Lorsque les organisations européennes mettent en œuvre DMARC pour protéger leurs domaines de messagerie, le choix du fournisseur DMARC n’est pas seulement une décision technique.
Cela peut également devenir une décision de gouvernance des données, de risque fournisseur et de transfert international.
Les rapports DMARC peuvent révéler plus que le statut d’authentification. Ils peuvent montrer quels systèmes envoient des e-mails au nom d’un domaine, quels fournisseurs sont impliqués, où l’authentification échoue, quelles adresses IP sont actives, comment le courrier circule entre les régions et où des tentatives d’envoi non autorisées peuvent se produire.
Pour les organisations de l’UE, ces informations peuvent être pertinentes au regard du RGPD, des obligations contractuelles de protection des données, des règles sectorielles spécifiques et des politiques internes de résidence des données.
Le CLOUD Act américain ajoute une couche supplémentaire à cette évaluation.
Le CLOUD Act peut exiger des prestataires de services américains concernés qu’ils préservent, sauvegardent ou divulguent certaines données en leur possession, garde ou contrôle, même lorsque les données sont stockées en dehors des États-Unis. Pour les organisations de l’UE utilisant des fournisseurs de technologies basés aux États-Unis ou contrôlés par des entités américaines, cela peut créer des questions juridiques et juridictionnelles qui doivent être évaluées avant de router la télémétrie de sécurité vers une plateforme tierce.
Cela ne signifie pas que les entreprises européennes ne peuvent pas utiliser de fournisseurs basés aux États-Unis.
Cela signifie qu’elles doivent comprendre quelles données sont traitées, où elles sont stockées, quel mécanisme de transfert juridique s’applique, quelles garanties sont en place et comment les demandes d’accès gouvernementales sont traitées.
La protection DMARC et la protection des données ne doivent pas être traitées comme des conversations distinctes.
Elles font toutes deux partie de la même architecture de confiance.
Avertissement : Cet article fournit des informations générales et ne doit pas être considéré comme un conseil juridique. Les organisations doivent consulter un conseil juridique qualifié pour les exigences de conformité spécifiques, les évaluations de transfert et les obligations réglementaires.
I. Ce que signifie le CLOUD Act dans ce contexte
Le CLOUD Act américain, adopté en 2018, a clarifié que certains fournisseurs de services américains peuvent être tenus de divulguer des données en leur possession, garde ou contrôle, que ces données soient stockées à l’intérieur ou à l’extérieur des États-Unis.
Pour les services DMARC, la question pertinente n’est pas seulement de savoir si le fournisseur stocke des données en Europe.
La question plus profonde est :
Qui contrôle le service, qui peut accéder aux données et quels régimes juridiques peuvent s’appliquer au fournisseur ?
Cela importe car les fournisseurs DMARC peuvent traiter de la télémétrie de sécurité opérationnelle utile tant pour les défenseurs que pour les attaquants.
Selon la mise en œuvre, un fournisseur DMARC peut traiter :
- Rapports agrégés DMARC
- Rapports d’échec ou forensiques DMARC, s’ils sont activés
- Adresses IP d’envoi
- Résultats d’authentification
- Données d’alignement SPF, DKIM et DMARC
- Modèles de volume de courrier
- Informations sur les expéditeurs tiers
- Configurations de domaine
- Données de compte utilisateur et d’administrateur
- Analyses de sécurité dérivées des rapports
- Données historiques d’application et de politique
Ces informations ne contiennent pas toujours le contenu des messages, en particulier dans les rapports agrégés. Mais elles peuvent toujours révéler des détails opérationnels sensibles sur l’infrastructure de messagerie d’une organisation.
C’est pourquoi la sélection du fournisseur doit être évaluée à travers le prisme de la sécurité et de la confidentialité.
II. Pourquoi les données de rapport DMARC peuvent être sensibles
Les rapports DMARC sont souvent décrits comme des journaux techniques.
Cette description est incomplète.
Les données DMARC peuvent révéler comment une organisation envoie des e-mails, quelles plateformes sont autorisées, quels fournisseurs sont mal configurés, quels domaines ne sont pas entièrement protégés et où des tentatives d’usurpation se produisent.
