Vous avez choisi un centre de données basé en Europe pour votre API de cartographie. Les serveurs sont à Francfort. Le contrat indique « résidence des données en UE ». Vous fermez la liste de vérification de conformité RGPD, convaincu d'être couvert.
Vous n'êtes pas couvert.
C'est la lacune de conformité qui surprend les développeurs et les CTO européens chaque année, et elle est devenue plus conséquente depuis que l'arrêt Schrems II a invalidé le Privacy Shield et placé les flux de données transatlantiques sous un contrôle accru. Si votre API de cartographie est fournie par une entreprise américaine, quels que soient l'emplacement de ses serveurs, les données de localisation de vos utilisateurs peuvent être accessibles au gouvernement américain en vertu du CLOUD Act. Au regard du RGPD, c'est une violation potentielle. Dans un audit DPA, c'est une constatation.
Ce guide explique les exigences RGPD réelles pour l'utilisation des API de cartographie, pourquoi la résidence des données seule ne suffit pas, ce que le risque CLOUD Act signifie en pratique, et comment évaluer tout fournisseur d'API de cartographie selon une liste de vérification de conformité rigoureuse. C'est le guide que les sociétés de cartographie basées aux États-Unis ne peuvent pas rédiger de manière crédible, car elles ne passeraient pas leur propre liste de vérification.
Pourquoi les données de localisation requièrent une attention RGPD sérieuse
Les données de localisation se situent à l'intersection des données personnelles et des données sensibles au regard du RGPD, selon le contexte. L'article 4(1) définit les données personnelles comme toute information relative à une personne physique identifiée ou identifiable. Une adresse IP, que chaque requête de tuile de carte envoie au fournisseur d'API, est une donnée personnelle. Une requête de geocodage contenant une adresse personnelle est une donnée personnelle. Les coordonnées GPS, si elles sont collectées, peuvent être utilisées pour déduire l'adresse du domicile, le lieu de travail, la pratique religieuse, les rendez-vous médicaux et l'activité politique, ce qui les qualifie potentiellement de données sensibles au sens de l'article 9.
Lorsque votre application web ou mobile charge une carte, effectue une recherche de geocodage ou calcule un itinéraire, elle envoie ces points de données à votre fournisseur d'API de cartographie. Vos utilisateurs n'ont pas consenti à partager leur localisation avec une entreprise de San Francisco. Ils ont consenti à utiliser votre produit. Vous, en tant que responsable du traitement, êtes responsable de vous assurer que chaque sous-traitant gérant ces données respecte les exigences RGPD.
Si votre fournisseur d'API de cartographie échoue au test de conformité, vous échouez aussi.
Le problème du CLOUD Act : pourquoi les fournisseurs américains ne peuvent pas prétendre à une conformité RGPD totale
Le Clarifying Lawful Overseas Use of Data (CLOUD) Act, adopté par le Congrès américain en 2018, oblige les entreprises technologiques américaines à se conformer aux ordonnances légales du gouvernement américain de produire des données, quel que soit l'endroit où ces données sont physiquement stockées. Une entreprise américaine avec un serveur à Francfort reste une entreprise américaine. Si un tribunal américain ou une agence fédérale émet une demande valide au titre du CLOUD Act, l'entreprise doit s'y conformer.
Cela crée un conflit direct avec le RGPD. L'article 48 du RGPD interdit le transfert de données personnelles à des autorités ou tribunaux étrangers sans une base légale appropriée en droit européen. Le Comité européen de la protection des données a été explicite : se conformer à une demande du CLOUD Act, sans base légale valide dans l'UE, constituerait une violation du RGPD.
Les conséquences pratiques pour les développeurs européens sont claires :
- Google Maps Platform, exploité par Google LLC (une entreprise américaine), est soumis aux obligations du CLOUD Act même lorsqu'il traite des requêtes via des centres de données européens.
- Mapbox, constituée aux États-Unis, fait face à la même exposition structurelle.
- Aucun langage contractuel ni aucune clause contractuelle type de l'UE ne modifie la juridiction légale sous-jacente de l'entreprise fournissant le service.
Cela ne signifie pas que ces entreprises partagent imprudemment vos données. En pratique, les demandes au titre du CLOUD Act ciblent des cas d'application de la loi, pas les données commerciales courantes. Mais l'exposition juridique existe, et un audit DPA sérieux l'identifiera. Les secteurs réglementés, santé, finance, services juridiques, ne peuvent pas accepter cette exposition du tout.
