA

Quatre sous-traitants basés aux États-Unis : Resend Inc. (e-mails transactionnels), Anthropic PBC (amélioration de texte par IA, utilisée comme fonctionnalité principale du service sur base de l'Art. 6(1)(b) RGPD — données PII supprimées avant transmission, aucun consentement requis), Cloudflare Inc. (CDN + sécurité de périphérie + stockage R2), PostHog Inc. (analyse produit conditionnée au consentement) et Functional Software, Inc. (Sentry — surveillance des erreurs, région UE utilisée, CCT signées). Note : Stripe Payments Europe Ltd. (Irlande, UE) est l'importateur de données pour les paiements — aucun transfert vers un pays tiers ; tout sous-traitement ultérieur aux États-Unis relève de la propre chaîne CCT de Stripe, réévaluée annuellement. Chacun opère sous une certification active EU-US Data Privacy Framework (DPF), ou des Clauses contractuelles types (CCT, Décision d'exécution (UE) 2021/914 du 4 juin 2021), ou les deux. La liste complète avec pays, mécanisme de transfert et catégories de données est publiée sur /subprocessors.

Sous-traitants sans obligation de TIA

Crisp IM SAS (France), Geoapify GmbH (Allemagne), Gotenberg (auto-hébergé sur Railway UE), VIES (institution UE) : tous opèrent au sein de l'UE/EEE — aucun TIA requis. Sentry utilise sa région UE lorsqu'elle est disponible.

Méthodologie en six étapes selon l'EDPB

(1) Connaître ses transferts — chaque importateur américain documenté avec catégories de données et volume ; (2) Identifier l'outil de transfert — DPF principal, CCT en secours ; (3) Évaluer le droit du pays tiers — US FISA 702 + EO 12333 + CLOUD Act analysés par importateur ; (4) Identifier les mesures supplémentaires — chiffrement en transit (TLS 1.3) et au repos (équivalent AES-256), suppression de PII avant transmission à Anthropic (apps/common/ai_scrub), minimisation des données ; (5) Mettre en œuvre des mesures procédurales et contractuelles — DPA signés avec chaque sous-traitant américain ; (6) Réévaluer à intervalles appropriés — revue annuelle plus en cas d'arrêt Schrems-III, retrait DPF ou changement de sous-traitant.

Conclusion

La certification DPF plus les CCT Module 2/3 plus les mesures supplémentaires énumérées offrent un niveau de protection essentiellement équivalent à l'art. 46 du RGPD. Le risque résiduel (accès gouvernemental américain via FISA 702) est matériellement réduit pour les transferts spécifiques effectués par Clozo car (a) les données Anthropic sont expurgées de PII avant transmission, (b) Stripe n'est pas un fournisseur de services de communications électroniques au sens de FISA 702, (c) le contenu transactionnel des e-mails via Resend est non commercial et à faible volume, (d) le trafic Cloudflare ne journalise que des métadonnées sans contenu commercial en clair. Anthropic n'est explicitement PAS certifié EU-US DPF — les CCT constituent son seul mécanisme de transfert, documenté dans le DPA §7 et la Politique de confidentialité §6.

Demander le TIA complet

Les inspecteurs de l'AEPD et les personnes concernées exerçant leurs droits au titre de l'art. 15 du RGPD peuvent demander le document TIA interne complet par e-mail à legal@useclozo.com. Le document complet comprend les modèles de menaces par importateur, les rapports de transparence et le statut d'examen juridique. Le TIA interne est soumis à l'examen d'un DPO/conseiller juridique espagnol (objectif 2026-Q3) avant le passage du statut PROJET à ACTIF.

Retour à la connexion·Politique de confidentialité·CTD·Sous-traitants·Conditions d'utilisation·Mentions légales