🇺🇸FAQ Cloud Act américain

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est une loi fédérale américaine signée par Donald Trump le 23 mars 2018. Elle amende le Stored Communications Act (SCA) de 1986 pour permettre aux autorités américaines (FBI, DOJ, NSA) d'obtenir via subpoena des données détenues par des fournisseurs de services cloud américains, quelle que soit la localisation physique de ces données. En pratique : si un prestataire a son siège social ou une entité légale sous juridiction américaine (Delaware, New York, etc.), ses données — même hébergées en Europe — sont accessibles aux autorités US sans notification préalable à l'utilisateur.

Indirectement, oui. Le Cloud Act s'applique aux fournisseurs de services sous juridiction américaine, pas directement aux entreprises européennes. Mais si une entreprise française utilise AWS (Amazon, Seattle), Azure (Microsoft, Redmond), Google Cloud (Alphabet, Mountain View), OpenAI (San Francisco) ou Anthropic (San Francisco), ses données confiées à ces prestataires sont soumises au Cloud Act. L'entreprise française n'est pas l'entité visée, mais ses données peuvent être transmises aux autorités US sur demande adressée au prestataire américain — sans que l'entreprise française en soit informée.

Le Patriot Act (2001, renforcé 2011) ciblait principalement le renseignement et la lutte antiterroriste — accès par la NSA avec peu de supervision judiciaire. Le Cloud Act (2018) est plus large mais plus encadré : il passe par une procédure judiciaire (subpoena = ordonnance d'un tribunal), couvre les enquêtes criminelles générales (pas uniquement terrorisme), et introduit des accords bilatéraux avec des États partenaires. Concrètement : le Cloud Act est utilisé pour des enquêtes criminelles ordinaires (fraude, corruption), là où le Patriot Act visait le renseignement. La différence pratique pour une PME est mince : dans les deux cas, les données peuvent être transmises sans ta connaissance.

Procédure type : (1) Une autorité US (FBI, DOJ, IRS) obtient un subpoena d'un tribunal fédéral américain visant un fournisseur cloud (Microsoft, AWS, OpenAI). (2) Le fournisseur reçoit l'ordonnance et dispose de 7 jours pour contester ou 14 jours pour se conformer. (3) Le fournisseur peut (mais n'est pas toujours obligé) notifier l'utilisateur visé, sauf si l'ordonnance inclut une clause de confidentialité (gag order). (4) Les données sont transmises au DOJ américain. L'utilisateur (l'entreprise française) n'est pas nécessairement informé. En pratique, la majorité des subpoenas Cloud Act incluent un gag order — l'entreprise visée ne sait jamais que ses données ont été communiquées.

Oui, si le fournisseur est une entité américaine. C'est le point clé que beaucoup d'entreprises européennes sous-estiment. AWS Frankfurt, Azure Allemagne, Google Cloud Paris — ces data centers sont en Europe, mais les entités légales qui les opèrent (Amazon Web Services Inc., Microsoft Ireland Operations Ltd. — filiale de Microsoft Corp. US) restent sous juridiction américaine. Le Cloud Act suit la chaîne de contrôle légale, pas la géographie physique. La seule protection effective : choisir un fournisseur sans entité sous contrôle américain — Scaleway (groupe Iliad FR), OVHcloud (groupe OVH FR), Hetzner (Allemagne).

Cinq niveaux de protection, du plus simple au plus robuste : (1) Hébergement souverain : migrer vers Scaleway, OVHcloud ou Hetzner pour les données sensibles. (2) Chiffrement client-side : chiffrer les données avant envoi au cloud, avec des clés gérées par toi seul (Customer-Managed Keys). Même sous subpoena, le fournisseur ne peut livrer que des données chiffrées illisibles. (3) Ségrégation des données : ne stocker que des données non-personnelles ou non-sensibles chez des prestataires US. (4) Analyse d'impact (TIA) : documenter l'exposition résiduelle acceptable et en informer les personnes concernées. (5) Clause contractuelle avec tes clients : les informer de l'exposition et obtenir leur consentement éclairé.

Les transmissions Cloud Act sont majoritairement confidentielles (gag orders), mais quelques cas sont documentés : Microsoft a publié un rapport de transparence indiquant plusieurs milliers de demandes gouvernementales par an, dont une fraction significative inclut des clauses de non-divulgation. En 2024, des investigations journalistiques européennes (Der Spiegel, Le Monde) ont documenté des transferts de données d'entreprises européennes via des filiales US dans des enquêtes commerciales (concurrence, fraude). Pour l'IA spécifiquement : OpenAI et Anthropic n'ont pas publié de rapport de transparence Cloud Act à ce jour (mai 2026), ce qui rend l'exposition opaque. C'est une raison concrète de préférer Mistral (Paris) pour les usages sensibles.