Résidence des données vs. souveraineté des données : comprendre la différence
Ces termes sont souvent utilisés de manière interchangeable dans les conversations commerciales, mais ils signifient des choses différentes :
La résidence des données signifie que vos données sont stockées dans un emplacement géographique spécifique. Un fournisseur américain proposant la « résidence des données en UE » stocke les données sur des serveurs en Irlande ou en Allemagne. L'emplacement physique est en Europe. La juridiction légale ne l'est pas.
La souveraineté des données signifie que vos données sont soumises aux lois d'une juridiction spécifique. Pour que les données européennes soient véritablement souveraines, elles doivent être contrôlées par une entité soumise au droit européen, pas seulement stockées sur le sol européen par une société mère américaine.
La véritable conformité RGPD pour les API de cartographie requiert la souveraineté des données, pas seulement la résidence des données. La distinction compte le plus quand :
- Votre application traite des données pour des patients de soins de santé, des utilisateurs de services financiers ou d'autres catégories réglementées
- Vous opérez dans un secteur soumis à des audits DPA formels (banque, assurance, secteur public)
- Votre CISO ou équipe juridique examine les accords de sous-traitants avec un vrai regard critique
- Vous faites face à une demande d'accès d'une personne concernée ou à une obligation de notification de violation
Pour la plupart des applications grand public, le risque pratique d'une demande au titre du CLOUD Act est faible. Mais la conformité n'est pas un calcul de probabilité. Soit vous êtes conforme, soit vous ne l'êtes pas.
La liste de vérification RGPD pratique pour évaluer les fournisseurs d'API de cartographie
Utilisez cette liste de vérification lors de l'évaluation de tout fournisseur d'API de cartographie pour la conformité RGPD :
Entité juridique et juridiction
- Le fournisseur d'API est-il constitué en entité juridique dans l'UE ou l'EEE ?
- La société mère (le cas échéant) est-elle également dans la juridiction UE, sans société mère constituée aux États-Unis ?
- Le fournisseur confirme-t-il explicitement l'absence d'exposition au CLOUD Act dans son DPA ?
Accord de traitement des données
- Le fournisseur propose-t-il un DPA complet faisant référence à des articles RGPD spécifiques ?
- Le DPA identifie-t-il les catégories de données personnelles traitées (adresses IP, chaînes de requête, coordonnées) ?
- Le DPA précise-t-il les périodes de conservation des données et les obligations de suppression ?
- Les sous-traitants sont-ils répertoriés, et sont-ils également des entités de juridiction européenne ?
- Le DPA aborde-t-il les délais de notification de violation (le RGPD exige 72 heures) ?
Stockage et traitement des données
- Toutes les données sont-elles stockées et traitées dans l'UE, avec aucun transfert vers des pays tiers documenté ?
- Le transfert de données entre services (CDN, analytique, outils de support) est-il documenté et conforme au RGPD ?
- Le fournisseur propose-t-il une sélection de résidence des données au niveau du compte ?
Certifications de sécurité
- Le fournisseur est-il certifié ISO 27001 (la norme internationale pour la gestion de la sécurité de l'information) ?
- Le fournisseur effectue-t-il régulièrement des audits de sécurité par des tiers ?
- Existe-t-il un processus documenté de divulgation des vulnérabilités et de gestion des correctifs ?
Droits et contrôle des utilisateurs
- Pouvez-vous configurer l'API pour minimiser la collecte de données (ex. IP anonymisée, pas de suivi analytique) ?
- Le fournisseur prend-il en charge les demandes d'accès et de suppression des personnes concernées ?
- Existe-t-il des processus documentés pour répondre aux demandes de renseignements réglementaires des autorités de protection des données européennes ?
MapAtlas : conçu pour la souveraineté des données européennes dès le premier jour
MapAtlas est une plateforme européenne d'API de cartographie, exploitée par MapMetrics, une entreprise constituée dans l'UE. Notre infrastructure fonctionne dans la juridiction européenne sans société mère américaine et sans exposition au CLOUD Act. La certification ISO 27001 est en place, et notre DPA documente des catégories de données spécifiques, des politiques de conservation et des engagements envers les sous-traitants.
Ce n'est pas une entreprise américaine qui a ajouté des options de centres de données européens. C'est une entreprise européenne où la conformité européenne est l'architecture par défaut, pas un supplément.
Notre API de visualisation et de style de carte traite les requêtes de tuiles via l'infrastructure européenne. Les requêtes de geocodage, les calculs d'itinéraires et chaque autre appel API restent dans la juridiction européenne depuis le moment où ils quittent votre application. Le DPA le reflète : ce n'est pas un texte standard adapté d'un modèle juridique américain.
Pour les développeurs créant des applications dans des secteurs réglementés, ou pour toute entreprise européenne souhaitant une conformité réelle plutôt que formelle, cette distinction est substantielle.
