Analyse d'impact des transferts (TIA) — Mistral AI
Conformément à l'arrêt CJUE C-311/18 du 16 juillet 2020 (Schrems II) et aux recommandations EDPB 01/2020 — Version 1.0 — 24 avril 2026
Résumé exécutif
Mistral AI SAS est une société de droit français, établie à Paris, qui traite les requêtes IA de Garante sur des serveurs localisés en France. Aucun transfert de données hors Union européenne n'est identifié à date. Les garanties techniques (Zero Data Retention, pseudonymisation des données personnelles avant envoi du prompt, audit log) et contractuelles (DPA Mistral, CGU) offrent un niveau de protection essentiellement équivalentà celui garanti par le RGPD au sens de l'arrêt Schrems II. Le recours à Mistral AI est en conséquence considéré comme conforme.
1. Identification du traitement et des parties
| Exportateur de données | Ahmed Bellafkih, exerçant sous le nom commercial Garante — SIREN 988 920 617 — 50 avenue des Champs-Élysées, 75008 Paris, France |
| Importateur de données | Mistral AI SAS — SIREN 952 418 325 — Paris, France — contact privacy@mistral.ai |
| Rôle RGPD de l'importateur | Sous-traitant ultérieur (Art. 28.2 RGPD) |
| Finalité | Assistance à la rédaction des réponses DSAR, analyse de DPA, suggestion de fiches de registre, génération d'analyses AIPD — aide à la décision humaine uniquement (pas de décision automatisée au sens de l'Art. 22 RGPD) |
| Modèle utilisé | mistral-large-latest |
| Catégories de données transmises | Contenu de prompt (description du traitement, contexte DSAR, extraits de DPA) avec PII pseudonymisées à la source (emails, téléphones, IBAN, numéros de carte bancaire remplacés par des tokens [EMAIL_1], [PHONE_1]…) |
| Catégories de personnes concernées | Demandeurs DSAR et personnes mentionnées dans les DSAR (clients finaux des clients Garante), utilisateurs des cabinets DPO |
| Données sensibles (Art. 9 / 10 RGPD) | Filtrées en amont — le prompt système interdit explicitement la transmission de données de santé, biométriques, de condamnations et autres catégories particulières |
2. Qualification juridique du transfert
Selon l'EDPB (Guidelines 05/2021), il y a « transfert » au sens du chapitre V RGPD lorsque deux conditions cumulatives sont remplies :
- l'exportateur rend les données personnelles accessibles à un destinataire ;
- ce destinataire est situé dans un pays tiers ou est une organisation internationale.
Dans le cas du recours de Garante à Mistral AI SAS :
- Siège social de Mistral AI : Paris, France (Union européenne)
- Localisation effective du traitement : infrastructures Mistral en France — données traitées sur le territoire de l'Union
- Sous-traitants de Mistral :selon le DPA Mistral en vigueur, les sous-traitants de Mistral AI sont établis dans l'Union européenne ou dans des pays bénéficiant d'une décision d'adéquation. Ce point fait l'objet d'un suivi annuel via la page Trust de Mistral.
Conclusion :aucun transfert de données à caractère personnel hors Union européenne n'est identifié à date. Le recours à Mistral AI ne relève pas du chapitre V RGPD. La présente analyse est néanmoins réalisée à titre de précaution, en raison des risques extraterritoriaux résiduels décrits à la section 3.
3. Risques résiduels d'accès par une autorité non-européenne
3.1 Cloud Act américain
Le Clarifying Lawful Overseas Use of Data Act(Cloud Act, 2018) autorise les autorités fédérales américaines à exiger la production de données détenues par un opérateur soumis à la juridiction des États-Unis, y compris lorsque les données sont stockées à l'étranger.
Application à Mistral AI :Mistral AI est une SAS de droit français, sans établissement principal aux États-Unis, non cotée sur un marché américain. Sa soumission directe au Cloud Act n'est pas établie. Des investisseurs minoritaires américains (a16z, NVIDIA, Salesforce Ventures, Microsoft) figurent à son capital depuis 2023-2024, mais cette participation ne confère pas de contrôle et n'emporte pas, à la connaissance des parties, de juridiction Cloud Act. Le risque est qualifié de faible mais non nul.
3.2 FISA 702 et EO 12333
Le Foreign Intelligence Surveillance ActSection 702 et l'Executive Order 12333ciblent la surveillance électronique effectuée par les agences de renseignement américaines sur des personnes non-américaines. Ils s'appliquent aux electronic communication service providers sous juridiction US.
