Chaque jour, votre équipe échange des dizaines de messages sur Teams, Slack ou WhatsApp. Des noms de clients, des montants, des décisions internes. Ces conversations transitent par des serveurs, et dans la majorité des cas, ces serveurs appartiennent à des entreprises américaines soumises à des lois américaines.
Pour une PME belge, ce n’est pas un détail technique. C’est un problème juridique concret, qui va s’aggraver avec l’entrée en vigueur de NIS2.
TL;DR : Les outils de messagerie américains (Teams, Slack, WhatsApp) exposent les PME belges à un conflit entre le Cloud Act et le RGPD. La directive NIS2, transposée en droit belge depuis octobre 2024, ajoute des obligations de sécurité pour de nombreux secteurs. Des alternatives auto-hébergées en Europe, comme Mattermost, permettent de reprendre le contrôle sur ses données de communication.
Que dit le RGPD sur les données de messagerie ?
Le RGPD (Règlement 2016/679) s’applique à toute entreprise qui traite des données personnelles de résidents européens, quelle que soit sa taille. Les messages échangés entre collègues contiennent régulièrement des données personnelles : noms de clients, coordonnées, informations de santé dans le secteur médical, données financières.
L’article 44 du RGPD interdit le transfert de données personnelles vers un pays tiers qui ne garantit pas un niveau de protection adéquat. Les États-Unis ont longtemps été dans cette zone grise. Le Privacy Shield a été invalidé en 2020 par l’arrêt Schrems II de la Cour de Justice de l’UE. Le Data Privacy Framework qui l’a remplacé en juillet 2023 fait déjà l’objet de recours devant la CJUE par NOYB, l’association de Max Schrems.
En pratique, cela signifie que le transfert de données vers des services américains repose sur un cadre juridique instable. Une PME qui stocke ses conversations d’équipe chez Microsoft ou Slack prend un risque de non-conformité dont elle n’est probablement pas consciente. Le même raisonnement s’applique à des outils moins visibles, comme la mesure d’audience du site web : c’est pourquoi nous avons basculé nos propres sites vers des statistiques web sans cookies hébergées en Europe.
Les obligations concrètes
Le RGPD impose trois choses à toute entreprise, y compris une PME de cinq personnes :
- Savoir où sont stockées les données personnelles et sous quelle juridiction (article 30, registre des traitements).
- Garantir que les transferts hors UE reposent sur une base légale valide (articles 44-49).
- Pouvoir démontrer sa conformité en cas de contrôle par l’Autorité de protection des données (article 5.2, principe de responsabilité).
Le Cloud Act : quand le droit américain s’invite en Europe
Le Cloud Act (Clarifying Lawful Overseas Use of Data Act), adopté en mars 2018, autorise les autorités américaines (FBI, DOJ, agences fédérales) à exiger l’accès aux données détenues par toute entreprise de droit américain. Ce qui compte, c’est le siège de l’entreprise, pas la localisation du serveur.
Microsoft peut avoir un datacenter à Amsterdam. Salesforce (propriétaire de Slack) peut stocker des données en Irlande. Si le gouvernement américain émet un warrant ou un subpoena, ces entreprises sont légalement tenues de livrer les données. Même si elles se trouvent physiquement en Europe. Même si le RGPD dit le contraire.
C’est là le conflit : d’un côté, le Cloud Act oblige à transmettre. De l’autre, le RGPD interdit de transmettre sans base légale européenne. L’entreprise américaine est coincée entre deux obligations contradictoires. Et votre PME, elle, est coincée entre un fournisseur qui ne peut pas garantir la confidentialité de ses données et un régulateur européen qui peut sanctionner jusqu’à 4 % du chiffre d’affaires.
