Comprendre

CLOUD Act, la loi américaine qui traverse les frontières.

Adopté en mars 2018, le Clarifying Lawful Overseas Use of Data Act autorise les autorités américaines à exiger d'un fournisseur soumis à leur juridiction la remise de données stockées n'importe où dans le monde. Décryptage de sa portée réelle pour les organisations européennes.

L'essentiel

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi américaine adoptée en mars 2018.

Elle autorise les autorités US à exiger d'un fournisseur soumis à leur juridiction la remise de données stockées n'importe où dans le monde.

Toute entreprise ayant un lien capitalistique ou opérationnel avec les États-Unis est concernée, y compris pour des clients européens.

Les mécanismes de mitigation existent : BYOK, chiffrement applicatif, partenariats souverains (Bleu, S3NS), résidence stricte avec opérateur EU.

Définition

Qu'est-ce que le CLOUD Act ?

Le CLOUD Act, pour Clarifying Lawful Overseas Use of Data Act, est une loi fédérale américaine adoptée le 23 mars 2018 dans le cadre du Consolidated Appropriations Act. Elle modifie le Stored Communications Act de 1986 pour clarifier la portée géographique des injonctions adressées aux fournisseurs de services de communication électronique.

Concrètement, la loi affirme deux principes. Premièrement, un fournisseur soumis à la juridiction américaine doit produire les données qu'il détient, contrôle ou possède, indépendamment de leur lieu physique de stockage. Deuxièmement, le gouvernement américain peut signer des accords exécutifs bilatéraux avec des pays tiers pour faciliter les demandes croisées, sous conditions de garanties juridiques équivalentes.

La portée du CLOUD Act ne se limite donc pas aux entreprises basées aux États-Unis. Toute entité ayant un rattachement opérationnel ou capitalistique suffisant, par exemple une filiale active sur le marché américain, peut se voir notifier une telle injonction.

Contexte historique

De l'affaire Microsoft au texte adopté

Décembre 2013Microsoft refuse de remettre des emails stockés en Irlande à la justice US. Début de la bataille judiciaire qui ira jusqu'à la Cour suprême.

Février 2018Audience à la Cour suprême des États-Unis dans l'affaire United States v. Microsoft Corp.

23 mars 2018Le Congrès adopte le CLOUD Act dans un véhicule législatif budgétaire (Consolidated Appropriations Act). La Cour suprême déclare l'affaire Microsoft sans objet.

2019Premier accord exécutif CLOUD Act signé avec le Royaume-Uni.

2022Discussions ouvertes entre les États-Unis et l'Union européenne sur un éventuel accord-cadre CLOUD Act, sans aboutissement à ce jour.

Impact concret

Ce que cela change pour une organisation européenne

Six conséquences tangibles observées dans les directions juridiques, achats et architecture des grandes organisations européennes depuis 2018.

Données accessibles hors UE

Un mandat américain peut viser des données hébergées dans un datacenter français, opéré par une filiale européenne d'un groupe US. La localisation physique ne crée plus, à elle seule, de barrière juridique.

Pas d'information du client

La procédure peut s'accompagner d'une gag order interdisant au fournisseur d'informer son client de la demande. Le client européen peut ignorer durablement qu'un transfert a eu lieu.

Conflit avec le RGPD

Transférer des données personnelles hors UE sans base légale RGPD expose l'organisation à des sanctions de la CNIL. Le CLOUD Act crée potentiellement un conflit de lois pour les fournisseurs concernés.

Clauses contractuelles à revoir

Les conditions générales de la plupart des hyperscalers prévoient désormais une clause CLOUD Act. Les contrats publics et OIV doivent y répondre par des engagements de notification et de résidence renforcés.

Coût de mise en conformité

Pour les acteurs régulés (santé, finance, défense), évaluer puis encadrer l'exposition CLOUD Act mobilise juristes, architectes et achats. Ce coût pèse sur le TCO réel des solutions concernées.