Par exemple, les données agrégées DMARC peuvent montrer :
- Quelles adresses IP envoient au nom du domaine
- Quels fournisseurs sont utilisés pour les e-mails transactionnels
- Quelles plateformes marketing sont actives
- Quels systèmes internes envoient du courrier
- Quelles sources échouent à l’alignement SPF ou DKIM
- Quels tiers ne sont pas correctement configurés
- Quels sous-domaines sont exposés
- Quels fournisseurs destinataires constatent des échecs d’authentification
Ces informations sont précieuses pour les équipes de sécurité.
Elles peuvent également être précieuses pour les attaquants.
Un programme DMARC mature devrait donc éviter de traiter les données de rapport comme des métadonnées inoffensives. Elles doivent être gouvernées comme de la télémétrie de sécurité.
III. RGPD et transferts internationaux de données

Pour les organisations de l’UE, le RGPD devient pertinent lorsque des données personnelles sont traitées ou transférées en dehors de l’Espace économique européen.
Le chapitre V du RGPD restreint les transferts de données personnelles vers des pays tiers sauf si un mécanisme de transfert valide s’applique. Ces mécanismes peuvent inclure une décision d’adéquation, des Clauses contractuelles types avec toute mesure supplémentaire nécessaire, des Règles d’entreprise contraignantes ou un autre mécanisme autorisé par le RGPD.
La décision Schrems II a accru la vigilance concernant les transferts vers des fournisseurs soumis à des régimes de surveillance ou d’accès légal de pays tiers. Depuis lors, les organisations sont censées évaluer non seulement le contrat, mais aussi l’environnement juridique et les garanties pratiques entourant le transfert.
Le Cadre de protection des données UE-États-Unis, adopté en 2023, fournit un mécanisme d’adéquation pour les organisations américaines certifiées. Cependant, les organisations doivent encore confirmer si un fournisseur est certifié, si le traitement concerné est couvert et si des garanties contractuelles ou techniques supplémentaires sont nécessaires pour leur cas d’usage spécifique.
Pour la sélection du fournisseur DMARC, l’évaluation pratique doit inclure :
- Les données de rapport DMARC sont-elles des données personnelles, de la télémétrie de sécurité, ou les deux ?
- Où les données sont-elles stockées ?
- Où les données sont-elles traitées ?
- Quelles entités peuvent y accéder ?
- Le fournisseur est-il basé dans l’UE, aux États-Unis ou fait-il partie d’un groupe d’entreprises plus large ?
- Un transfert international a-t-il lieu ?
- Quel mécanisme de transfert s’applique ?
- Des Clauses contractuelles types ou un autre mécanisme sont-ils en place ?
- Des mesures supplémentaires sont-elles nécessaires ?
- Quelle période de conservation s’applique ?
- Les rapports forensiques sont-ils désactivés par défaut ?
- Comment le fournisseur gère-t-il les demandes d’accès gouvernementales ?
Cette évaluation doit être documentée, en particulier pour les organisations réglementées ou les entreprises ayant des obligations strictes de résidence des données.
IV. Le CLOUD Act ne signifie pas automatiquement la non-conformité

Il est important d’éviter de trop simplifier la question.
Utiliser un fournisseur basé aux États-Unis ne signifie pas automatiquement la non-conformité au RGPD.
Utiliser un centre de données européen n’élimine pas automatiquement tous les risques juridictionnels.
La question de conformité dépend du contexte complet :
- Structure juridique du fournisseur
- Lieu de traitement des données
- Contrôles d’accès aux données
- Modèle de chiffrement
- Garanties contractuelles
- Mécanisme de transfert
- Politique d’accès gouvernemental
- Reporting de transparence
- Pratiques de minimisation des données
- Limites de conservation
- Contrôle client sur les données
- Si un accès au support ou à l’ingénierie se produit en dehors de l’UE
Une évaluation sérieuse examine le modèle opérationnel complet, pas seulement le pays où le serveur est hébergé.
V. Domaines de risque des fournisseurs DMARC que les entreprises européennes devraient examiner

Lors de la sélection ou de l’examen d’un fournisseur DMARC, les organisations de l’UE doivent évaluer plusieurs domaines.
VI. 1. Structure juridique
Comprenez qui est l’entité contractante.
Un fournisseur basé dans l’UE, un fournisseur basé aux États-Unis et une filiale européenne d’un groupe américain peuvent présenter différentes considérations juridiques et opérationnelles.
Questions à poser :
- Quelle entité juridique fournit le service ?
- Quelle entité signe l’Accord de traitement des données ?
- Quelles entités ont accès aux données clients ?