Ce que ça change pour une PME belge
La plupart des dirigeants de PME pensent que ça ne les concerne pas. “On n’est pas une cible.” C’est probablement vrai. Le Cloud Act vise d’abord le renseignement et les enquêtes criminelles. Mais le problème n’est pas la probabilité d’une demande d’accès. Le problème, c’est que vous ne pouvez pas démontrer la conformité RGPD de vos traitements si votre fournisseur est soumis à une loi qui l’oblige, dans certains cas, à ignorer le RGPD.
En cas de contrôle de l’APD (Autorité de protection des données), “on utilise Teams” n’est pas une analyse de risque.
NIS2 : de nouvelles obligations de sécurité pour les PME
La directive NIS2 (2022/2555) est le nouveau cadre européen de cybersécurité. Elle remplace la directive NIS de 2016, qui ne concernait que les grandes infrastructures critiques. NIS2 étend le périmètre à un grand nombre de secteurs et de tailles d’entreprise.
La Belgique a transposé NIS2 dans le droit national via la loi du 26 avril 2024, entrée en vigueur le 18 octobre 2024. Le Centre for Cybersecurity Belgium (CCB) est désigné comme autorité nationale.
Qui est concerné ?
NIS2 vise deux catégories d’entités :
- Entités essentielles : énergie, transport, santé, eau potable, infrastructures numériques, administrations publiques.
- Entités importantes : services postaux, gestion des déchets, fabrication de produits chimiques, industrie alimentaire, fournisseurs de services numériques (y compris cloud, places de marché en ligne, moteurs de recherche).
Le seuil d’application : les entreprises de 50 employés ou plus, ou celles dont le chiffre d’affaires dépasse 10 millions d’euros. Mais attention : certains secteurs n’ont pas de seuil de taille, notamment les fournisseurs DNS, les registres de noms de domaine et les fournisseurs de services de confiance.
Et même si votre PME n’est pas directement visée, vos clients le sont peut-être. Un sous-traitant d’un hôpital ou d’un fournisseur d’énergie est dans la chaîne de sécurité NIS2.
Les obligations en matière de messagerie
NIS2 impose des mesures de gestion des risques (article 21), dont :
- L’analyse de risque et la sécurité des systèmes d’information.
- La gestion des incidents (notification dans les 24 heures pour une alerte initiale, rapport complet dans les 72 heures).
- La sécurité de la chaîne d’approvisionnement, y compris les relations avec les fournisseurs directs.
- Le chiffrement des communications, là où c’est pertinent.
Utiliser un outil de messagerie dont vous ne contrôlez ni l’hébergement, ni les politiques de rétention, ni les conditions d’accès par des tiers, c’est un point faible dans votre analyse de risque. NIS2 demande justement de documenter ces risques et de les traiter.
Teams, Slack, WhatsApp : où vont vos données ?
La théorie c’est une chose, mais regardons ce qui se passe concrètement avec les outils que vous utilisez probablement déjà.
Microsoft Teams
Microsoft propose depuis 2023 l’option “EU Data Boundary”, qui stocke les données au repos dans des datacenters européens (Irlande, Pays-Bas, Autriche, France). C’est un progrès réel.
Le problème persiste néanmoins : Microsoft Corporation est une entreprise américaine. Le Cloud Act s’applique. Microsoft le reconnaît d’ailleurs dans sa documentation juridique. L’entreprise s’engage à “contester les demandes qui entrent en conflit avec le droit européen”, mais cette contestation reste à la discrétion de Microsoft, pas à la vôtre.
Autre point : les métadonnées (qui parle à qui, quand, combien de temps) ne sont pas toujours couvertes par l’EU Data Boundary. Et les licences E3/E5 nécessaires pour accéder aux fonctions de conformité avancées représentent un coût significatif pour une PME.
Slack
Slack a été acquis par Salesforce en 2021. Les données de Slack Enterprise Grid peuvent être hébergées dans la région AWS eu-west-1 (Irlande). Mais Slack Business+ et les plans inférieurs n’offrent pas de garantie de résidence des données en Europe.
