Cloud Act — Christophe Picou — Mai 2026
Un directeur général signe le renouvellement de son contrat Azure. Les commerciaux ont insisté sur l'hébergement européen, la résidence des données contractuellement garantie, le chiffrement, les certifications. Il signe, rassuré. Ce que le contrat ne dit pas, c'est que la garantie de localisation des données ne protège en rien contre une injonction des autorités américaines.
Le 10 juin 2025, devant la commission d'enquête du Sénat français sur les coûts et modalités de la commande publique, le directeur juridique de Microsoft France a été entendu sous serment. La rapporteure a posé la question dans les termes les plus directs : pouvez-vous garantir que les données de citoyens français ne seront jamais transmises aux autorités américaines sans autorisation explicite des autorités françaises ?
Cette phrase, prononcée sous serment par un dirigeant de filiale française d'un hyperscaler américain, est désormais la pièce la plus opposable au discours commercial des fournisseurs cloud américains. Elle confirme ce que les analyses juridiques de la CNIL, du Comité européen de la protection des données et de la doctrine universitaire disent depuis l'adoption du CLOUD Act en mars 2018.
Ce que la loi américaine prévoit
Le Clarifying Lawful Overseas Use of Data Act autorise les autorités judiciaires américaines, dans le cadre d'enquêtes pénales pour crimes graves (terrorisme, cybercriminalité complexe, fraude financière, exploitation d'enfants), à contraindre un fournisseur de services de communications électroniques soumis à la juridiction des États-Unis à fournir les données qu'il possède, garde ou contrôle. La rupture juridique introduite par cette loi tient en une phrase : la localisation des serveurs n'est plus opposable à l'injonction. Que les données soient à Francfort, à Paris, à Zurich ou à Dublin, l'obligation du fournisseur de déférer reste entière dès lors qu'il relève de la juridiction américaine.
L'article 48 du Règlement Général sur la Protection des Données européen prévoit le mécanisme inverse : aucune décision d'une juridiction d'un pays tiers exigeant le transfert de données personnelles ne peut être reconnue, sauf accord international en vigueur. Aucun accord de ce type ne lie aujourd'hui les États-Unis et l'Union européenne sur le périmètre du CLOUD Act. Le fournisseur sous juridiction américaine se trouve donc dans une situation où obéir à Washington viole Bruxelles, et obéir à Bruxelles expose à un outrage au tribunal aux États-Unis. L'impasse est légalement constituée. Elle se résout en pratique au profit du droit américain pour les entreprises américaines.
Ce qui est exposé en pratique
Les rapports de transparence des hyperscalers indiquent que les demandes effectives concernant des entreprises non américaines sont statistiquement rares. Microsoft documentait au premier semestre 2025 que les divulgations de contenu d'entreprises étrangères représentaient 0,008 % des requêtes mondiales. Amazon Web Services indique n'avoir jamais divulgué de données de clients corporatifs ou gouvernementaux non américains dans le cadre d'une injonction CLOUD Act. Ces chiffres rassurent les communicants mais ne suppriment pas le risque : 0,008 % de plusieurs centaines de milliers de requêtes par an reste un nombre significatif, et un dirigeant ne raisonne pas sur des statistiques, il raisonne sur le scénario où son organisation serait concernée.
Plus structurel encore : la perception du risque ne tient pas seulement à la probabilité de saisie. Elle tient au signal donné aux clients, aux régulateurs et aux concurrents par le fait qu'une organisation française ou suisse stocke ses données stratégiques chez un fournisseur dont le directeur juridique a reconnu publiquement sous serment ne pas pouvoir garantir leur protection vis-à-vis des autorités américaines. Le risque réputationnel et le risque réglementaire dépassent désormais le risque statistique de saisie.
Ce qu'un dirigeant doit décider
Migrer l'ensemble du cloud d'une entreprise hors juridiction américaine n'a pas de sens dans la plupart des cas. Trois décisions structurantes sont en revanche à prendre. Premièrement, cartographier l'exposition réelle, donnée par donnée et processus par processus, en partant du mandat stratégique de l'organisation. Données de R et D, données médicales, données financières sensibles, dossiers judiciaires, correspondances exécutives : toutes les données n'ont pas le même niveau d'engagement.
Deuxièmement, fixer des seuils. Certaines catégories de données peuvent rester chez un hyperscaler, sous réserve de chiffrement géré par le client avec clés stockées hors de l'infrastructure du fournisseur, ce qui neutralise mathématiquement l'utilité d'une divulgation forcée si la clé reste hors d'atteinte. D'autres catégories justifient un hébergement sous juridiction exclusivement européenne ou suisse : OVHcloud, Scaleway, IONOS, Hetzner, Infomaniak, Exoscale offrent en 2026 des alternatives opérationnelles avec les limites honnêtes qu'on traite par ailleurs.
Troisièmement, documenter un plan de bascule. La Cour pénale internationale a effectué cette bascule en octobre 2025, abandonnant Microsoft 365 pour OpenDesk après les sanctions américaines visant ses fonctions. Le précédent vaut leçon : la bascule est possible, elle est coûteuse, elle est plus rapide quand elle est documentée à l'avance.
Le CLOUD Act n'est pas un sujet technique. C'est un sujet de direction. Quand un directeur juridique reconnaît sous serment qu'il ne peut rien garantir, la balle n'est plus dans le camp du fournisseur. Elle est dans celui de l'organisation cliente.
Cloud Act : pourquoi vos données en Europe ne sont pas à l'abri
Guide complet sur le sujet : ce qui se décide, ce qui se prépare, ce qui s'arbitre.
Lire la page thématique →