Digitis
Digitis ·

Messagerie et RGPD : ce que les PME belges doivent savoir

Cloud Act, RGPD, NIS2 : impact sur la messagerie de votre PME. Hébergement européen, alternatives conformes, obligations expliquees simplement.

Cloud 12 min de lecture
Messagerie entreprise RGPD et hébergement européen pour PME belges

Chaque jour, votre équipe échange des dizaines de messages sur Teams, Slack ou WhatsApp. Des noms de clients, des montants, des décisions internes. Ces conversations transitent par des serveurs, et dans la majorité des cas, ces serveurs appartiennent à des entreprises américaines soumises à des lois américaines.

Pour une PME belge, ce n’est pas un détail technique. C’est un problème juridique concret, qui va s’aggraver avec l’entree en vigueur de NIS2.

TL;DR : Les outils de messagerie américains (Teams, Slack, WhatsApp) exposent les PME belges à un conflit entre le Cloud Act et le RGPD. La directive NIS2, transposee en droit belge depuis octobre 2024, ajoute des obligations de sécurité pour de nombreux secteurs. Des alternatives auto-hébergées en Europe, comme Mattermost, permettent de reprendre le contrôle sur ses données de communication.

Que dit le RGPD sur les données de messagerie ?

Le RGPD (Reglement 2016/679) s’applique a toute entreprise qui traite des données personnelles de residents européens, quelle que soit sa taille. Les messages échanges entre collegues contiennent régulièrement des données personnelles : noms de clients, coordonnees, informations de sante dans le secteur médical, données financieres.

L’article 44 du RGPD interdit le transfert de données personnelles vers un pays tiers qui ne garantit pas un niveau de protection adequat. Les États-Unis ont longtemps ete dans cette zone grise. Le Privacy Shield a ete invalide en 2020 par l’arrêt Schrems II de la Cour de Justice de l’UE. Le Data Privacy Framework qui l’a remplacé en juillet 2023 fait déjà l’objet de recours devant la CJUE par NOYB, l’association de Max Schrems.

En pratique, cela signifie que le transfert de données vers des services américains repose sur un cadre juridique instable. Une PME qui stocké ses conversations d’équipe chez Microsoft ou Slack prend un risque de non-conformité dont elle n’est probablement pas consciente.

Les obligations concretes

Le RGPD impose trois choses a toute entreprise, y compris une PME de cinq personnes :

  • Savoir ou sont stockées les données personnelles et sous quelle juridiction (article 30, registre des traitements).
  • Garantir que les transferts hors UE reposent sur une basé légale valide (articles 44-49).
  • Pouvoir demontrer sa conformité en cas de contrôle par l’Autorité de protection des données (article 5.2, principe de responsabilité).

Le Cloud Act : quand le droit américain s’invite en Europe

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act), adopte en mars 2018, autorise les autorités américaines (FBI, DOJ, agences federales) a exiger l’accès aux données detenues par toute entreprise de droit américain. Ce qui compte, c’est le siege de l’entreprise, pas la localisation du serveur.

Microsoft peut avoir un datacenter a Amsterdam. Salesforce (propriétaire de Slack) peut stocker des données en Irlande. Si le gouvernement américain emet un warrant ou un subpoena, ces entreprises sont legalement tenues de livrer les données. Même si elles se trouvent physiquement en Europe. Même si le RGPD dit le contraire.

C’est là le conflit : d’un côté, le Cloud Act oblige a transmettre. De l’autre, le RGPD interdit de transmettre sans basé légale européenne. L’entreprise américaine est coincee entre deux obligations contradictoires. Et votre PME, elle, est coincee entre un fournisseur qui ne peut pas garantir la confidentialité de ses données et un regulateur européen qui peut sanctionner jusqu’à 4 % du chiffré d’affaires.

