Glossaire · Loi américaine de surveillance CLOUD Act (Clarifying Lawful Overseas Use of Data Act)
Loi fédérale américaine de 2018 qui permet aux autorités américaines de contraindre les entreprises américaines et leurs filiales à remettre des données, quel que soit le lieu de stockage physique.
## Ce que fait réellement le CLOUD Act
Le Clarifying Lawful Overseas Use of Data Act (H.R. 4943) a été adopté par le Congrès américain en mars 2018 et a modifié le Stored Communications Act. Il fait deux choses :
1. Permet aux forces de l'ordre américaines de contraindre les fournisseurs de services basés aux États-Unis (et leurs filiales étrangères) à divulguer les données qu'ils « possèdent, contrôlent ou ont sous leur garde » — quel que soit l'endroit où les données sont physiquement stockées
2. Établit un cadre pour des « accords exécutifs » permettant à des gouvernements étrangers de demander des données directement aux fournisseurs américains
La première disposition est celle qui compte pour les entreprises européennes.
## Pourquoi cela compte pour les données européennes
Avant le CLOUD Act, les entreprises américaines stockant des données d'utilisateurs européens sur des serveurs européens pouvaient plausiblement soutenir que les données étaient hors de portée du droit américain. Après le CLOUD Act, cet argument ne tient plus — si l'entreprise est basée ou contrôlée aux États-Unis, les données sont accessibles, quelle que soit leur localisation physique.
Cela s'applique à :
- Google (y compris l'ensemble de Google Cloud, Google Workspace, services Google)
- Microsoft (Microsoft 365, Azure, tous les services Microsoft)
- Amazon (AWS, tous les services Amazon)
- Apple (iCloud, tous les services Apple)
- Meta (Facebook, WhatsApp, métadonnées Instagram)
- La plupart des fournisseurs SaaS américains, quelle que soit leur taille
Cette loi crée un véritable conflit avec le RGPD. Le droit européen de la vie privée interdit les transferts de données non autorisés ; le CLOUD Act peut les imposer. Pour les entreprises européennes utilisant des fournisseurs américains, cela crée une exposition juridique permanente.
## Les protections existantes
Trois garanties théoriques existent, avec une efficacité pratique variable :
**1. Clauses contractuelles types (CCT)** — mécanismes contractuels entre entités UE et hors-UE. Mises à jour après Schrems II pour exiger des garanties supplémentaires. Efficaces pour le traitement de routine ; insuffisantes face à une contrainte juridique américaine directe.
**2. Chiffrement avec clés contrôlées par l'UE** — si les données sont chiffrées et que le fournisseur américain ne détient pas les clés, la divulgation contrainte ne produit que du texte chiffré. Opérationnellement complexe mais véritablement protecteur.
**3. Traitement uniquement par des résidents UE** — utiliser des fournisseurs établis dans l'UE sans liens avec une société américaine, évitant entièrement la juridiction du CLOUD Act.
Parmi ces options, seule la troisième offre une protection catégorique. Les deux premières réduisent le risque mais ne l'éliminent pas.
## Pourquoi l'argument de la « résidence des données dans l'UE » ne suffit pas
Les fournisseurs américains (Microsoft, Google, AWS) commercialisent une « résidence des données dans l'UE » — affirmant que les données des clients européens restent sur des serveurs européens. C'est techniquement vrai mais juridiquement insuffisant.
Le CLOUD Act s'applique en fonction de la nationalité de l'entreprise et du contrôle d'entreprise, et non de l'emplacement des serveurs. Une filiale Microsoft Ireland reste soumise au CLOUD Act parce que Microsoft Corporation (société mère américaine) exerce un contrôle d'entreprise. La résidence des données dans l'UE sur une infrastructure contrôlée par les États-Unis n'échappe pas à la juridiction du CLOUD Act.
## Ce qui a changé en 2024-2026
Le CLOUD Act a été utilisé en volume croissant depuis 2018. Le rapport public sur des cas spécifiques est limité (la section 2511 du titre 18 interdit généralement la divulgation des mandats du CLOUD Act), mais les rapports de transparence des principaux fournisseurs américains montrent une augmentation régulière du volume de demandes transfrontalières.
La réponse européenne s'est accélérée :
- **Schrems II** (2020) — a invalidé le Privacy Shield précisément en raison des lois de surveillance américaines, y compris le CLOUD Act
- **Stratégie européenne pour les données** — souligne l'infrastructure cloud contrôlée par l'UE comme priorité stratégique
- **Initiative GAIA-X** — fédération cloud européenne explicitement conçue pour fournir des alternatives sans CLOUD Act
- **Exigences de cloud souverain** — les cadres français (Cloud de Confiance) et allemand (BSI C5) exigent spécifiquement la protection contre le CLOUD Act
## Implications pratiques pour les entreprises européennes
Pour la plupart des entreprises européennes, la réponse pratique au CLOUD Act en 2026 est :
1. **Classer la sensibilité des données.** Toutes les données n'ont pas une exposition égale au CLOUD Act. Les données commerciales générales peuvent rester chez les fournisseurs américains avec des contrôles documentés. Les données sensibles (juridiques, médicales, données personnelles d'individus à haut risque) devraient migrer vers des fournisseurs contrôlés par l'UE.
2. **Utilisez des fournisseurs contrôlés par l'UE pour les charges sensibles.** [Hetzner](/fr/alternatives/hetzner-vs-aws/), [Scaleway](/fr/alternatives/scaleway-vs-google-cloud/), [OVHcloud](/fr/alternatives/ovhcloud-vs-microsoft-azure/), [Infomaniak](/fr/alternatives/infomaniak-vs-digitalocean/) sont établis dans l'UE et ne dépendent d'aucun contrôle d'entreprise américaine.
3. **Pour le secteur public et les industries réglementées**, le cloud souverain (Open Telekom Cloud, T-Systems Sovereign Cloud, Cloud de Confiance français) est de plus en plus exigé.
Le CLOUD Act ne va pas disparaître. Le cadre juridique qui l'entoure continuera d'évoluer, mais la question de fond de la juridiction est structurelle — elle se règle en choisissant les fournisseurs, et non en les configurant.
Cela vous a-t-il été utile ?
Merci pour votre retour !