- Le support, l’ingénierie ou les opérations de sécurité sont-ils effectués en dehors de l’UE ?
- Le fournisseur est-il soumis aux règles d’accès légal américaines ?
- Des sous-traitants sont-ils impliqués ?
La réponse doit être documentée dans l’examen du risque fournisseur.
VII. 2. Résidence des données et lieu de traitement
La résidence des données est importante, mais elle doit être comprise précisément.
Un fournisseur peut stocker des données dans l’UE pendant que l’accès au support ou aux analyses se produit ailleurs. Un autre fournisseur peut traiter des rapports en dehors de l’UE tout en offrant une facturation ou une contractualisation européenne.
Questions à poser :
- Où les rapports DMARC sont-ils stockés ?
- Où les rapports sont-ils analysés et traités ?
- Où les sauvegardes sont-elles conservées ?
- Où les journaux sont-ils stockés ?
- Les administrateurs peuvent-ils restreindre le traitement des données à l’UE ?
- Le fournisseur utilise-t-il des sous-traitants hors UE ?
- L’accès au support nécessite-t-il un accès transfrontalier ?
L’objectif est de comprendre le parcours réel des données, pas seulement l’affirmation marketing.
VIII. 3. Types de rapports DMARC
Toutes les données DMARC n’ont pas la même sensibilité.
Les rapports agrégés sont généralement moins invasifs que les rapports forensiques ou d’échec. Les rapports agrégés contiennent généralement des résultats d’authentification et des informations sur la source d’envoi. Les rapports d’échec peuvent contenir des données au niveau du message selon la mise en œuvre du destinataire.
Pour les organisations de l’UE, la valeur par défaut la plus sûre est :
- Utiliser les rapports agrégés via
rua=pour la surveillance. - Éviter les rapports forensiques via
ruf=sauf si les équipes de confidentialité, juridiques et de sécurité l’approuvent. - Appliquer la minimisation des données et les limites de conservation.
- Éviter de collecter plus que nécessaire pour l’authentification et l’application.
Les rapports d’échec ont une adoption limitée parmi les principaux destinataires et peuvent créer des obligations supplémentaires de confidentialité et de conservation. Ils ne doivent pas être activés à la légère.
IX. 4. Contrôles d’accès
Les plateformes DMARC peuvent exposer de la télémétrie sensible aux utilisateurs internes.
Les organisations doivent examiner :
- Contrôles d’accès basés sur les rôles
- Permissions des administrateurs
- Exigences MFA
- Journaux d’audit
- Contrôles d’accès API
- Contrôles de session
- Permissions d’exportation
- Procédures d’accès au support
- Séparation entre les clients
La télémétrie de sécurité ne doit pas être largement accessible sans gouvernance.
X. 5. Accès gouvernemental et transparence
Les organisations de l’UE doivent comprendre comment le fournisseur gère les demandes d’accès légal.
Questions à poser :
- Le fournisseur publie-t-il des rapports de transparence ?
- Le fournisseur notifie-t-il les clients lorsque légalement autorisé ?
- Le fournisseur conteste-t-il les demandes excessives ou illégales ?
- Le fournisseur divulgue-t-il les sous-traitants ?
- Le fournisseur explique-t-il comment il gère les demandes affectant les données des clients de l’UE ?
- Des obligations contractuelles de notification sont-elles incluses ?
Cela n’élimine pas tous les risques, mais améliore la transparence et la responsabilité.
XI. 6. Conservation et suppression
Plus la télémétrie DMARC est conservée longtemps, plus la surface d’exposition devient importante.
Les organisations doivent confirmer :
- Période de conservation par défaut
- Conservation configurable par le client
- Délais de suppression des sauvegardes
- Droits d’exportation et de suppression
- Politiques de conservation des journaux
- Processus de suppression lors de la résiliation du compte
La conservation doit correspondre aux besoins opérationnels.
Pour de nombreuses organisations, le stockage indéfini de la télémétrie DMARC brute n’est pas nécessaire.
XII. AIPD et évaluation de l’impact du transfert
Les organisations de l’UE doivent déterminer si une Analyse d’impact relative à la protection des données ou une Évaluation de l’impact du transfert est appropriée lors de la mise en œuvre d’un fournisseur DMARC.
Cela est particulièrement pertinent si :
- Les données DMARC sont acheminées vers un fournisseur d’un pays tiers.