Même avec Enterprise Grid, le problème du Cloud Act reste identique : Salesforce est une société américaine, les autorités américaines peuvent exiger l’accès.
Par ailleurs, les conditions d’utilisation de Slack précisent que Salesforce peut utiliser les données clients pour améliorer ses services, y compris ses modèles d’intelligence artificielle, sauf opt-out explicite.
WhatsApp appartient à Meta (anciennement Facebook). Les serveurs sont aux États-Unis. Les messages sont chiffrés de bout en bout, ce qui est un point positif, mais les métadonnées ne le sont pas. Meta sait qui parle à qui, quand, et à quelle fréquence.
Surtout, WhatsApp n’offre aucune fonctionnalité d’administration d’entreprise. Pas de gestion centralisée des comptes. Pas de politique de rétention. Pas de journalisation. Pas de contrôle sur les données partagées dans les groupes. Quand un employé quitte l’entreprise, ses conversations partent avec lui, sur son téléphone personnel.
Pour une PME qui doit démontrer la maîtrise de ses données, WhatsApp est un angle mort.
Les alternatives conformes : reprendre le contrôle
On ne va pas revenir au fax. Des solutions matures existent, et elles couvrent les mêmes usages que Teams ou Slack, avec un hébergement européen et sans zone grise juridique.
Ce qu’il faut vérifier avant de choisir
Quatre critères à examiner pour toute solution de messagerie d’équipe :
- Localisation des serveurs : les données sont-elles stockées dans l’UE ? Pas “option EU disponible”, mais “EU par défaut et garanti contractuellement”.
- Juridiction du fournisseur : l’entreprise qui édite le logiciel est-elle soumise au Cloud Act ? Si le siège est aux États-Unis, la réponse est oui, quelle que soit la localisation des serveurs.
- Chiffrement : en transit (TLS) et au repos. Idéalement, chiffrement côté serveur avec des clés que vous contrôlez.
- Portabilité et propriété des données : pouvez-vous exporter vos conversations ? Dans quel format ? Que se passe-t-il si vous résiliez ?
L’auto-hébergement en Europe
L’approche la plus robuste juridiquement consiste à héberger la messagerie sur des serveurs que vous contrôlez (ou qu’un prestataire européen gère pour vous), dans un datacenter européen, exploité par un hébergeur européen.
Avec cette configuration, la chaîne de responsabilité est claire. Pas de Cloud Act. Pas d’ambiguïté sur la juridiction. Pas de doute sur la localisation des données. L’APD obtient des réponses précises en cas de contrôle.
Mattermost : l’alternative open source
Mattermost est un outil de messagerie d’équipe open source, comparable à Slack dans ses fonctionnalités : canaux de discussion, messages directs, partage de fichiers, intégrations avec d’autres outils, visioconférence.
La différence : Mattermost peut s’installer sur vos propres serveurs ou sur ceux d’un prestataire européen. Le code source est auditable. Les données ne quittent jamais votre infrastructure. Mattermost Inc. (l’éditeur) est américain, mais comme le logiciel est open source et auto-hébergé, le Cloud Act ne s’applique pas à vos données. Vous n’êtes pas client du cloud Mattermost, vous utilisez le logiciel sur votre propre infrastructure.
L’outil est utilisé par l’armée allemande (Bundeswehr), le CERN, et de nombreuses administrations européennes qui ne peuvent pas confier leurs communications à des fournisseurs américains.
Checklist pratique pour une PME belge
Avant de changer d’outil, commencez par faire le point. Cette checklist couvre les questions que l’APD poserait en cas de contrôle.
