DeepL passe sur AWS : ce que ça change vraiment pour votre conformité

L'ex-champion européen de la confidentialité ajoute AWS comme sous-traitant : traitement « globally by default », CLOUD Act applicable. Pas un scandale — une leçon de méthode. La souveraineté d'un système IA est un flux à gouverner, pas un drapeau acquis une fois.

Laurent SOUHY's profile

Rédigé par Laurent SOUHY

7 min de lecture
DeepL passe sur AWS : ce que ça change vraiment pour votre conformité

Pendant des années, DeepL a vendu un argument simple et fort : vos textes restent en Europe. Serveurs en Allemagne, en Islande, une réputation de service de traduction respectueux de la confidentialité — c'était son avantage face à Google Translate ou aux outils de Microsoft. Beaucoup de cabinets, d'agences et de TPE l'ont choisi précisément pour cette raison.

Ce socle vient de bouger. DeepL ajoute Amazon Web Services à sa chaîne de sous-traitants, et la formulation officielle de la nouvelle infrastructure ne laisse pas de place au doute : le contenu client sera désormais traité « globally across AWS regions by default ». Autrement dit, le déterminisme de la localisation — la garantie que le traitement reste en Europe — n'est plus acquis par défaut.

Cet article n'est pas un appel à fuir DeepL. C'est une analyse de méthode, parce que ce cas est un cas d'école : il montre, sur un acteur que tout le monde croyait « souverain », que la souveraineté d'un système IA n'est pas une case qu'on coche une fois, c'est un flux qu'on surveille en continu.

Les faits, sobrement

Voici ce qui est public et sourcé. Comme pour tout sujet d'actualité, vérifiez la fraîcheur de ces éléments avant d'en tirer une décision : les conditions des grands fournisseurs évoluent vite, et un détail peut bouger entre la rédaction et votre lecture.

  1. DeepL ajoute AWS comme sous-traitant (sub-processor). L'infrastructure devient hybride : datacenters DeepL en Europe plus AWS.
  2. Le changement s'applique aux nouveaux contrats et renouvellements à partir du 1ᵉʳ janvier 2026, les clients existants étant informés d'une mise à jour des conditions pendant la période de transition.
  3. La formulation officielle — « customer content data will be processed globally across AWS regions by default » — est le cœur du sujet : le traitement n'est plus garanti EU-only par construction.
  4. AWS est une société de droit américain. À ce titre, le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) permet aux autorités américaines, sous ordonnance judiciaire, d'exiger d'une société américaine des données qu'elle détient — y compris stockées hors des États-Unis.
  5. Les clients qui refusent ce changement peuvent en général continuer jusqu'à la fin de leur période contractuelle en cours, puis doivent migrer.

La nuance que presque personne ne fait — et qui fait toute la crédibilité

C'est ici que se joue la différence entre un post anxiogène et une analyse qu'un DPO peut lire sans tiquer.

AWS est sous-traitant. DeepL reste responsable de traitement. Il ne s'agit ni d'un rachat, ni d'une « américanisation » de DeepL, ni d'un transfert de propriété. Écrire « DeepL est devenu américain » ou « vos données sont maintenant aux États-Unis » est factuellement faux, et un juriste le relève en trois secondes. À ce moment-là, vous avez perdu toute crédibilité.

Le vrai sujet est plus précis, et plus intéressant :

  • L'exposition juridique change. En insérant un sous-traitant de droit américain dans la chaîne, on rend le CLOUD Act applicable à une partie du traitement. Ce n'était pas le cas avec une infrastructure EU-only. Cela ne veut pas dire qu'une réquisition aura lieu — le CLOUD Act exige une ordonnance judiciaire spécifique et ne s'active pas massivement sur chaque client. Mais la possibilité existe désormais, et c'est exactement ce qu'un Transfer Impact Assessment doit documenter.
  • Le déterminisme de la localisation disparaît. « Traité globalement par défaut » signifie que vous ne pouvez plus affirmer simplement « mes traductions restent en Europe ». Il faut désormais vérifier la configuration, les options de région, et ce que le contrat garantit réellement.

Pour le fond juridique de cette distinction entre localisation physique et juridiction applicable, nous l'avons traité en détail dans « Data residency à Frankfurt ≠ souveraineté » : le principe est exactement le même ici, appliqué à un sous-traitant plutôt qu'à un hébergeur direct.

La vraie leçon : la souveraineté est un flux, pas un drapeau

Le cas DeepL est précieux parce qu'il démolit une croyance confortable : « j'ai choisi un fournisseur européen réputé pour sa confidentialité, donc le sujet souveraineté est réglé. »

Il ne l'est jamais. Un fournisseur dont la confidentialité était l'argument numéro un peut, du jour au lendemain et pour des raisons parfaitement légitimes de scalabilité, modifier sa chaîne de sous-traitance. Votre conformité d'hier ne dit rien de votre conformité d'aujourd'hui. Ce n'est pas une trahison de DeepL — c'est la nature même d'un système IA moderne : il change tout le temps. Vous ajoutez un outil, un fournisseur met à jour son modèle, un sous-traitant entre dans la chaîne, une réglementation se précise.

C'est la différence, que nous défendons dans toute notre doctrine, entre sécuriser un actif et gouverner un flux. Un drapeau EU sur une page d'accueil est un instantané. La souveraineté réelle est un mouvement continu qu'on surveille. (Nous développons cette idée de chaîne de maillons gouvernée dans la durée dans « La chaîne de souveraineté IA ».)

