Qu'est-ce que Schrems II ?
Le 16 juillet 2020, la Cour de justice de l'Union européenne (CJUE) a rendu son arrêt dans l'affaire Data Protection Commissioner c. Facebook Ireland Ltd — une procédure engagée par l'activiste autrichien Max Schrems. Cette décision, connue sous le nom de Schrems II (affaire C-311/18), a invalidé le Privacy Shield, le cadre de transfert de données UE-États-Unis qui permettait à des milliers d'entreprises de transférer légalement des données personnelles européennes vers des serveurs américains.
Le raisonnement de la Cour était simple : la législation américaine sur la surveillance — notamment la section 702 du FISA et l'Executive Order 12333 — permet aux agences de renseignement américaines d'accéder aux données détenues par des entreprises américaines sans les protections auxquelles les personnes concernées européennes ont droit en vertu du RGPD. Le Privacy Shield ne remédiait pas de manière adéquate à ce manque. Il était donc nul.
En conséquence, le transfert de données personnelles européennes vers les États-Unis requiert désormais soit des Clauses Contractuelles Types (CCT) associées à des mesures complémentaires démontrant que la loi américaine ne remet pas en cause ces protections, soit le recours au Data Privacy Framework UE-États-Unis (DPF), entré en vigueur en juillet 2023 en tant que successeur post-Schrems II du Privacy Shield.
Or, le DPF est lui-même déjà contesté juridiquement par Max Schrems — une procédure déjà désignée officieusement sous le nom de Schrems III. Le précédent est clair : chaque cadre de transfert UE-États-Unis finit par faire l'objet d'un contrôle juridictionnel. Pour les développeurs, ce qui importe : toute API qui traite des données d'utilisateurs européens sur des serveurs américains est soumise à ce cadre de conformité, qu'il s'agisse d'une base de données, d'un processeur de paiement ou d'un service de mémoire IA.
Pourquoi les APIs de mémoire IA sont un cas particulier
Contrairement à une base de données américaine générique, les APIs de mémoire IA stockent une catégorie particulièrement sensible de données personnelles : des profils comportementaux de vos utilisateurs. Noms, préférences, interactions passées, historique de conversations, intentions inférées — ce ne sont pas des enregistrements abstraits. Ce sont précisément le type de données personnelles définies par le RGPD Art. 4(1) : des informations relatives à une personne physique identifiée ou identifiable.
Lorsque vous intégrez Mem0, Zep ou des services similaires hébergés aux États-Unis dans votre produit, vous dirigez les données comportementales personnelles de vos utilisateurs vers des serveurs soumis à la juridiction américaine. Au titre de Schrems II, ce transfert requiert au minimum :
- (a) Un mécanisme de transfert valide — des Clauses Contractuelles Types (CCT) signées avec le prestataire américain, ou le recours au DPF UE-États-Unis si le prestataire est certifié.
- (b) Des mesures complémentaires — une évaluation documentée prouvant que la législation américaine sur la surveillance (FISA 702, Executive Order 14086) ne remet pas en pratique en cause les protections offertes par les CCT. Il ne s'agit pas d'une case à cocher — cela exige une véritable analyse juridique.
Les autorités européennes de protection des données n'ont pas été passives sur ce sujet. La CNIL (France), le DSB (Autriche) et plusieurs autorités allemandes de protection des données ont rendu des décisions d'application en 2022 et 2023 ciblant spécifiquement les outils d'analytics hébergés aux États-Unis — Google Analytics, Meta Pixel — au motif que les transferts de données sous-jacents n'étaient pas adéquatement protégés après Schrems II. Des amendes et des ordres de cessation de flux de données ont suivi.
Les APIs de mémoire IA constituent la prochaine cible logique. Elles stockent des données personnelles plus riches qu'un pixel d'analytics, les traitent de manières qui influencent directement le comportement des systèmes en contact avec les utilisateurs, et leur marché a significativement augmenté depuis 2023. L'attention réglementaire suivra.
Mem0 et Zep : aucune résidence de données UE publiée. En avril 2026, ni Mem0 ni Zep ne publie de garanties spécifiques de résidence des données UE ni de documentation spécifique Schrems II dans leurs DPA publics. Avant de déployer l'un ou l'autre service avec des données personnelles européennes, vérifiez directement leur posture de conformité actuelle auprès de leurs équipes juridiques.
Le risque concret pour votre stack
Le risque juridique abstrait est facile à écarter. Les trois scénarios suivants décrivent les situations concrètes dans lesquelles l'utilisation d'une API de mémoire IA hébergée aux États-Unis sans conformité Schrems II adéquate crée une exposition juridique directe pour votre entreprise.