Application à Mistral AI :Mistral AI n'est pas un ECSP au sens de la loi américaine et n'opère pas d'infrastructure aux États-Unis. L'exposition directe au FISA 702 est considérée comme inapplicable en l'état.
3.3 Autres juridictions tierces
Aucun transfert vers la Chine, la Russie, l'Inde ou tout autre pays tiers n'est identifié. La clause de revue annuelle (section 6) garantit la détection d'un éventuel changement du parcours des données.
4. Mesures techniques supplémentaires
| Pseudonymisation avant prompt | Le pipeline IA de Garante pseudonymise les PII (email, téléphone, IBAN, carte bancaire) avant transmission du prompt à Mistral. La dé-pseudonymisation s'effectue localement chez Garante après réception de la réponse. Référence d'implémentation : backend/src/services/ai.ts — fonction anonymizePII. |
| Zero Data Retention (ZDR) | L'option ZDR est activée auprès de Mistral AI : les prompts et les complétions ne sont pas conservés côté Mistral après traitement et ne sont pas utilisés pour l'entraînement des modèles. |
| Chiffrement en transit | TLS 1.2+ avec AEAD entre Garante et l'API Mistral (endpoint api.mistral.ai) |
| Minimisation du prompt | Le prompt système instruit explicitement l'exclusion des données de catégorie particulière (Art. 9 RGPD) et des données d'infractions (Art. 10 RGPD). Contexte minimal nécessaire à la tâche uniquement. |
| Audit et traçabilité | Chaque appel est journalisé dans la table ai_audit_log : fonction appelée, taille du prompt, latence, tokens consommés, succès/échec. Le contenu du prompt est enregistré masqué. |
| Revue humaine obligatoire | Aucune décision automatisée : toute sortie de Mistral passe par une revue DPO avant envoi au demandeur (workflow de validation à 4 yeux optionnel, Art. 22 RGPD). |
5. Mesures contractuelles et organisationnelles
- Contrat de sous-traitance (DPA)signé avec Mistral AI incluant les engagements de l'Art. 28 RGPD
- Obligation de notificationde toute demande d'accès reçue par Mistral de la part d'une autorité, sauf interdiction légale
- Droit de contestationen justice de toute injonction d'une autorité jugée non conforme au droit de l'Union
- Clause de suspension — Garante peut suspendre le recours à Mistral AI à tout moment en cas de changement de circonstances, sans recours tiers
- Information transparente des clients Garante (cabinets DPO) sur le recours à Mistral via /legal/subprocessors et la politique de confidentialité
- Revue annuelledu présent TIA ou à chaque changement matériel (nouvelle levée impliquant un actionnaire majoritaire non-UE, changement d'infrastructure, jurisprudence nouvelle)
6. Mise en balance et conclusion
| Transfert hors UE identifié | Non |
| Risque résiduel d'accès extraterritorial | Faible |
| Garanties techniques supplémentaires | Pseudonymisation, ZDR, TLS, audit, revue humaine |
| Garanties contractuelles | DPA, clause de notification, droit de contestation, suspension |
| Niveau de protection atteint | Essentiellement équivalent au RGPD (critère Schrems II — CJUE C-311/18 §96) |
| Décision | Recours à Mistral AI autorisé |
7. Événements déclencheurs de révision
Le présent TIA est révisé annuellement et à la survenance de l'un des événements suivants :
- Changement de contrôle capitalistique de Mistral AI vers un actionnaire majoritaire soumis à une juridiction tierce
- Modification de l'architecture technique (déplacement d'une partie du traitement hors UE)
- Modification du DPA ou des CGU de Mistral susceptible d'affecter les garanties
- Décision de la CJUE, du CEPD ou de la CNIL modifiant l'interprétation des obligations de transfert
- Révélation d'une demande d'accès par une autorité non-européenne
- Nouvelle loi extraterritoriale affectant Mistral AI ou un de ses sous-traitants
8. Références
- CJUE, 16 juillet 2020, Data Protection Commissioner / Facebook Ireland et Maximillian Schrems, C-311/18 (« Schrems II »)
- EDPB, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, 18 juin 2021
- EDPB, Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V GDPR
- CNIL, Transferts de données : comment mettre en place les mesures supplémentaires ?
Transfer Impact Assessment — Mistral AI
Version 1.0 — 24 avril 2026 — Prochaine revue : 24 avril 2027
Document établi par Garante, conformément aux recommandations EDPB 01/2020 et à l'arrêt Schrems II.