Solution française • Hébergement souverain • Conformité européenne Blog IA souveraine
Conformité & Droit 20 janvier 2025 9 min de lecture

Cloud Act : vos données d'entreprise sont-elles exposées aux autorités américaines ?

Depuis 2018, le Clarifying Lawful Overseas Use of Data Act — le « Cloud Act » — autorise les autorités américaines à exiger l'accès à vos données hébergées chez n'importe quel fournisseur cloud américain, quel que soit le pays où sont physiquement les serveurs. Microsoft Azure Europe, AWS Paris, Google Cloud Belgium : si l'entreprise est américaine, vos données sont accessibles. Voici ce que cela signifie concrètement pour votre entreprise.

Ce qu'il faut retenir

  • Le Cloud Act (2018) oblige les entreprises tech américaines à fournir des données à la justice US, même hébergées en Europe
  • Il contredit directement le RGPD européen : conflit de lois non résolu à ce jour
  • Microsoft, AWS, Google, Salesforce, Slack sont tous soumis au Cloud Act
  • La seule protection réelle : ne pas confier vos données à des fournisseurs soumis à la loi américaine

Qu'est-ce que le Cloud Act exactement ?

Le Clarifying Lawful Overseas Use of Data Act (Cloud Act) est une loi fédérale américaine adoptée en mars 2018. Elle modifie le Stored Communications Act de 1986 pour permettre aux autorités américaines — FBI, DOJ, et d'autres agences — d'obtenir des ordonnances contraignant les fournisseurs de services numériques américains à divulguer des données, même si ces données sont stockées physiquement hors des États-Unis.

En clair : si vous utilisez Microsoft 365, Google Workspace, Salesforce, AWS, Slack ou n'importe quel service d'une entreprise américaine, vos données peuvent être saisies par la justice américaine sans vous en informer, sans passer par les canaux d'entraide judiciaire internationaux, et sans nécessairement que vous ou vos clients en soient jamais avertis.

2018Année d'adoption du Cloud Act
10 000+Demandes de données par an (estimation)
90%Du marché cloud mondial sous juridiction US
0Notification obligatoire à l'entreprise visée

Pourquoi le Cloud Act pose un problème majeur aux entreprises européennes

1. Le conflit direct avec le RGPD

Le RGPD interdit le transfert de données personnelles vers des pays tiers sans garanties adéquates. Or, si un juge américain ordonne à Microsoft de lui remettre les e-mails de votre entreprise hébergés sur Azure Frankfurt, Microsoft n'a légalement pas le choix : refuser exposerait l'entreprise à des sanctions pénales aux États-Unis.

Ce conflit de lois — obéir au Cloud Act ou respecter le RGPD — n'a pas de solution propre. Les fournisseurs américains ont systématiquement choisi de se conformer au Cloud Act, quitte à violer potentiellement le droit européen. La CNIL et les autorités de protection des données européennes ont alerté sur ce risque, sans qu'une résolution légale ait été trouvée.

2. L'absence de notification

Contrairement à une perquisition classique, le Cloud Act peut s'accompagner d'une ordonnance de silence (gag order) qui interdit au fournisseur cloud de vous informer que vos données ont été saisies. Vous pouvez ne jamais savoir que votre stratégie commerciale, vos contrats, vos échanges internes ont été lus par des enquêteurs américains.

3. Le périmètre est plus large qu'on ne le croit

Le Cloud Act ne se limite pas aux enquêtes criminelles. Il peut être utilisé dans le cadre d'enquêtes antitrust, de procédures civiles impliquant des entreprises américaines, ou dans des contextes de renseignement économique. Pour une entreprise en concurrence avec des acteurs américains, les implications stratégiques sont évidentes.

Secteurs particulièrement exposés

Les cabinets d'avocats, les établissements de santé, les entreprises de défense, les sous-traitants industriels avec R&D sensible, et les entreprises cotées en bourse sont des cibles prioritaires. Leurs données — stratégie juridique, dossiers patients, propriété intellectuelle, informations non publiques — ont une valeur élevée pour des acteurs concurrents ou réglementaires américains.

Qui est réellement soumis au Cloud Act ?

Sont soumis au Cloud Act tous les fournisseurs de services électroniques de communication ou de stockage à distance qui sont des entités légales américaines ou qui opèrent sur le sol américain. Cela inclut :

  • Infrastructure cloud : Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform
  • Productivité et collaboration : Microsoft 365, Google Workspace, Slack, Zoom, Teams
  • CRM et ERP : Salesforce, ServiceNow, Workday, SAP (partiellement)
  • Cybersécurité : CrowdStrike, Palo Alto Networks, SentinelOne
  • IA et LLM : OpenAI (ChatGPT), Microsoft Copilot, Google Gemini, Anthropic Claude

Cette liste couvre la quasi-totalité des outils numériques utilisés par les entreprises françaises. Autrement dit : si votre entreprise est "dans le cloud", elle est probablement exposée au Cloud Act.

