Promulgué en mars 2018, le CLOUD Act autorise les autorités judiciaires américaines à contraindre un fournisseur sous juridiction américaine à divulguer les données qu'il possède, garde ou contrôle, indépendamment de la localisation des serveurs. Le 10 juin 2025, devant la commission d'enquête du Sénat français, le directeur juridique de Microsoft France a reconnu sous serment qu'il ne pouvait pas garantir que les données de citoyens français ne seraient jamais transmises aux autorités américaines.
Le Clarifying Lawful Overseas Use of Data Act est une loi américaine adoptée en mars 2018 qui modernise le Stored Communications Act. Elle autorise les autorités judiciaires et les agences fédérales des États-Unis, dans le cadre d'enquêtes pénales dûment mandatées concernant des crimes graves, à contraindre un fournisseur de services de communications électroniques soumis à la juridiction américaine à fournir les données qu'il possède, garde ou contrôle. La rupture juridique fondamentale introduite par cette loi est son détachement de la localisation géographique des serveurs.
Qu'une donnée d'entreprise française ou suisse soit hébergée à Francfort, à Paris, à Zurich ou à Genève n'entrave en rien l'obligation du fournisseur de déférer à l'injonction, dès lors que ce fournisseur est une entité américaine, possède une succursale aux États-Unis, ou y conduit une activité significative. La notion de contrôle de facto ou de jure sur la donnée prévaut, en droit américain, sur la souveraineté territoriale de l'hébergement.
Le CLOUD Act se combine avec deux autres dispositifs extraterritoriaux qu'un dirigeant doit connaître : la section 702 du Foreign Intelligence Surveillance Act et l'Executive Order 12333. L'ensemble compose un régime juridique opposable à tout fournisseur sous juridiction américaine.
L'exposition couvre les données stockées et les données en traitement chez tout fournisseur sous juridiction américaine : les trois hyperscalers (Amazon Web Services, Microsoft Azure, Google Cloud), les éditeurs SaaS américains, et les éditeurs d'IA américains qui hébergent leur infrastructure chez ces mêmes hyperscalers. Le marché européen du cloud est concentré à environ 70 % chez les trois hyperscalers américains selon les données Synergy Research de 2025. Le rapport Draghi de septembre 2024 chiffrait à 65 % cette concentration et notait que le plus gros opérateur cloud européen détenait alors environ 2 % du marché de l'Union.
Le contrôle, au sens du CLOUD Act, ne se limite pas à la donnée stockée. Il couvre les logs d'API, les embeddings produits par un modèle, les outputs traités, et toute donnée mise à disposition du fournisseur dans le cadre d'un service. Dans les architectures IA modernes, où un modèle reçoit en entrée des documents, des bases internes via récupération augmentée, et des prompts engageant la confidentialité, la surface exposée dépasse de loin la donnée traditionnellement entendue.
La promesse contractuelle d'un hébergement européen ne neutralise pas le CLOUD Act. Le 10 juin 2025, devant la commission d'enquête du Sénat français sur les coûts et modalités de la commande publique, le directeur des affaires publiques et juridiques de Microsoft France a été interrogé sur la garantie de non-transmission des données de citoyens français aux autorités américaines. La réponse, rendue sous serment, a été : "Non, je ne peux pas le garantir, mais cela ne s'est encore jamais produit." Le complément technique apporté par le directeur technique secteur public, indiquant que depuis janvier 2025 les données des clients européens ne quittent plus contractuellement l'Union ni au repos, ni en transit, ni en traitement, est sans effet face à une injonction CLOUD Act juridiquement fondée.
Cette audition publique constitue le verbatim le plus opposable à toute affirmation de souveraineté technique par les hyperscalers américains. Elle confirme que les engagements contractuels et les architectures techniques de chiffrement géré par le fournisseur, de cloisonnement régional, de résidence des données, ne couvrent pas le risque d'injonction américaine. Le seul mécanisme contractuel disponible reste la comity analysis introduite par le CLOUD Act lui-même, qui permet théoriquement au fournisseur de contester l'ordonnance s'il estime que la divulgation viole les lois d'un pays étranger et concerne un non-citoyen américain. La jurisprudence montre que la mise en balance opérée par les tribunaux américains se résout au cas par cas, les impératifs de sécurité nationale et d'enquête pénale américaine l'emportant fréquemment sur les principes de confidentialité commerciale étrangers.
L'article 48 du Règlement Général sur la Protection des Données, conçu comme une loi de blocage numérique, stipule qu'aucune décision d'une juridiction ou autorité administrative d'un pays tiers exigeant le transfert ou la divulgation de données personnelles ne peut être reconnue ni rendue exécutoire, sauf accord international en vigueur tel qu'un traité d'entraide judiciaire. Le fournisseur sous juridiction américaine qui défère à une injonction américaine viole frontalement l'article 48. Le fournisseur qui refuse, par fidélité au RGPD, s'expose à un outrage au tribunal aux États-Unis. Ni la Commission européenne ni le législateur américain n'ont à ce jour résolu l'impasse.