- 1. Aucun DPA avec votre fournisseur d'API de mémoire. Le RGPD Art. 28 exige un accord de traitement des données écrit avec chaque sous-traitant qui traite des données personnelles en votre nom. Si votre fournisseur d'API de mémoire est une entreprise américaine traitant des données personnelles européennes et que vous n'avez pas signé de DPA, vous êtes en violation de l'Art. 28 — indépendamment de la question Schrems II. Il s'agit de l'une des violations RGPD les plus courantes et les plus facilement identifiées dans les stacks techniques.
- 2. CCT sans Analyse d'Impact sur le Transfert. Vous pouvez avoir des CCT en place dans le cadre de votre DPA. Mais post-Schrems II, les CCT seules ne sont pas suffisantes pour les transferts vers les États-Unis. Vous devez documenter une Analyse d'Impact sur le Transfert (TIA) qui analyse si la loi américaine remet effectivement en cause les protections contractuelles. Si vous ne pouvez pas produire une TIA lors d'une enquête réglementaire, les CCT peuvent être jugées insuffisantes. Les autorités allemandes et françaises de protection des données appliquent exactement ce standard.
- 3. Demandes d'effacement RGPD Art. 17 que vous ne pouvez pas garantir. Vos utilisateurs peuvent demander la suppression de toutes les données personnelles les concernant. Vous pouvez transmettre cette demande à votre fournisseur d'API de mémoire américain, mais vous ne pouvez pas vérifier ni imposer indépendamment la suppression sur l'infrastructure américaine. Si la suppression par le fournisseur est retardée, incomplète ou non documentée, vous supportez la responsabilité en tant que responsable du traitement. Cela crée une lacune de conformité qu'aucune clause contractuelle ne peut combler entièrement.
Les enjeux financiers sont réels. Le RGPD Art. 83(4) permet aux autorités de contrôle d'imposer des amendes administratives allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les violations de l'Art. 28, et jusqu'à 4 % du chiffre d'affaires annuel mondial pour les violations des dispositions relatives aux transferts internationaux. Pour une startup, une seule action coercitive — même si elle ne se traduit que par une injonction de conformité et une amende modérée — peut être existentielle en termes de coût, de distraction et de dommages à la réputation.
Le DPF 2023 — solution temporaire ?
La Commission européenne a adopté le Data Privacy Framework UE-États-Unis (DPF) le 10 juillet 2023, suite à l'Executive Order 14086 signé par le président Biden en octobre 2022. Le DPF est actuellement valide et permet les transferts de données personnelles vers des entreprises américaines certifiées sans CCT, à condition que le destinataire soit certifié DPF.
Cependant, le DPF est déjà contesté juridiquement. Max Schrems a déclaré publiquement que le DPF ne répond pas de manière adéquate aux problèmes juridiques fondamentaux identifiés dans l'arrêt Schrems II — notamment l'absence de droits de recours effectifs pour les personnes concernées européennes contre la collecte de renseignements américains. Un recours formel est en attente devant la CJUE.
Le schéma historique est instructif : le Safe Harbor (2000) a été invalidé par Schrems I en 2015. Le Privacy Shield (2016) a été invalidé par Schrems II en 2020. Si le DPF suit la même trajectoire — et il y a des raisons structurelles de le croire — toute entreprise dont la conformité aux transferts de données américains repose entièrement sur la certification DPF sera immédiatement non conforme le jour où l'arrêt tombera. Il n'y aura pas de période de grâce.
La posture de conformité prudente n'est pas de construire votre infrastructure IA sur un cadre juridique qui fait l'objet d'un contentieux actif. C'est d'éliminer entièrement le transfert international de données.
Risque Schrems III. Si le DPF est invalidé, les entreprises qui s'appuient sur lui pour les transferts de données d'API IA n'ont pas de solution de repli immédiate. Les CCT réapparaîtraient comme seul mécanisme — mais nécessiteraient à nouveau des TIA et des mesures complémentaires. Il ne s'agit pas d'un état futur théorique : c'est un événement réglementaire prévisible que les équipes juridiques et techniques prudentes anticipent déjà.
La solution EU-native : Kronvex
La façon la plus simple d'éliminer l'exposition à Schrems II est d'éliminer le transfert international de données lui-même. Si votre API de mémoire IA stocke toutes les données exclusivement au sein de l'Union européenne, il n'y a pas de transfert vers un pays tiers au titre du RGPD Art. 44. Aucune CCT n'est requise. Aucune Analyse d'Impact sur le Transfert n'est requise. Aucune certification DPF n'a besoin d'être vérifiée. Aucun risque Schrems III n'existe, car la question de la protection adéquate aux États-Unis ne se pose pas.