Ce que ça change pour une PME belge

La plupart des dirigeants de PME pensent que ça ne les concerne pas. “On n’est pas une cible.” C’est probablement vrai. Le Cloud Act vise d’abord le renseignement et les enquetes criminelles. Mais le problème n’est pas la probabilite d’une demande d’accès. Le problème, c’est que vous ne pouvez pas demontrer la conformité RGPD de vos traitements si votre fournisseur est soumis à une loi qui l’oblige, dans certains cas, a ignorer le RGPD.

En cas de contrôle de l’APD (Autorité de protection des données), “on utilisé Teams” n’est pas une analyse de risque.

NIS2 : de nouvelles obligations de sécurité pour les PME

La directive NIS2 (2022/2555) est le nouveau cadre européen de cybersécurité. Elle remplacé la directive NIS de 2016, qui ne concernait que les grandes infrastructures critiques. NIS2 etend le perimetre à un grand nombre de secteurs et de tailles d’entreprise.

La Belgique a transpose NIS2 dans le droit national vià la loi du 26 avril 2024, entree en vigueur le 18 octobre 2024. Le Centre for Cybersecurity Belgium (CCB) est designe comme autorité nationale.

Qui est concerne ?

NIS2 vise deux categories d’entites :

  • Entites essentielles : énergie, transport, sante, eau potable, infrastructures numeriques, administrations publiques.
  • Entites importantes : services postaux, gestion des dechets, fabrication de produits chimiques, industrie alimentaire, fournisseurs de services numeriques (y compris cloud, places de marche en ligne, moteurs de recherche).

Le seuil d’application : les entreprises de 50 employes ou plus, ou celles dont le chiffré d’affaires dépassé 10 millions d’euros. Mais attention : certains secteurs n’ont pas de seuil de taille, notamment les fournisseurs DNS, les registres de noms de domaine et les fournisseurs de services de confiance.

Et même si votre PME n’est pas directement visee, vos clients le sont peut-être. Un sous-traitant d’un hopital ou d’un fournisseur d’énergie est dans la chaîne de sécurité NIS2.

Les obligations en matière de messagerie

NIS2 impose des mesures de gestion des risques (article 21), dont :

  • L’analyse de risque et la sécurité des systèmes d’information.
  • La gestion des incidents (notification dans les 24 heures pour une alerte initiale, rapport complet dans les 72 heures).
  • La sécurité de la chaîne d’approvisionnement, y compris les relations avec les fournisseurs directs.
  • Le chiffrement des communications, la ou c’est pertinent.

Utiliser un outil de messagerie dont vous ne controlez ni l’hébergement, ni les politiques de retention, ni les conditions d’accès par des tiers, c’est un point faible dans votre analyse de risque. NIS2 demande justement de documenter ces risques et de les traiter.

Teams, Slack, WhatsApp : ou vont vos données ?

La theorie c’est une chose, mais regardons ce qui se passe concretement avec les outils que vous utilisez probablement déjà.

Microsoft Teams

Microsoft propose depuis 2023 l’option “EU Data Boundary”, qui stocké les données au repos dans des datacenters européens (Irlande, Pays-Bas, Autriche, France). C’est un progres reel.

Le problème persiste neanmoins : Microsoft Corporation est une entreprise américaine. Le Cloud Act s’applique. Microsoft le reconnait d’ailleurs dans sa documentation juridique. L’entreprise s’engage a “contester les demandes qui entrent en conflit avec le droit européen”, mais cette contestation reste à la discretion de Microsoft, pas à là votre.

Autre point : les métadonnées (qui parle à qui, quand, combien de temps) ne sont pas toujours couvertes par l’EU Data Boundary. Et les licences E3/E5 nécessaires pour accéder aux fonctions de conformité avancees representent un coût significatif pour une PME.

Slack

Slack a ete acquis par Salesforce en 2021. Les données de Slack Enterprise Grid peuvent être hébergées dans la region AWS eu-west-1 (Irlande). Mais Slack Business+ et les plans inferieurs n’offrent pas de garantie de residence des données en Europe.