L'EU Data Act, applicable depuis septembre 2025, renforce les obligations de portabilité et de réversibilité, mais ne contourne pas la juridiction américaine sur les fournisseurs concernés. Le rapport Draghi de septembre 2024 et son discours de bilan en septembre 2025 reconnaissent explicitement que la souveraineté technique européenne sur la couche cloud reste hors d'atteinte à l'horizon décennal, et que la priorité doit être donnée à la gouvernance des dépendances plutôt qu'à leur substitution intégrale.
Trois familles d'alternatives existent en 2026. La première est constituée des hébergeurs européens à juridiction exclusivement européenne : OVHcloud (France), IONOS et Hetzner (Allemagne), Scaleway (France). OVHcloud propose une offre IA structurée avec GPU NVIDIA H100 et L40S, garantit contractuellement la non-utilisation des données client pour entraîner des modèles tiers, et applique un modèle tarifaire prédictible qui contraste avec les frais cachés de sortie de données des hyperscalers américains. La limite honnête de ces offres réside dans la profondeur du catalogue de services managés : les solutions clé en main de l'écosystème américain n'ont pas d'équivalent direct, ce qui transfère sur les équipes internes une charge d'ingénierie et de MLOps significativement supérieure.
La deuxième famille est suisse. Infomaniak héberge intégralement ses services sur sol helvétique sous juridiction suisse, et a lancé Euria, un assistant IA souverain destiné aux PME, institutions et administrations cherchant une alternative fonctionnelle à ChatGPT avec garantie de confidentialité conforme au droit suisse. Exoscale opère sur le même principe d'hébergement et juridiction exclusivement suisses. La position du Conseil fédéral suisse, exprimée dans le rapport sur la souveraineté numérique du 26 novembre 2025 répondant au postulat Z'graggen, s'oriente vers un pragmatisme fondé sur l'évaluation méthodique des risques plutôt que sur l'exclusion dogmatique des fournisseurs américains.
La troisième famille est le déploiement local de modèles open-weight, qui élimine la juridiction du fournisseur d'origine en internalisant l'infrastructure. Cette option est traitée dans la page Plan B européen.
Migrer l'intégralité du cloud d'une entreprise hors de la juridiction américaine est rarement raisonnable. Le dirigeant doit, en revanche, prendre trois décisions structurantes. La première est la cartographie : quelles données, quels traitements, quels processus décisionnels engagent l'entreprise au point qu'une demande de divulgation aux autorités américaines provoquerait un préjudice matériel, juridique ou réputationnel inacceptable. Cette cartographie ne se construit pas à partir d'un référentiel IT mais à partir du mandat stratégique : données de R et D, données médicales, données financières sensibles, dossiers judiciaires, correspondances exécutives.
La deuxième décision est celle des seuils. Pour chaque catégorie de données identifiée, fixer un seuil d'exposition acceptable à la juridiction américaine. Certaines données peuvent rester chez un hyperscaler avec chiffrement géré par le client et clés stockées hors de l'infrastructure du fournisseur, technique qui neutralise l'utilité d'une divulgation forcée si la clé reste hors d'atteinte. D'autres données justifient un hébergement chez un fournisseur sous juridiction non américaine.
La troisième décision est celle de la trajectoire. La maîtrise d'un plan de bascule documenté et testé sur au moins un cas d'usage critique conditionne la liberté de négociation avec les fournisseurs en place. Cette logique est développée dans la page Plan B européen.
La souveraineté technique européenne, couche par couche, reste hors d'atteinte. La souveraineté décisionnelle, en revanche, se construit. Cartographier l'exposition au CLOUD Act, en gouverner les seuils, documenter les alternatives crédibles, organiser la réversibilité : ce sont des choix de direction, pas des choix d'infrastructure. VEIA est un conseil structurellement indépendant : aucun partenariat commercial avec un hyperscaler, un éditeur ou un intégrateur. Cette indépendance permet de cartographier l'exposition réelle sans biais commercial et d'arbitrer les recommandations sur le seul critère de l'intérêt du client.
Voir le format, sa durée, son livrable et ses conditions de mise en œuvre.
Séance de cadrage - identifier le format adapté à votre contexte.
VEIA.AI est le cabinet de conseil stratégique indépendant fondé par Christophe Picou. Spécialisation : gouvernance IA des dirigeants - COMEX, conseils d'administration, dirigeants institutionnels. Aucun partenariat commercial avec un éditeur ou un intégrateur.