Beaucoup d'entreprises croient qu'un serveur à Francfort protège leurs données d'un accès américain. Le CLOUD Act montre pourquoi c'est faux : ce qui compte, ce n'est pas où se trouvent les serveurs, mais qui contrôle le fournisseur. Comprendre cela, c'est mieux choisir ses outils.
L'essentiel en bref
- Le CLOUD Act est une loi américaine de 2018 qui oblige les fournisseurs américains à livrer les données stockées aux autorités américaines, dans le monde entier.
- Il s'applique indépendamment de l'emplacement du serveur. Un centre de données dans l'UE ne protège pas si le fournisseur a une maison mère américaine.
- Le CLOUD Act entre en conflit avec le RGPD et fait partie des raisons de l'arrêt Schrems II.
- Les entreprises européennes réduisent leur exposition en choisissant des fournisseurs sans lien avec les États-Unis, hébergés dans l'UE et avec un siège européen.
- Moins il y a de services américains dans le stack, plus la surface est réduite.
Qu'est-ce que le CLOUD Act ?
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi américaine de 2018. Elle oblige les fournisseurs américains à remettre, sur réquisition, les données stockées aux autorités américaines, même lorsque ces données se trouvent hors des États-Unis.
La loi est née d'un litige entre Microsoft et le gouvernement américain au sujet de données stockées en Irlande. Avant le CLOUD Act, on ignorait si les autorités américaines pouvaient accéder à des données à l'étranger. Depuis, la réponse est claire : oui, dès lors que le fournisseur relève du droit américain. La fiche sur le CLOUD Act en résume les détails.
L'essentiel est sa portée : le CLOUD Act se rattache au fournisseur, pas au lieu de stockage. Ainsi, toute entreprise ayant un lien avec les États-Unis tombe sous son champ, du groupe à la filiale américaine.
Qui est concerné par le CLOUD Act ?
Tout fournisseur soumis au droit américain, c'est-à-dire les entreprises américaines et leurs filiales dans le monde entier. Pour tes données, cela signifie : dès que tu utilises un service dont la maison mère est aux États-Unis, le CLOUD Act peut s'appliquer, même si ton contrat est signé avec une filiale européenne et que les serveurs sont en Europe.
Cela concerne la plupart des grands fournisseurs de cloud et de logiciels. Une filiale européenne ou un centre de données dans l'UE n'y change rien tant que la maison mère relève du droit américain. C'est précisément cette configuration qui rend l'emplacement du serveur inutile comme critère unique. La vraie question, celle de savoir qui contrôle réellement tes données, est au cœur de la souveraineté numérique.
Ne sont pas concernés les fournisseurs sans lien avec les États-Unis : une entreprise établie dans l'UE, sans maison mère ni filiale américaine, ne peut pas être contrainte de livrer des données au titre du CLOUD Act.
CLOUD Act, RGPD et Schrems II : où est le conflit ?
Le CLOUD Act entre en collision directe avec le RGPD. Le RGPD interdit le transfert de données personnelles vers des pays tiers sans niveau de protection adéquat. Le CLOUD Act exige justement ce transfert dès qu'une autorité américaine l'ordonne. Un fournisseur sous droit américain peut donc se retrouver à enfreindre soit le RGPD, soit le droit américain.
Ce conflit n'est pas marginal. Avec l'arrêt Schrems II, la Cour de justice de l'UE a fortement restreint en 2020 les transferts de données vers les États-Unis, précisément parce que des lois américaines comme le CLOUD Act ne garantissent pas une protection équivalente. Pour les entreprises, il en résulte un risque concret de responsabilité et de documentation.
Que signifie le CLOUD Act pour les entreprises européennes ?
Pour les entreprises européennes, le CLOUD Act signifie que les données confiées à des services américains ne sont jamais totalement sous leur contrôle. C'est particulièrement vrai pour les secteurs à fortes exigences, comme la santé, les cabinets, les administrations et les services financiers, où l'accès aux données par un tiers peut être un critère d'exclusion.
En pratique, le sujet apparaît déjà dans les appels d'offres, les audits et les questionnaires fournisseurs. Indiquer « fournisseur américain sans restriction » risque de faire sortir d'un marché. Des initiatives comme Gaia-X et la Commission européenne montrent que le besoin d'alternatives européennes est largement arrivé.