Cloud Act et IA générative : le risque amplifié

L'adoption massive d'outils d'IA générative américains dans les entreprises crée un nouveau vecteur d'exposition au Cloud Act particulièrement préoccupant. Quand vos collaborateurs utilisent ChatGPT Enterprise ou Microsoft Copilot, ils ne se contentent pas de stocker des données : ils envoient activement des informations confidentielles vers des serveurs américains.

Contrats en cours de négociation, stratégies M&A, données financières non publiées, secrets de fabrication : tout ce qui est saisi dans ces outils transite par des infrastructures soumises au Cloud Act. La vitesse d'adoption de ces outils — souvent sans validation de la direction juridique — crée une exposition massive et peu documentée.

IA souveraine et Cloud Act

Une IA souveraine déployée on-premise ou sur infrastructure européenne certifiée échappe structurellement au Cloud Act. Si aucune entité américaine n'héberge vos données et ne traite vos requêtes, aucune ordonnance américaine ne peut les atteindre. C'est l'un des arguments souverainistes les plus solides pour justifier l'investissement dans une IA privée.

Les réponses partielles qui ne suffisent pas

Chiffrement côté client

Microsoft et Google proposent des solutions de Customer-Managed Encryption Keys (CMEK) qui permettent théoriquement à l'entreprise de contrôler les clés de chiffrement. En théorie, sans la clé, les données sont illisibles. En pratique, si vous utilisez activement le service (recherche, IA, analyse), les données sont déchiffrées en mémoire — et donc potentiellement accessibles.

Les "cloud souverains" des GAFAM

Microsoft Azure "souverain" (ex-Bleu, avec Capgemini), Google Sovereign Cloud, AWS Sovereign : ces offres proposent une isolation opérationnelle par des entités européennes. Elles réduisent certains risques d'accès routiniers, mais elles ne résolvent pas fondamentalement le Cloud Act : les technologies, le code, et en dernière instance la maison mère américaine restent dans la boucle légale.

L'accord de CLOUD Act bilateral

Les États-Unis ont signé des accords bilatéraux Cloud Act avec certains pays (Royaume-Uni, Australie). Ces accords créent un mécanisme de réciprocité, mais ne suppriment pas le droit pour les autorités US d'accéder aux données d'entreprises étrangères : ils encadrent simplement le processus.

La seule vraie protection : la souveraineté des données

Face au Cloud Act, la seule protection structurelle consiste à ne pas confier vos données sensibles à des entités soumises à la loi américaine. Concrètement :

  • Hébergement souverain : utiliser des fournisseurs cloud certifiés SecNumCloud (OVHcloud, Scaleway, Outscale), dont aucune entité américaine ne peut exiger des données
  • IA on-premise : déployer des modèles de langage en local ou sur infrastructure propriétaire, sans transit vers des serveurs américains
  • Cartographie des flux : identifier précisément quelles données sensibles transitent par quels prestataires soumis au Cloud Act
  • Politique d'usage IA : interdire formellement l'envoi de données confidentielles dans des outils d'IA publics américains

Ce que votre DPO doit savoir

La question Cloud Act est désormais incontournable dans toute analyse d'impact relative à la protection des données (AIPD). Le G29 (aujourd'hui CEPD) a clairement indiqué que le recours à des prestataires soumis au Cloud Act constitue un risque pour la conformité RGPD qui doit être documenté et justifié.

La Commission nationale de l'informatique et des libertés (CNIL) attend des entreprises qu'elles évaluent ce risque et mettent en place des mesures compensatoires. En cas de contrôle, l'absence de politique Cloud Act documentée peut constituer un manquement aux obligations de l'article 32 du RGPD (sécurité du traitement).

Protégez vos données du Cloud Act

Intelligence Privée déploie votre IA sur votre infrastructure — aucune donnée ne transite par des serveurs américains. Zéro exposition au Cloud Act, conformité RGPD native.

Évaluer votre exposition →

Questions fréquentes sur le Cloud Act

Le Cloud Act s'applique-t-il aux filiales européennes de GAFAM ?

Oui. Une filiale européenne d'une entreprise américaine est soumise au Cloud Act si la maison mère américaine peut accéder à ses données. La Cour suprême américaine a confirmé ce principe dans l'affaire Microsoft Corp. v. United States (2018).

Mes données sont-elles en danger si j'utilise un datacenter en France ?

L'emplacement physique des serveurs ne protège pas du Cloud Act. Ce qui compte, c'est la nationalité du fournisseur de services. AWS Frankfurt reste soumis au Cloud Act car AWS est une entité américaine.

Le Privacy Shield ou l'EU-US Data Privacy Framework protège-t-il du Cloud Act ?

Non. Ces cadres concernent les transferts commerciaux de données. Le Cloud Act relève de l'accès pour raisons légales/judiciaires — un régime distinct qui n'est pas couvert par ces accords.

Continuer la lecture

Conformité

Schrems II : transferts de données hors UE et IA

Les implications du droit européen pour vos transferts de données vers les États-Unis.

10 min
Conformité

RGPD, NIS 2 et IA : le guide de conformité

Toutes vos obligations légales quand vous déployez de l'IA en entreprise.

6 min
Stratégie

IA souveraine vs IA publique

Pourquoi les outils IA grand public exposent vos données sensibles.

7 min