Effet de réputation

Dans les appels d'offres publics européens, l'exposition CLOUD Act devient un critère discriminant. Plusieurs administrations exigent désormais une attestation d'immunité ou un hébergement chez un opérateur SecNumCloud.

Idées reçues

Trois confusions fréquentes

« Mes données sont en région UE, donc je suis protégé. »

La région cloud désigne l'emplacement physique. Elle ne change pas la juridiction du fournisseur. Si la maison-mère est américaine, le CLOUD Act s'applique.

« Le chiffrement managé de mon fournisseur me protège. »

Si le fournisseur détient ou peut accéder aux clés, il peut être contraint de déchiffrer. Seuls le BYOK avec HSM externe ou le chiffrement applicatif côté client offrent une garantie technique.

« Le CLOUD Act n'a jamais été utilisé contre des données européennes. »

Les demandes sont confidentielles par construction et souvent assorties d'une gag order. Les statistiques officielles publiées par les fournisseurs (transparency reports) montrent un volume significatif de demandes US, sans détail par juridiction du client final.

Questions fréquentes

Ce qu'il faut savoir en 5 questions

Qu'est-ce que le CLOUD Act ?

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi federale americaine adoptee le 23 mars 2018. Elle autorise les autorites US a exiger d'un fournisseur soumis a leur juridiction la remise de donnees stockees a l'etranger, sous certaines conditions.

Le CLOUD Act s'applique-t-il en Europe ?

Indirectement, oui. Tout fournisseur ayant un rattachement opérationnel ou capitalistique aux Etats-Unis peut etre concerne, y compris ses filiales europeennes. La localisation physique des donnees en Europe ne cree donc pas, a elle seule, de barriere juridique.

Quelles entreprises sont concernees ?

Toutes les entites soumises au droit americain : entreprises americaines (AWS, Microsoft, Google), filiales europeennes integrees de groupes US, et leurs sous-traitants. Les acteurs purement europeens sans capitaux ni operations aux USA ne sont pas vises.

Comment se proteger du CLOUD Act ?

Plusieurs leviers : choisir un fournisseur europeen sous controle europeen, utiliser un partenariat encadre (Bleu, S3NS) avec qualification SecNumCloud, deployer BYOK ou HYOK avec HSM externe, ou chiffrer cote client avant tout envoi vers un service expose. La combinaison de ces mesures depend du niveau de sensibilite.

Le RGPD protege-t-il du CLOUD Act ?

Non. Le RGPD encadre le traitement des donnees personnelles mais ne neutralise pas une injonction etrangere. Au contraire, une remise au titre du CLOUD Act peut creer un conflit avec le RGPD, exposant l'organisation a des sanctions CNIL. C'est l'un des arguments du debat Schrems II.

Sources et références

Pour aller plus loin

Texte officiel du CLOUD Act, Public Law 115-141, Division V (govinfo.gov)

Department of Justice, CLOUD Act resources page (justice.gov)

European Data Protection Board, Initial legal assessment of the impact of the US CLOUD Act on the EU legal framework (2019)

Étude du Parlement européen, Impact of US extraterritorial sanctions on European Union (2020)

ANSSI, Doctrine cloud au centre et référentiel SecNumCloud (ssi.gouv.fr)

Sur NextHop

Évaluer votre exposition

Observatoire de la souverainetéLe critère « immunité aux lois extraterritoriales » est l'un des 6 axes du scoring. Filtrez les fournisseurs par leur exposition au CLOUD Act.Audit cloud souverainNotre forfait Diagnostic inclut un audit d'exposition CLOUD Act sur votre patrimoine SaaS et cloud.FISA Section 702Le CLOUD Act n'est pas le seul outil de réquisition US. La section 702 du FISA vise spécifiquement le renseignement et complète la cartographie du risque.

Voir l'observatoire Demander un audit