L'essentiel
Définition
Qu'est-ce que le CLOUD Act ?
Le CLOUD Act, pour Clarifying Lawful Overseas Use of Data Act, est une loi fédérale américaine adoptée le 23 mars 2018 dans le cadre du Consolidated Appropriations Act. Elle modifie le Stored Communications Act de 1986 pour clarifier la portée géographique des injonctions adressées aux fournisseurs de services de communication électronique.
Concrètement, la loi affirme deux principes. Premièrement, un fournisseur soumis à la juridiction américaine doit produire les données qu'il détient, contrôle ou possède, indépendamment de leur lieu physique de stockage. Deuxièmement, le gouvernement américain peut signer des accords exécutifs bilatéraux avec des pays tiers pour faciliter les demandes croisées, sous conditions de garanties juridiques équivalentes.
La portée du CLOUD Act ne se limite donc pas aux entreprises basées aux États-Unis. Toute entité ayant un rattachement opérationnel ou capitalistique suffisant, par exemple une filiale active sur le marché américain, peut se voir notifier une telle injonction.
Contexte historique
De l'affaire Microsoft au texte adopté
Impact concret
Ce que cela change pour une organisation européenne
Six conséquences tangibles observées dans les directions juridiques, achats et architecture des grandes organisations européennes depuis 2018.
Données accessibles hors UE
Un mandat américain peut viser des données hébergées dans un datacenter français, opéré par une filiale européenne d'un groupe US. La localisation physique ne crée plus, à elle seule, de barrière juridique.
Pas d'information du client
La procédure peut s'accompagner d'une gag order interdisant au fournisseur d'informer son client de la demande. Le client européen peut ignorer durablement qu'un transfert a eu lieu.
Conflit avec le RGPD
Transférer des données personnelles hors UE sans base légale RGPD expose l'organisation à des sanctions de la CNIL. Le CLOUD Act crée potentiellement un conflit de lois pour les fournisseurs concernés.
Clauses contractuelles à revoir
Les conditions générales de la plupart des hyperscalers prévoient désormais une clause CLOUD Act. Les contrats publics et OIV doivent y répondre par des engagements de notification et de résidence renforcés.
Coût de mise en conformité
Pour les acteurs régulés (santé, finance, défense), évaluer puis encadrer l'exposition CLOUD Act mobilise juristes, architectes et achats. Ce coût pèse sur le TCO réel des solutions concernées.
Effet de réputation
Dans les appels d'offres publics européens, l'exposition CLOUD Act devient un critère discriminant. Plusieurs administrations exigent désormais une attestation d'immunité ou un hébergement chez un opérateur SecNumCloud.
Idées reçues
Trois confusions fréquentes
Questions fréquentes
Ce qu'il faut savoir en 5 questions
Qu'est-ce que le CLOUD Act ?
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi fédérale américaine adoptée le 23 mars 2018. Elle autorise les autorités US à exiger d'un fournisseur soumis à leur juridiction la remise de données stockées à l'étranger, sous certaines conditions.
Le CLOUD Act s'applique-t-il en Europe ?
Indirectement, oui. Tout fournisseur ayant un rattachement opérationnel ou capitalistique aux États-Unis peut être concerné, y compris ses filiales européennes. La localisation physique des données en Europe ne crée donc pas, à elle seule, de barrière juridique.
Quelles entreprises sont concernées ?
Toutes les entités soumises au droit américain : entreprises américaines (AWS, Microsoft, Google), filiales européennes intégrées de groupes US, et leurs sous-traitants. Les acteurs purement européens sans capitaux ni opérations aux USA ne sont pas visés.
Comment se protéger du CLOUD Act ?
Plusieurs leviers : choisir un fournisseur européen sous contrôle européen, utiliser un partenariat encadré (Bleu, S3NS) avec qualification SecNumCloud, déployer BYOK ou HYOK avec HSM externe, ou chiffrer côté client avant tout envoi vers un service exposé. La combinaison de ces mesures dépend du niveau de sensibilité.
Le RGPD protège-t-il du CLOUD Act ?
Non. Le RGPD encadre le traitement des données personnelles mais ne neutralise pas une injonction étrangère. Au contraire, une remise au titre du CLOUD Act peut créer un conflit avec le RGPD, exposant l'organisation à des sanctions CNIL. C'est l'un des arguments du débat Schrems II.
Sources et références
Pour aller plus loin
Sur NextHop