Il ne s'agit pas d'un contournement — c'est l'architecture de conformité que le droit européen de protection des données a été conçu pour encourager. Le Chapitre V du RGPD (Art. 44-49) existe précisément parce que les transferts internationaux de données créent des risques que les transferts intra-UE ne créent pas. Choisir une infrastructure EU-native exclut votre stack de tout ce chapitre d'obligations de conformité.
Kronvex stocke toutes les données sur Supabase Francfort (AWS eu-central-1). Chaque mémoire, chaque embedding, chaque enregistrement d'agent vit dans l'UE et n'en sort jamais. Pas de réplication aux États-Unis. Pas de repli vers une infrastructure américaine. La résidence des données est architecturale, pas contractuelle.
- Aucun transfert international. Francfort (eu-central-1) est dans l'UE. Aucune obligation RGPD Art. 44 ne s'applique.
- Aucune CCT requise. Sans transfert, il n'y a rien à protéger contractuellement.
- Aucune TIA requise. Les Analyses d'Impact sur le Transfert ne sont nécessaires que lorsque les CCT sont le mécanisme de transfert.
- Aucune dépendance au DPF. Schrems III ne peut pas vous affecter si vous ne vous êtes jamais appuyé sur le DPF.
- DPA signable au titre du RGPD Art. 28. Un Accord de Traitement des Données complet est disponible pour tous les plans — couvrant vos obligations Art. 28 avec un seul document.
- Droit à l'effacement par conception.
DELETE /api/v1/agents/{id}/memories/user/{user_id}supprime définitivement toutes les données d'un utilisateur. Pas de transfert américain, pas de lacune de vérification.
C'est la différence entre « conforme avec des contournements » et « conforme par architecture ».
Kronvex vs APIs hébergées aux États-Unis sur Schrems II
Une comparaison directe de la posture de conformité entre Kronvex et les APIs de mémoire IA hébergées aux États-Unis comme Mem0 ou Zep.
| Critère | Kronvex | APIs US (Mem0, Zep…) |
|---|---|---|
| Hébergement données | Francfort, UE (eu-central-1) | Serveurs américains |
| Transfert UE→US requis | Non | Oui (CCT ou DPF requis) |
| Risque Schrems III | Aucun | Élevé (si DPF invalidé) |
| DPA inclus | Oui — tous les plans | À vérifier selon le fournisseur |
| Conformité Schrems II | Par architecture | Requiert un travail juridique |
| Analyse d'Impact Transfert (TIA) requise | Non | Oui (si CCT utilisées) |
Questions fréquentes
Oui, dans la grande majorité des cas. Un embedding vectoriel généré à partir des messages d'un utilisateur identifiable constitue une donnée personnelle au sens du RGPD Art. 4(1). Il ne s'agit pas d'une anonymisation : la représentation vectorielle est réversible par corrélation et conserve les caractéristiques comportementales de la personne concernée. Les autorités de protection des données européennes ont une interprétation extensive de la notion de donnée personnelle. Par précaution, tout embedding dérivé d'interactions utilisateur doit être traité comme une donnée personnelle.
Temporairement, oui. Le Data Privacy Framework (DPF), adopté en juillet 2023, permet des transferts vers des entreprises américaines certifiées sans nécessiter de CCT ni de TIA. Mais Max Schrems a déjà introduit un recours formel devant la CJUE. Si le DPF est invalidé — comme l'ont été le Safe Harbor (Schrems I, 2015) et le Privacy Shield (Schrems II, 2020) — toute dépendance au DPF s'effondre immédiatement et sans période de grâce. Les CCT redeviendraient le seul mécanisme disponible, mais nécessiteraient à leur tour des TIA et des mesures complémentaires. La posture prudente est de ne pas construire votre infrastructure IA sur un cadre juridique sous contentieux actif.
Le RGPD Art. 83(4) prévoit des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les violations de l'Art. 28 (DPA manquant ou inadéquat). Les violations des règles de transfert international (Art. 44-49) sont sanctionnées jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Au-delà des amendes, les autorités de contrôle peuvent émettre des ordres de cessation de flux de données — ce qui peut être opérationnellement paralysant. La CNIL française, le DSB autrichien et plusieurs LfDI allemands ont déjà appliqué ces sanctions à des entreprises utilisant des outils américains mal conformes.
Choisir une mémoire IA 100 % européenne
Pas de CCT. Pas de TIA. Pas d'exposition à Schrems III. Kronvex stocke tout à Francfort — et le DPA est inclus dans chaque plan.