Comment évaluer un outil comme DeepL — sans paniquer

Plutôt que de réagir émotionnellement à l'annonce, voici la grille de lecture que nous appliquons à n'importe quel SaaS ou modèle IA tiers. Elle vaut pour DeepL aujourd'hui, et pour le prochain fournisseur qui changera ses conditions demain.

DimensionLa question à poserCe que ça change
Résidence réelle du traitementOù le calcul a-t-il effectivement lieu — pas où est le siège social ?« Traité globalement par défaut » ≠ « hébergé en Europe ». Vérifier les options de région disponibles.
Chaîne de sous-traitantsQuels sous-processeurs interviennent, et sous quelle juridiction ?Un sous-traitant US fait entrer le CLOUD Act dans l'équation, même si le responsable de traitement est européen.
Juridiction applicableQuelle loi s'impose au sous-traitant ?Détermine les obligations légales réelles, indépendamment de la géographie des serveurs.
DPA et clausesLe contrat de sous-traitance (Art. 28 RGPD) est-il signé, avec les Clauses Contractuelles Types ? Une clause de portabilité (Data Act) permet-elle de partir ?Sans DPA à jour ni TIA, le risque résiduel n'est pas documenté — c'est le défaut que la CNIL relève.
Observabilité du changementComment serez-vous prévenu la prochaine fois que la chaîne change ?C'est le point aveugle de presque tous les déploiements : le changement passe inaperçu jusqu'à l'audit.

La dernière ligne est la plus importante, et c'est précisément le problème que DeepL illustre : le changement est arrivé sans que la plupart des utilisateurs s'en rendent compte. Combien de personnes qui utilisent DeepL au travail savent, aujourd'hui, que la chaîne de traitement a bougé ? Très peu. C'est exactement ce qu'une observabilité continue est censée détecter — un sous-traitant qui entre dans la chaîne, une condition contractuelle qui se modifie, une option de région qui change de valeur par défaut.

Où se situe EuTrustedIA dans cette histoire

Soyons nets sur notre rôle, comme toujours. Nous ne vous dirons jamais « n'utilisez pas DeepL ». EuTrustedIA ne prescrit pas l'outil — il donne la grille de lecture pour décider en connaissance de cause.

Concrètement, un outil comme DeepL est exactement le type d'entité que POSITRONIA sait cartographier et scorer : un nœud de votre système IA, évalué sur sa résidence de traitement réelle, sa chaîne de sous-traitants, sa juridiction et la présence d'un DPA. Et la bascule DeepL → AWS est le cas-démo parfait de POSITRONIA-Observe, notre brique d'observabilité runtime (Phase B / en construction) : sa raison d'être est précisément de détecter « ça a changé sans que je le sache ».

Nous documentons, nous scorons, nous observons. Nous ne décidons pas à votre place, et nous ne certifions pas votre conformité au sens du RGPD ou de l'AI Act — un DPO ou un avocat revoit et signe. Pour ce maillon-là, l'Annuaire EuTrustedIA vous oriente vers des experts vérifiés.

Par où commencer

Si vous utilisez DeepL — ou n'importe quel outil de traduction, de rédaction ou d'analyse IA — dans un cadre professionnel avec des données clients, la première étape n'est pas de tout changer. C'est de savoir ce que contient votre système IA et qui en répond : quels outils, quelle résidence de traitement, quelle chaîne de sous-traitance, quel DPA.

Pour cartographier et scorer vos outils IA sans jamais exposer la moindre donnée sensible, découvrez POSITRONIA-CORE. Et la prochaine fois qu'un fournisseur changera discrètement sa chaîne de traitement, l'idée est simple : que vous l'appreniez par votre tableau de bord, pas par un article de blog.

La souveraineté IA ne se gagne pas en choisissant le bon drapeau une fois pour toutes. Elle se gouverne — en continu, à chaque maillon, à chaque changement.


Cet article s'appuie sur des sources publiques : communications officielles de DeepL relatives à l'évolution de son infrastructure de données, position publiée d'AWS sur le CLOUD Act, CLOUD Act (Public Law 115-141, 2018), Règlement (UE) 2016/679 (RGPD, notamment Art. 28 et 44-49), arrêt CJUE Schrems II (C-311/18, juillet 2020). Les faits relatifs à un fournisseur tiers évoluent rapidement : vérifiez leur fraîcheur à la source avant toute décision. Les analyses constituent une mise en perspective à usage pédagogique — elles ne remplacent pas l'avis d'un avocat ou d'un DPO qualifié. Pour un dossier de conformité opposable, consultez un expert référencé dans l'Annuaire EuTrustedIA.

DeepL® est une marque déposée de DeepL SE (Allemagne). AWS® est une marque déposée d'Amazon.com, Inc. (US). EuTrustedIA reconnaît la valeur de ces acteurs et ne prétend à aucune affiliation. DeepL demeure responsable de traitement ; AWS intervient en qualité de sous-traitant.

Rédaction aidée par IA Claude Opus 4.8 (Anthropic) — marquage AI Act Art. 50.2 anticipé. Production éditoriale et validation factuelle 100 % humaines, Laurent SOUHY, EuTrustedIA.

Partager: