Synaedge Logo (500 × 120 px) (10)

La souveraineté numérique commence par l’infrastructure

Ou pourquoi Synaedge est indépendante des hyperscalers

La propagation rapide de l’analyse vidéo basée sur l’IA pose de nouveaux défis en matière de protection des données pour les entreprises. Des plateformes comme Vaidio, une solution de vision par IA pour l’analyse vidéo, promettent une surveillance efficace grâce à la reconnaissance d’images automatisée et aux alertes. Parallèlement, les organisations de l’UE et de la Suisse doivent respecter strictement les lois applicables en matière de protection des données. Un thème central dans ce contexte est la souveraineté des données. Où et sous le contrôle de qui les données sensibles vidéo et personnelles sont-elles traitées ? Synaedge s’est clairement positionnée comme un fournisseur européen indépendant qui ne s’appuie pas sur des hyperscalers américains. Dans cet article, nous expliquons pourquoi la souveraineté numérique commence par l’infrastructure et pourquoi Synaedge est indépendante des hyperscalers.

Analyse vidéo par IA et protection des données : le défi du transfert des données

Dans l’analyse vidéo basée sur l’IA, des données personnelles (p. ex. visages, plaques d’immatriculation, profils de déplacement) sont générées et souvent stockées de manière centralisée ou transférées vers le cloud. Lorsque des contenus vidéo à caractère personnel sont transférés vers des pays tiers en dehors de l’Europe – par exemple vers les États-Unis –, des exigences juridiques complexes entrent en vigueur. En particulier depuis l’arrêt historique Schrems II de la Cour de justice de l’Union européenne (CJUE) du 16 juillet 2020 (affaire C-311/18), il est clair que des solutions simples comme l’ancien bouclier de protection des données UE–États-Unis ne suffisent plus. Cet accord de protection des données, qui facilitait jusqu’en 2020 les transferts de données vers les États-Unis, a été invalidé par la CJUE, car il n’offrait pas un niveau de protection suffisamment élevé. La raison : des programmes de surveillance américains étendus tels que PRISM et UPSTREAM permettaient une surveillance de masse, ce qui viole les droits fondamentaux de l’UE. Dans le même temps, la CJUE a confirmé la validité des clauses contractuelles types (CCT) en tant qu’instrument de transfert, tout en imposant des exigences élevées : les exportateurs et importateurs de données doivent vérifier si le niveau de protection dans le pays destinataire est essentiellement équivalent à celui de l’UE et, le cas échéant, mettre en place des mesures de protection supplémentaires. Cette évaluation est particulièrement délicate lorsqu’il s’agit de transferts vers les États-Unis. La CJUE a explicitement critiqué le fait que les lois américaines sur le renseignement, telles que la section 702 de la FISA et l’Executive Order 12333, n’offrent pas aux citoyens de l’UE une protection juridique suffisante et permettent un accès disproportionné à leurs données. En d’autres termes, sans garanties supplémentaires, une entreprise de l’UE ne peut pas être certaine que les données stockées aux États-Unis ou accessibles depuis ce pays soient protégées au même niveau que dans l’UE.

Lois de surveillance américaines vs droit de l’UE : aperçu du conflit

La question centrale est la suivante : un prestataire de services américain peut-il garantir qu’aucune divulgation illégale de données personnelles de l’UE aux autorités américaines n’a lieu ? Dans les faits, non, car des lois américaines telles que le USA PATRIOT Act (2001) et, en particulier, le CLOUD Act (2018) obligent les entreprises américaines à remettre des données aux autorités américaines sur demande, indépendamment du lieu de stockage des données. Le CLOUD Act s’applique explicitement également aux données stockées sur des serveurs situés à l’étranger. Cela signifie que les autorités américaines peuvent exiger des données auprès de fournisseurs américains, même si celles-ci sont stockées en Europe, sans qu’une demande d’entraide judiciaire préalable (MLAT) doive être adressée via les autorités européennes. Du point de vue de l’UE, cela crée un conflit juridique direct. En effet, l’article 48 du RGPD prévoit qu’une demande de communication émanant d’une autorité publique non européenne ne peut être reconnue que sur la base d’un accord international ou d’une base juridique appropriée. Les accès unilatéraux des autorités américaines, tels que permis par le CLOUD Act, ne doivent pas conduire à des transferts de données au regard du droit de l’UE. Avec le CLOUD Act, les ordres juridiques s’entrechoquent donc : une décision judiciaire américaine peut contraindre un prestataire à divulguer des données, tandis que le RGPD interdit à une entreprise européenne de transmettre des données à des tiers sans base juridique valable. Après l’arrêt Schrems II, les autorités de protection des données exigent donc, pour chaque transfert vers un pays tiers, la réalisation d’une évaluation d’impact du transfert (Transfer Impact Assessment, TIA). En particulier lors de l’utilisation de services américains, il convient d’examiner si des mesures techniques, organisationnelles ou contractuelles supplémentaires peuvent protéger suffisamment les données contre l’accès des autorités américaines, ce qui est souvent difficile à mettre en œuvre.

Physiquement en Europe, juridiquement aux États-Unis ? Risques liés aux hyperscalers

Les grands hyperscalers (tels qu’AWS, Microsoft Azure ou Google Cloud) exploitent certes des centres de données en Europe, mais, en tant qu’entreprises américaines, ils restent en dernier ressort soumis au droit américain. On parle ici du problème dit « le corps en Europe, l’esprit aux États-Unis » : bien que les serveurs soient physiquement situés dans l’UE, un accès juridique et administratif depuis les États-Unis reste possible. Ainsi, le simple fait que des employés américains disposent d’un accès administratif ou que des données puissent être transmises à la société mère aux États-Unis suffit pour que le RGPD et la loi fédérale suisse sur la protection des données (LPD) considèrent qu’il s’agit d’un transfert vers un pays tiers, même si les serveurs sont situés dans l’UE. Pour les clients de tels hyperscalers, cela signifie que, malgré un hébergement en région UE, il subsiste un risque résiduel que des données parviennent aux autorités américaines à leur insu. En résumé, les risques liés à l’utilisation de fournisseurs de cloud basés aux États-Unis sont les suivants :

  • Accès extraterritoriaux : les autorités américaines peuvent exiger des données, quel que soit leur lieu de stockage. Cela entre en conflit direct avec les exigences de l’UE (article 48 du RGPD).
  • Absence de protection juridique suffisante : les citoyens de l’UE ne disposent d’aucun moyen effectif pour s’opposer à de tels accès, car des lois américaines telles que la FISA ou le CLOUD Act ne prévoient pas de voies de recours adéquates.
  • Charge de conformité : les entreprises doivent en permanence vérifier et documenter si, et de quelle manière, elles protègent les données contre l’accès de tiers (chiffrement, gestion des clés au sein de l’UE, etc.) afin de satisfaire aux exigences issues de Schrems II. Chaque nouvelle utilisation de services cloud nécessite une évaluation d’impact du transfert au cas par cas (TIA) – un effort considérable qui s’accompagne d’une insécurité juridique.
  • Insécurité juridique : bien que l’UE ait adopté en 2023 le nouveau cadre de protection des données UE–États-Unis (EU–US Data Privacy Framework, DPF). Le DPF est en vigueur, a été confirmé dans une première procédure en 2025, mais demeure politiquement et juridiquement controversé et pourrait de nouveau être porté devant la CJUE.
  • Administration Trump : cela aggrave encore le problème de l’imprévisibilité du cadre juridique et politique aux États-Unis.

Synaedge : la souveraineté européenne des données plutôt que le cloud américain

Synaedge se positionne comme un fournisseur local de cloud et de services pour l’analyse vidéo basée sur l’IA, notamment en tant que partenaire d’hébergement certifié de la plateforme Vaidio dans la région EMEA. La différence décisive : Synaedge est indépendante des hyperscalers et exploite sa propre infrastructure de serveurs dans des centres de données certifiés en Suisse, en Allemagne et en Espagne. Ces sites sont directement interconnectés, sans passer par des prestataires tiers ou des groupes cloud mondiaux. Cette architecture garantit une véritable souveraineté technique : un contrôle total des flux de données, une latence minimale et une connectivité réseau stable depuis les dispositifs edge et les serveurs on-premise jusqu’à l’analyse par IA dans le centre de données. Étant donné que l’ensemble de l’infrastructure est exploité au sein de l’UE ainsi qu’en Suisse, reconnue comme pays tiers disposant d’une décision d’adéquation, aucun transfert de données vers des pays tiers juridiquement incertains n’a lieu. Pour les traitements de données au sein de l’UE, les articles 44 et suivants du RGPD ne s’appliquent pas du tout ; pour la Suisse, les transferts s’effectuent sur la base de l’article 45 du RGPD, sans nécessiter de garanties supplémentaires telles que les clauses contractuelles types ou des évaluations d’impact du transfert. Cela supprime entièrement la charge de conformité élevée qui est autrement nécessaire lors du recours à des fournisseurs américains. En particulier, ce modèle élimine le risque le plus important : l’accès des autorités externes sur la base de lois extraterritoriales. Synaedge n’est soumise à aucune législation américaine telle que le CLOUD Act ou la FISA et ne peut donc pas être contrainte de transmettre des données aux autorités américaines. Un accès sans la connaissance et le contrôle du client est exclu. Si une demande légitime d’information devait un jour émaner de l’étranger, elle devrait emprunter la voie formelle des accords d’entraide judiciaire internationale, avec un contrôle judiciaire et l’implication des autorités européennes ou suisses compétentes, conformément à l’article 48 du RGPD. En bref : avec Synaedge, la souveraineté des données reste entre les mains du client et au sein de l’espace juridique européen.

Conclusion : la protection des données grâce à l’indépendance européenne

Synaedge démontre, grâce à son architecture cloud indépendante, que l’analyse vidéo moderne basée sur l’IA et une protection stricte des données sont compatibles. En renonçant délibérément aux hyperscalers américains et en opérant dans des centres de données européens, Synaedge évite les écueils juridiques des transferts de données transatlantiques. Les entreprises qui utilisent Vaidio via Synaedge bénéficient d’une solution conforme à Schrems II « clé en main », sans compromis sur la fonctionnalité ni sur la scalabilité.

Sources :

Fest in amerikanischer Hand

Schrems II landmark ruling: A detailed analysis

Europäischer Datenschutzausschuss kritisiert CLOUD Act Datenabkommen zwischen USA und Großbritannien

Image de Auteurs :

Auteurs :

Anne-Katrin Michelmann

Date : 28.01.2026