Même avec Enterprise Grid, le problème du Cloud Act reste identique : Salesforce est une société américaine, les autorités américaines peuvent exiger l’accès.

Par ailleurs, les conditions d’utilisation de Slack precisent que Salesforce peut utiliser les données clients pour améliorer ses services, y compris ses modèles d’intelligence artificielle, sauf opt-out explicite.

WhatsApp

WhatsApp appartient a Meta (anciennement Facebook). Les serveurs sont aux États-Unis. Les messages sont chiffres de bout en bout, ce qui est un point positif, mais les métadonnées ne le sont pas. Meta sait qui parle à qui, quand, et à quelle frequence.

Surtout, WhatsApp n’offre aucune fonctionnalité d’administration d’entreprise. Pas de gestion centralisee des comptes. Pas de politique de retention. Pas de journalisation. Pas de contrôle sur les données partagees dans les groupes. Quand un employe quitte l’entreprise, ses conversations partent avec lui, sur son téléphone personnel.

Pour une PME qui doit demontrer la maitrise de ses données, WhatsApp est un angle mort.

Les alternatives conformes : reprendre le contrôle

On ne va pas revenir au fax. Des solutions matures existent, et elles couvrent les mêmes usages que Teams ou Slack, avec un hébergement européen et sans zone grise juridique.

Ce qu’il faut vérifier avant de choisir

Quatre critères a examiner pour toute solution de messagerie d’équipe :

  1. Localisation des serveurs : les données sont-elles stockées dans l’UE ? Pas “option EU disponible”, mais “EU par defaut et garanti contractuellement”.
  2. Juridiction du fournisseur : l’entreprise qui edite le logiciel est-elle soumise au Cloud Act ? Si le siege est aux États-Unis, la réponse est oui, quelle que soit la localisation des serveurs.
  3. Chiffrement : en transit (TLS) et au repos. Idealement, chiffrement côté serveur avec des clés que vous controlez.
  4. Portabilite et propriété des données : pouvez-vous exporter vos conversations ? Dans quel format ? Que se passe-t-il si vous resiliez ?

L’auto-hébergement en Europe

L’approche la plus robuste juridiquement consiste a héberger la messagerie sur des serveurs que vous controlez (ou qu’un prestataire européen géré pour vous), dans un datacenter européen, exploite par un hébergeur européen.

Avec cette configuration, la chaîne de responsabilité est claire. Pas de Cloud Act. Pas d’ambiguite sur la juridiction. Pas de doute sur la localisation des données. L’APD obtient des réponses précises en cas de contrôle.

Mattermost : l’alternative open source

Mattermost est un outil de messagerie d’équipe open source, comparable a Slack dans ses fonctionnalités : canaux de discussion, messages directs, partage de fichiers, intégrations avec d’autres outils, visioconference.

La différence : Mattermost peut s’installer sur vos propres serveurs ou sur ceux d’un prestataire européen. Le code source est auditable. Les données ne quittent jamais votre infrastructure. Mattermost Inc. (l’éditeur) est américain, mais comme le logiciel est open source et auto-hébergé, le Cloud Act ne s’applique pas à vos données. Vous n’etes pas client du cloud Mattermost, vous utilisez le logiciel sur votre propre infrastructure.

L’outil est utilisé par l’armée allemande (Bundeswehr), le CERN, et de nombreuses administrations européennes qui ne peuvent pas confier leurs communications à des fournisseurs américains.

Checklist pratique pour une PME belge

Avant de changer d’outil, commencez par faire le point. Cette checklist couvre les questions que l’APD poserait en cas de contrôle.