Inventaire
- Lister tous les outils de messagerie utilisés dans l’entreprise (officiels et officieux, y compris les groupes WhatsApp “entre collègues”)
- Identifier le fournisseur, le pays du siège social, et la localisation des serveurs pour chacun
- Vérifier si un Data Processing Agreement (DPA) est signé avec chaque fournisseur
Conformité RGPD
- Documenter la base légale du traitement pour les données de messagerie (article 6 RGPD)
- Ajouter la messagerie au registre des traitements (article 30 RGPD)
- Vérifier les clauses de transfert international dans les DPA
Sécurité (NIS2 si applicable)
- Évaluer le risque lié à l’utilisation de messageries non contrôlées (shadow IT)
- Vérifier les politiques de chiffrement en transit et au repos
- Définir une politique de rétention des messages (combien de temps, où, qui y accède)
- Prévoir une procédure de notification d’incident (24 heures pour l’alerte initiale sous NIS2)
Transition
- Identifier une solution alternative conforme si nécessaire
- Planifier une migration progressive (un service à la fois)
- Former les équipes au nouvel outil
L’approche Digitis
Chez Digitis, nous déployons et maintenons Mattermost sur des serveurs Hetzner en Allemagne pour les PME qui veulent une messagerie d’équipe conforme, sans compromis.
Ce que ça inclut :
- Installation et configuration de Mattermost sur un serveur dédié ou mutualisé
- Hébergement chez Hetzner (Allemagne/Finlande), hébergeur de droit allemand, certifié ISO 27001
- Sauvegardes quotidiennes vérifiées par SmartInfra, notre agent de monitoring
- Mises à jour de sécurité et maintenance applicative
- Support en français par un interlocuteur qui connaît votre infrastructure
Pas de Cloud Act. Pas de données qui alimentent un modèle IA. Pas de hausse de prix unilatérale.
Vous voulez voir ce que ça donne pour votre équipe ? Consultez le détail sur la page messagerie d’équipe ou contactez-nous pour un état des lieux de votre situation actuelle.
FAQ
Le RGPD interdit-il formellement d’utiliser Teams ou Slack ?
Le RGPD n’interdit pas nommément un outil particulier. Il impose des conditions sur le transfert de données hors UE et la responsabilité du traitement. Utiliser Teams ou Slack est légal si vous avez documenté votre analyse de risque, signé un DPA conforme, et mis en place les mesures techniques appropriées. Le problème, c’est que le conflit structurel entre le Cloud Act et le RGPD rend cette conformité difficile à démontrer de manière solide.
Ma PME a moins de 50 employés. NIS2 me concerne-t-elle ?
Probablement pas directement, sauf si vous opérez dans un secteur sans seuil de taille (DNS, registre de domaines, services de confiance). Mais si vous êtes sous-traitant d’une entité soumise à NIS2 (hôpital, fournisseur d’énergie, opérateur télécom), vos clients vous demanderont de démontrer un niveau de sécurité adéquat. NIS2 impose la sécurité de la chaîne d’approvisionnement. Votre client est responsable de ses fournisseurs.
Mattermost est-il aussi fonctionnel que Teams ou Slack ?
Pour la messagerie d’équipe, oui. Canaux, messages directs, partage de fichiers, recherche, intégrations (webhooks, bots, connecteurs), appels audio et vidéo. L’interface est intuitive et la transition depuis Slack se fait en quelques jours. En revanche, Mattermost ne remplace pas la suite Office complète de Microsoft (Word, Excel, PowerPoint). Pour le stockage de fichiers et la collaboration documentaire, Nextcloud prend le relais.
Combien de temps prend la migration vers une messagerie auto-hébergée ?
Pour une PME de 10 à 30 personnes, comptez une à deux semaines entre l’installation technique et la mise en service. La partie la plus longue n’est pas technique, c’est l’adoption par les équipes. Garder les deux outils en parallèle pendant quelques semaines facilite la transition.
Article mis à jour le 13 mars 2026. Textes de référence : Règlement (UE) 2016/679 (RGPD), Cloud Act (H.R.4943, 2018), Directive (UE) 2022/2555 (NIS2), Loi belge du 26 avril 2024 transposant NIS2. Pour aller plus loin : Pourquoi héberger vos données en Europe et Hébergement cloud pour PME en Belgique.