Comment réduire l'exposition au CLOUD Act ?
En choisissant les fournisseurs selon leur structure juridique et capitalistique, pas seulement selon l'emplacement du serveur. Les principaux points de contrôle :
| Point de contrôle | La réponse souveraine |
|---|---|
Structure du groupe | Fournisseur sans maison mère ni filiale américaine ? |
Point de contrôleStructure du groupe La réponse souveraineFournisseur sans maison mère ni filiale américaine ? | |
Emplacement du serveur | Données bien situées dans l'UE ? |
Point de contrôleEmplacement du serveur La réponse souveraineDonnées bien situées dans l'UE ? | |
Contrat de sous-traitance | Contrat conforme au RGPD en place ? |
Point de contrôleContrat de sous-traitance La réponse souveraineContrat conforme au RGPD en place ? | |
Sous-traitants | Des services américains sont-ils intégrés en arrière-plan ? |
Point de contrôleSous-traitants La réponse souveraineDes services américains sont-ils intégrés en arrière-plan ? | |
Nombre d'outils | Le stack peut-il être consolidé ? |
Point de contrôleNombre d'outils La réponse souveraineLe stack peut-il être consolidé ? | |
Un levier pratique est le nombre de services utilisés. Chaque outil américain de plus est une voie supplémentaire par laquelle les données tombent sous le CLOUD Act. Regrouper les fonctions réduit cette surface. À quoi ressemble un logiciel conforme au RGPD d'un seul fournisseur, notre aperçu le montre. Comment remplacer des outils américains répandus, nos comparatifs d'alternatives conformes au RGPD à Calendly, Microsoft Bookings et Doodle le montrent.
Le CLOUD Act en pratique : l'exemple meetergo
À quoi ressemble un fournisseur sans exposition au CLOUD Act, nous le montrons sur notre propre plateforme. Chez meetergo, nous avons délibérément choisi une structure que le CLOUD Act n'atteint pas.
meetergo est une GmbH dont le siège est en Allemagne, sans maison mère ni filiale américaine, et n'est donc pas soumise au CLOUD Act. Nous hébergeons exclusivement chez Hetzner en Allemagne, avec des serveurs à Francfort et à Nuremberg, et signons un contrat de sous-traitance avec chaque client. Parce que la prise de rendez-vous, les signatures électroniques et un CRM tournent dans une seule plateforme, nous n'avons pas à brancher des services externes qui ramèneraient le risque. Le démarrage est possible avec un forfait Basic gratuit, les forfaits payants commencent à 7 € par mois (tarifs).
Fini l'accès aux données par les US. Passe à la planification RGPD.
Fini l'accès aux données par les US. Passe à la planification RGPD.
Questions fréquentes
Qu'est-ce que le CLOUD Act en termes simples ?
Le CLOUD Act est une loi américaine de 2018 qui oblige les fournisseurs américains à livrer les données stockées aux autorités américaines, même lorsqu'elles sont à l'étranger. Ce qui compte, c'est le fournisseur, pas le lieu de stockage.
Un serveur en Europe protège-t-il du CLOUD Act ?
Non, pas à lui seul. Si le serveur européen appartient à un fournisseur avec une maison mère américaine, le CLOUD Act peut quand même s'appliquer. Ce qui compte aussi, c'est qui contrôle juridiquement le fournisseur.
Le CLOUD Act est-il en contradiction avec le RGPD ?
Oui. Le RGPD interdit les transferts sans niveau de protection adéquat, tandis que le CLOUD Act peut imposer justement ce transfert. Ce conflit a été un point central de l'arrêt Schrems II.
Comment trouver des fournisseurs non soumis au CLOUD Act ?
Vérifie le siège et la structure du groupe : un fournisseur établi dans l'UE, sans maison mère ni filiale américaine, avec un hébergement dans l'UE et un contrat de sous-traitance.
Vérifie ton propre stack
Passe en revue tes outils les plus importants et note pour chacun le siège, l'emplacement du serveur et les sous-traitants. Là où le CLOUD Act s'applique, une alternative européenne mérite réflexion. Pour voir à quoi ressemble un stack hébergé en Allemagne, teste le forfait Basic gratuit de meetergo.
