Transparence juridique et organisationnelle

La transparence juridique et organisationnelle est le premier niveau d'évaluation parce qu'elle prédétermine tous les autres. Qui contrôle le fournisseur et à quelle juridiction il est soumis détermine quels leviers opérationnels peuvent être pilotés par le client — indépendamment de la maturité technique.

Propriété, rapports de contrôle et portée juridique extraterritoriale déterminent si un service reste pilotable en cas de crise. Ces questions ne sont pas d'abord techniques — elles sont juridico-structurelles et conditionnent la solidité de tout autre contrôle de sécurité.

D1 est donc un préalable impératif à toute évaluation pertinente de D2 à D4. Sans structure documentée de propriété et de juridiction, toute affirmation sur le contrôle des données, la capacité de bascule ou la chaîne d'approvisionnement est spéculative.

• Structure de propriété et bénéficiaire effectif ultime

  Chaîne sans rupture du fournisseur opérationnel jusqu'à la personne physique ou au propriétaire public. Participations silencieuses, constructions fiduciaires et holdings à plusieurs étages doivent être divulguées.

• Juridiction et obligations extraterritoriales

  Siège juridique, appartenance de groupe et applicabilité de lois étrangères (notamment US CLOUD Act, FISA 702, droit chinois de la cybersécurité) doivent être nommés et leurs effets décrits.

• Chaîne de sous-traitants

  Chaîne complète de tous les sous-traitants avec rôle, localisation et juridiction. Les sous-traitances silencieuses sont interdites.

• Structure de gouvernance et d'escalade

  Chemins de décision au sein du fournisseur, escalade vers la maison-mère comprise. Qui décide en cas de crise sur la remise de données, l'arrêt du service ou la rupture de contrat ?

• Règles contractuelles d'accès aux données

  Règles contractuellement fixées sur l'accès par le fournisseur, par les sous-traitants et par les autorités étatiques — y compris obligations de notification et contestabilité judiciaire.

• Rapports de contrôle dans la maison-mère

  Droits de vote, droits de veto et droits d'instruction de groupe, dans la mesure où ils peuvent surplomber les décisions opérationnelles du fournisseur.

1. Qui est le bénéficiaire effectif ultime du fournisseur et de sa maison-mère ?
2. À quelle juridiction le fournisseur est-il soumis — et quelles lois extraterritoriales sont applicables ?
3. Existe-t-il, pour chaque sous-traitant, un accord de traitement documenté précisant la localisation ?
4. Quels chemins d'escalade contractuels existent en cas de demande d'accès par une autorité de pays tiers ?
5. Existe-t-il un engagement écrit à notifier le client avant de répondre aux demandes d'autorités extra-européennes ?
6. Quels droits de vote, de veto ou d'instruction la maison-mère détient-elle sur le fournisseur opérationnel ?
7. Quelles règles internes existent en cas de conflit entre droit UE et droit de pays tiers ?
8. Quelles personnes, dans quelle juridiction, sont habilitées à arrêter ou transférer le service ?

• Extraits certifiés des registres du commerce et de transparence (fournisseur et tous les niveaux pertinents du groupe)
• Clauses contractuelles d'accès et d'escalade dans leur version originale
• Accords de traitement avec tous les sous-traitants
• Avis écrits sur la portée juridique extraterritoriale (p. ex. évaluation CLOUD Act)
• Documentation de gouvernance, règlement intérieur, politiques de groupe sur la remise de données

• Sous-traitants dans des pays tiers sans accord de traitement documenté
• Maison-mère avec droit d'instruction contraignant qui prive de facto le siège UE du fournisseur opérationnel de son effet
• Clauses contractuelles « best effort » au lieu d'une obligation contraignante de notification pour les demandes de pays tiers
• Chaîne de propriété s'arrêtant à une holding sans bénéficiaire effectif divulgué

• Vue d'ensemble des quatre domaines
• Principe d'agrégation
• Système de niveaux L0–L3
• Relation avec d'autres standards