Comparaison des fournisseurs d'API de cartographie sur la conformité RGPD
| Critère | Google Maps | Mapbox | MapAtlas |
|---|---|---|---|
| Entité juridique UE | Non (Google LLC) | Non (société US) | Oui |
| Exposition au CLOUD Act | Oui | Oui | Non |
| Traitement des données en UE | Partiel | Partiel | Complet |
| ISO 27001 | Oui | Oui | Oui |
| Qualité du DPA | Complet | Complet | Complet |
| Minimisation des données par défaut | Limitée | Limitée | Configurable |
Pour une comparaison complète des prix et des fonctionnalités, consultez nos analyses de MapAtlas vs. Google Maps et de Mapbox vs. MapAtlas. Si le coût est également une préoccupation, consultez les tarifs de l'API Google Maps en 2026 : l'écart de conformité s'ajoute à des différences de prix significatives.
Étapes pratiques pour les développeurs européens maintenant
Si vous utilisez actuellement un fournisseur d'API de cartographie américain et ne pouvez pas changer immédiatement, voici des mesures provisoires pour réduire votre exposition :
1. Anonymisez les adresses IP avant qu'elles quittent votre serveur d'origine. Certaines API de cartographie vous permettent de transmettre des requêtes via votre propre serveur, en supprimant ou en hachant les adresses IP avant qu'elles n'atteignent l'API tierce. Cela ne résout pas entièrement le problème du CLOUD Act, mais réduit la surface des données personnelles.
2. Auditez ce que votre API de cartographie collecte réellement. Lisez attentivement la politique de confidentialité et le DPA du fournisseur. Identifiez chaque catégorie de données personnelles qu'ils reçoivent de vos utilisateurs. Documentez-le dans votre propre registre de cartographie des données.
3. Mettez à jour votre avis de confidentialité. Votre avis de confidentialité doit divulguer les sous-traitants qui reçoivent des données personnelles. Si vous utilisez Google Maps, Google LLC est un sous-traitant. Vos utilisateurs ont le droit de le savoir.
4. Évaluez le niveau de risque de votre cas d'usage. Un site web marketing affichant une carte de localisation de bureau statique a un profil de risque très différent d'une application de santé guidant les patients vers des cliniques. Calibrez votre urgence en conséquence.
5. Évaluez les coûts de migration de manière réaliste. Changer d'API de cartographie est une tâche technique, pas un projet transformant l'entreprise. La plupart des migrations se complètent en un ou deux sprints. Notre page de tarification présente la comparaison des coûts, et notre documentation couvre le chemin de migration technique depuis Google Maps et Mapbox.
Le cadre européen de protection des données est le plus complet au monde, et il est activement appliqué : 1,3 milliard d'euros d'amendes RGPD ont été infligés rien qu'en 2023. Les données de localisation sont des données personnelles. Les API de cartographie traitent des données de localisation. La chaîne de conformité va directement de vos utilisateurs à votre fournisseur d'API. Vérifiez chaque maillon de cette chaîne. Et si un maillon ne peut pas passer la liste de vérification ci-dessus, remplacez-le par un qui le peut.
Questions fréquemment posées
Le stockage de données sur des serveurs européens rend-il une API de cartographie américaine conforme au RGPD ?
Pas nécessairement. Les entreprises américaines exploitant des centres de données en Europe restent soumises au CLOUD Act, qui leur impose de remettre des données stockées partout dans le monde si un tribunal ou un organisme gouvernemental américain le demande. Une véritable conformité RGPD requiert une entité juridique européenne, un stockage de données dans la juridiction UE et aucune exposition au CLOUD Act : pas seulement un emplacement de serveur en Europe.
Que dois-je rechercher dans une API de cartographie conforme au RGPD ?
Vérifiez que le fournisseur est une entité juridique constituée dans l'UE ou l'EEE, que les données sont stockées et traitées dans la juridiction UE sans transferts vers des pays tiers, que le fournisseur est certifié ISO 27001, que son DPA (accord de traitement des données) est détaillé et fait référence à des articles RGPD spécifiques, et qu'il n'a pas de relations avec des sociétés mères créant une exposition au CLOUD Act.
Quelles données de localisation une API de cartographie collecte-t-elle généralement auprès des utilisateurs finaux ?
Les API de cartographie peuvent collecter des adresses IP (utilisées pour le routage des requêtes de tuiles), des identifiants d'appareils, des chaînes de requête de recherche (requêtes de geocodage) et, si l'utilisateur l'autorise, des coordonnées GPS. Chacun de ces éléments constitue des données personnelles au sens du RGPD. Votre DPA avec le fournisseur d'API doit préciser comment ces données sont traitées, conservées et protégées.