Inventaire

  • Lister tous les outils de messagerie utilises dans l’entreprise (officiels et officieux, y compris les groupes WhatsApp “entre collegues”)
  • Identifier le fournisseur, le pays du siege social, et la localisation des serveurs pour chacun
  • Vérifier si un Data Processing Agreement (DPA) est signé avec chaque fournisseur

Conformité RGPD

  • Documenter la basé légale du traitement pour les données de messagerie (article 6 RGPD)
  • Ajouter la messagerie au registre des traitements (article 30 RGPD)
  • Vérifier les clauses de transfert international dans les DPA

Sécurité (NIS2 si applicable)

  • Évaluer le risque lie à l’utilisation de messageries non controlees (shadow IT)
  • Vérifier les politiques de chiffrement en transit et au repos
  • Définir une politique de retention des messages (combien de temps, ou, qui y accédé)
  • Prevoir une procedure de notification d’incident (24 heures pour l’alerte initiale sous NIS2)

Transition

  • Identifier une solution alternative conforme si nécessaire
  • Planifier une migration progressive (un service à la fois)
  • Former les équipes au nouvel outil

L’approche Digitis

Chez Digitis, nous deployons et maintenons Mattermost sur des serveurs Hetzner en Allemagne pour les PME qui veulent une messagerie d’équipe conforme, sans compromis.

Ce que ça inclut :

  • Installation et configuration de Mattermost sur un serveur dédié ou mutualise
  • Hébergement chez Hetzner (Allemagne/Finlande), hébergeur de droit allemand, certifie ISO 27001
  • Sauvegardes quotidiennes verifiees par SmartInfra, notre agent de monitoring
  • Mises à jour de sécurité et maintenance applicative
  • Support en français par un interlocuteur qui connait votre infrastructure

Pas de Cloud Act. Pas de données qui alimentent un modèle IA. Pas de hausse de prix unilaterale.

Vous voulez voir ce que ça donne pour votre équipe ? Consultez le détail sur la page messagerie d’équipe ou contactez-nous pour un état des lieux de votre situation actuelle.

FAQ

Le RGPD interdit-il formellement d’utiliser Teams ou Slack ?

Le RGPD n’interdit pas nommement un outil particulier. Il impose des conditions sur le transfert de données hors UE et la responsabilité du traitement. Utiliser Teams ou Slack est légal si vous avez documente votre analyse de risque, signé un DPA conforme, et mis en place les mesures techniques appropriees. Le problème, c’est que le conflit structurel entre le Cloud Act et le RGPD rend cette conformité difficile a demontrer de manière solide.

Ma PME a moins de 50 employes. NIS2 me concerne-t-elle ?

Probablement pas directement, sauf si vous operez dans un secteur sans seuil de taille (DNS, registre de domaines, services de confiance). Mais si vous etes sous-traitant d’une entite soumise a NIS2 (hopital, fournisseur d’énergie, opérateur telecom), vos clients vous demanderont de demontrer un niveau de sécurité adequat. NIS2 impose la sécurité de la chaîne d’approvisionnement. Votre client est responsable de ses fournisseurs.

Mattermost est-il aussi fonctionnel que Teams ou Slack ?

Pour la messagerie d’équipe, oui. Canaux, messages directs, partage de fichiers, recherche, intégrations (webhooks, bots, connecteurs), appels audio et video. L’interface est intuitive et la transition depuis Slack se fait en quelques jours. En revanche, Mattermost ne remplacé pas la suite Office complète de Microsoft (Word, Excel, PowerPoint). Pour le stockage de fichiers et la collaboration documentaire, Nextcloud prend le relais.

Combien de temps prend la migration vers une messagerie auto-hébergée ?

Pour une PME de 10 a 30 personnes, comptez une a deux semaines entre l’installation technique et la mise en service. La partie la plus longue n’est pas technique, c’est l’adoption par les équipes. Garder les deux outils en parallele pendant quelques semaines facilite la transition.

Article mis à jour le 13 mars 2026. Textes de référence : Reglement (UE) 2016/679 (RGPD), Cloud Act (H.R.4943, 2018), Directive (UE) 2022/2555 (NIS2), Loi belge du 26 avril 2024 transposant NIS2. Pour aller plus loin : Pourquoi héberger vos données en Europe et Hébergement cloud pour PME en Belgique.