- L’organisation opère dans un secteur réglementé.
- Le fournisseur traite des données en dehors de l’EEE.
- Les rapports d’échec sont activés.
- Le domaine est utilisé pour des communications sensibles.
- Le fournisseur a accès à une télémétrie de sécurité opérationnelle détaillée.
- Les modèles de communication des clients ou des employés peuvent être déduits.
Une évaluation pratique devrait couvrir :
- Quelles données sont collectées
- Pourquoi les données sont nécessaires
- Si les données incluent des données personnelles
- Quel mécanisme de transfert s’applique
- Quelles garanties sont en place
- Quels sous-traitants sont impliqués
- Combien de temps les données sont conservées
- Qui peut accéder aux données
- Comment les demandes d’accès gouvernementales sont traitées
- Si des alternatives moins intrusives sont disponibles
Le but n’est pas de créer de la paperasse pour elle-même.
Le but est de rendre le flux de données défendable.
XIII. Garanties techniques qui réduisent les risques
Les garanties juridiques comptent, mais les garanties techniques sont tout aussi importantes.
Les organisations de l’UE devraient rechercher des fournisseurs DMARC qui prennent en charge :
- Options de résidence des données dans l’UE
- Minimisation des données
- Chiffrement en transit et au repos
- Contrôles d’accès forts
- Application de MFA
- Journalisation d’audit
- Conservation contrôlée par le client
- Accès limité au support
- Transparence des sous-traitants
- Ingestion sécurisée des rapports
- Séparation entre les locataires
- Procédures de suppression claires
- Contrôles de sécurité API
Ces garanties réduisent l’exposition et améliorent la défendabilité.
Aucune garantie unique ne résout la question du CLOUD Act ou du transfert RGPD par elle-même. La force provient de la combinaison de contrôles contractuels, techniques, organisationnels et de gouvernance.
XIV. Gouvernance opérationnelle pour les données DMARC
DMARC ne doit pas être traité comme un projet DNS ponctuel.
Il doit faire partie d’un programme de gouvernance continu.
Les organisations doivent maintenir :
- Inventaire des domaines
- Inventaire des expéditeurs
- Enregistrements de destination des rapports DMARC
- Évaluations du risque fournisseur
- Accords de traitement des données
- Évaluations de transfert le cas échéant
- Examens des sous-traitants
- Décisions de conservation
- Examens des contrôles d’accès
- Procédures de réponse aux incidents
- Registres de gestion du changement
- Preuves de surveillance et de remédiation
Cette documentation aide à prouver que les données DMARC sont activement gérées, et non simplement externalisées.
XV. Questions à poser à un fournisseur DMARC
Avant de choisir ou de renouveler un fournisseur DMARC, les organisations de l’UE devraient demander :
- Quelle entité juridique fournit le service ?
- Où les données de rapport DMARC sont-elles stockées ?
- Où les données de rapport DMARC sont-elles traitées ?
- Quels sous-traitants sont utilisés ?
- Le traitement peut-il être restreint à l’UE ?
- Les données clients sont-elles accessibles par des équipes de support ou d’ingénierie en dehors de l’UE ?
- Quel mécanisme de transfert s’applique si les données quittent l’EEE ?
- Des Clauses contractuelles types sont-elles disponibles si nécessaire ?
- Le fournisseur est-il certifié dans le cadre du Cadre de protection des données UE-États-Unis, le cas échéant ?
- Les rapports forensiques sont-ils désactivés par défaut ?
- Quelle est la période de conservation par défaut des données ?
- La conservation peut-elle être raccourcie ?
- Quels contrôles d’accès sont disponibles ?
- Les journaux d’audit sont-ils disponibles ?
- Le fournisseur publie-t-il des rapports de transparence ?
- Le fournisseur notifie-t-il les clients des demandes d’accès gouvernementales lorsque légalement autorisé ?
- Comment les données sont-elles supprimées après résiliation ?
- Les clients peuvent-ils exporter leurs données ?
- Comment les sauvegardes sont-elles gérées ?
- Le fournisseur prend-il en charge les exigences de déploiement axées sur l’UE ?
Ces questions aident à transformer une discussion vague sur la résidence des données en une évaluation pratique du fournisseur.
XVI. Vérifiez si votre fournisseur DMARC est européen ou non européen
De nombreuses entreprises de l’UE ne savent pas où leurs rapports DMARC sont envoyés.
Un domaine peut avoir DMARC activé, mais la destination des rapports peut pointer vers un fournisseur hors UE, un ancien fournisseur, une boîte aux lettres non gérée ou un processeur tiers qui n’a jamais été examiné par les équipes juridiques, de sécurité ou de conformité.
Cela importe car de nombreux fournisseurs DMARC ne sont pas basés dans l’UE.
Pour les organisations de l’UE, l’emplacement et la structure juridique du fournisseur DMARC devraient faire partie de l’examen du risque fournisseur.
Les rapports DMARC peuvent révéler :
- Expéditeurs autorisés
- Flux de courrier
- Échecs d’authentification
- Fournisseurs tiers
- Lacunes de protection du domaine
- Tentatives d’envoi non autorisées
Ces données ne doivent pas être acheminées à l’aveugle.
Utilisez le scanner de Skysnag pour vérifier si votre destination de rapport DMARC pointe vers un fournisseur européen ou non européen :
Le scanner aide à identifier votre enregistrement DMARC actuel et votre destination de rapport afin que votre équipe puisse examiner si votre fournisseur correspond à vos attentes en matière de RGPD, de résidence des données et de conformité interne.
Un scan public ne peut pas remplacer une évaluation juridique ou de transfert complète. Mais il peut rapidement montrer si votre configuration DMARC mérite un examen plus approfondi.
XVII. Comment Skysnag Protect peut aider
Skysnag Protect aide les organisations à mettre en œuvre DMARC tout en maintenant la visibilité et le contrôle sur les données d’authentification des e-mails.
Pour les organisations de l’UE, Skysnag Protect peut prendre en charge la mise en œuvre de DMARC avec des contrôles axés sur la conformité tels que :
- Surveillance DMARC
- Identification des expéditeurs
- Détection des sources non autorisées
- Visibilité de l’alignement SPF et DKIM
- Suivi de la préparation à l’application
- Support MTA-STS et TLS-RPT
- Reporting pour les équipes de sécurité et de conformité
- Support de gouvernance des données pour la télémétrie DMARC
- Options de résidence des données européennes, si nécessaire
L’objectif n’est pas seulement de publier un enregistrement DMARC.
L’objectif est de construire un programme d’authentification des e-mails contrôlé qui prend en charge les attentes en matière de sécurité, de confidentialité et de conformité.
Les organisations peuvent en savoir plus sur Skysnag Protect ici :
XVIII. Points clés à retenir
Le CLOUD Act américain n’est pas une loi DMARC et ne crée pas d’exigences DMARC spécifiques.
Cependant, il peut être pertinent lorsque les organisations de l’UE utilisent des fournisseurs de technologies basés aux États-Unis ou contrôlés par des entités américaines pour traiter les données de rapport DMARC.
Les rapports DMARC peuvent révéler de la télémétrie de sécurité opérationnelle sensible, notamment les expéditeurs, les fournisseurs, les échecs d’authentification, les flux de courrier et les lacunes de protection du domaine.
Les organisations de l’UE doivent évaluer les fournisseurs DMARC à travers le prisme du RGPD, du risque fournisseur, du transfert et de la gouvernance des données.
Les domaines d’examen importants comprennent :
- Structure juridique
- Résidence des données
- Lieu de traitement
- Sous-traitants
- Mécanismes de transfert
- Contrôles d’accès
- Conservation
- Rapports forensiques
- Politiques d’accès gouvernemental
Les rapports agrégés DMARC devraient généralement être la valeur par défaut. Les rapports forensiques ne devraient être activés qu’après un examen juridique, de confidentialité et de sécurité.
Utiliser un fournisseur basé aux États-Unis ne signifie pas automatiquement la non-conformité, et utiliser un centre de données européen n’élimine pas automatiquement tous les risques. Le modèle opérationnel complet compte.
Un programme DMARC mature doit protéger le domaine tout en contrôlant également les données créées par cette protection.
Pour les organisations de l’UE, la bonne question n’est pas seulement :
« Avons-nous DMARC ? »
La question plus forte est :
« Savons-nous où vont nos données DMARC, qui peut y accéder et si ce traitement est défendable au regard de nos obligations juridiques et de conformité ? »
Si vous êtes une entreprise de l’UE, commencez par vérifier où vont vos rapports DMARC. Utilisez le scanner de Skysnag pour voir si votre fournisseur DMARC actuel semble être européen ou non européen :