Aller au contenu
NNextHop
Comprendre

CLOUD Act, la loi américaine qui traverse les frontières.

Adopté en mars 2018, le Clarifying Lawful Overseas Use of Data Act autorise les autorités américaines à exiger d'un fournisseur soumis à leur juridiction la remise de données stockées n'importe où dans le monde. Décryptage de sa portée réelle pour les organisations européennes.

L'essentiel

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi américaine adoptée en mars 2018.
Elle autorise les autorités US à exiger d'un fournisseur soumis à leur juridiction la remise de données stockées n'importe où dans le monde.
Toute entreprise ayant un lien capitalistique ou opérationnel avec les États-Unis est concernée, y compris pour des clients européens.
Les mécanismes de mitigation existent : BYOK, chiffrement applicatif, partenariats souverains (Bleu, S3NS), résidence stricte avec opérateur EU.

Définition

Qu'est-ce que le CLOUD Act ?

Le CLOUD Act, pour Clarifying Lawful Overseas Use of Data Act, est une loi fédérale américaine adoptée le 23 mars 2018 dans le cadre du Consolidated Appropriations Act. Elle modifie le Stored Communications Act de 1986 pour clarifier la portée géographique des injonctions adressées aux fournisseurs de services de communication électronique.

Concrètement, la loi affirme deux principes. Premièrement, un fournisseur soumis à la juridiction américaine doit produire les données qu'il détient, contrôle ou possède, indépendamment de leur lieu physique de stockage. Deuxièmement, le gouvernement américain peut signer des accords exécutifs bilatéraux avec des pays tiers pour faciliter les demandes croisées, sous conditions de garanties juridiques équivalentes.

La portée du CLOUD Act ne se limite donc pas aux entreprises basées aux États-Unis. Toute entité ayant un rattachement opérationnel ou capitalistique suffisant, par exemple une filiale active sur le marché américain, peut se voir notifier une telle injonction.

Contexte historique

De l'affaire Microsoft au texte adopté

Décembre 2013Microsoft refuse de remettre des emails stockés en Irlande à la justice US. Début de la bataille judiciaire qui ira jusqu'à la Cour suprême.
Février 2018Audience à la Cour suprême des États-Unis dans l'affaire United States v. Microsoft Corp.
23 mars 2018Le Congrès adopte le CLOUD Act dans un véhicule législatif budgétaire (Consolidated Appropriations Act). La Cour suprême déclare l'affaire Microsoft sans objet.
2019Premier accord exécutif CLOUD Act signé avec le Royaume-Uni.
2022Discussions ouvertes entre les États-Unis et l'Union européenne sur un éventuel accord-cadre CLOUD Act, sans aboutissement à ce jour.

Impact concret

Ce que cela change pour une organisation européenne

Six conséquences tangibles observées dans les directions juridiques, achats et architecture des grandes organisations européennes depuis 2018.

Données accessibles hors UE

Un mandat américain peut viser des données hébergées dans un datacenter français, opéré par une filiale européenne d'un groupe US. La localisation physique ne crée plus, à elle seule, de barrière juridique.

Pas d'information du client

La procédure peut s'accompagner d'une gag order interdisant au fournisseur d'informer son client de la demande. Le client européen peut ignorer durablement qu'un transfert a eu lieu.

Conflit avec le RGPD

Transférer des données personnelles hors UE sans base légale RGPD expose l'organisation à des sanctions de la CNIL. Le CLOUD Act crée potentiellement un conflit de lois pour les fournisseurs concernés.

Clauses contractuelles à revoir

Les conditions générales de la plupart des hyperscalers prévoient désormais une clause CLOUD Act. Les contrats publics et OIV doivent y répondre par des engagements de notification et de résidence renforcés.

Coût de mise en conformité

Pour les acteurs régulés (santé, finance, défense), évaluer puis encadrer l'exposition CLOUD Act mobilise juristes, architectes et achats. Ce coût pèse sur le TCO réel des solutions concernées.

Effet de réputation

Dans les appels d'offres publics européens, l'exposition CLOUD Act devient un critère discriminant. Plusieurs administrations exigent désormais une attestation d'immunité ou un hébergement chez un opérateur SecNumCloud.

Idées reçues

Trois confusions fréquentes

« Mes données sont en région UE, donc je suis protégé. »
La région cloud désigne l'emplacement physique. Elle ne change pas la juridiction du fournisseur. Si la maison-mère est américaine, le CLOUD Act s'applique.
« Le chiffrement managé de mon fournisseur me protège. »
Si le fournisseur détient ou peut accéder aux clés, il peut être contraint de déchiffrer. Seuls le BYOK avec HSM externe ou le chiffrement applicatif côté client offrent une garantie technique.
« Le CLOUD Act n'a jamais été utilisé contre des données européennes. »
Les demandes sont confidentielles par construction et souvent assorties d'une gag order. Les statistiques officielles publiées par les fournisseurs (transparency reports) montrent un volume significatif de demandes US, sans détail par juridiction du client final.

Questions fréquentes

Ce qu'il faut savoir en 5 questions

Qu'est-ce que le CLOUD Act ?

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi fédérale américaine adoptée le 23 mars 2018. Elle autorise les autorités US à exiger d'un fournisseur soumis à leur juridiction la remise de données stockées à l'étranger, sous certaines conditions.

Le CLOUD Act s'applique-t-il en Europe ?

Indirectement, oui. Tout fournisseur ayant un rattachement opérationnel ou capitalistique aux États-Unis peut être concerné, y compris ses filiales européennes. La localisation physique des données en Europe ne crée donc pas, à elle seule, de barrière juridique.

Quelles entreprises sont concernées ?

Toutes les entités soumises au droit américain : entreprises américaines (AWS, Microsoft, Google), filiales européennes intégrées de groupes US, et leurs sous-traitants. Les acteurs purement européens sans capitaux ni opérations aux USA ne sont pas visés.

Comment se protéger du CLOUD Act ?

Plusieurs leviers : choisir un fournisseur européen sous contrôle européen, utiliser un partenariat encadré (Bleu, S3NS) avec qualification SecNumCloud, déployer BYOK ou HYOK avec HSM externe, ou chiffrer côté client avant tout envoi vers un service exposé. La combinaison de ces mesures dépend du niveau de sensibilité.

Le RGPD protège-t-il du CLOUD Act ?

Non. Le RGPD encadre le traitement des données personnelles mais ne neutralise pas une injonction étrangère. Au contraire, une remise au titre du CLOUD Act peut créer un conflit avec le RGPD, exposant l'organisation à des sanctions CNIL. C'est l'un des arguments du débat Schrems II.

Sources et références

Pour aller plus loin

European Data Protection Board, Initial legal assessment of the impact of the US CLOUD Act on the EU legal framework (2019)
Étude du Parlement européen, Impact of US extraterritorial sanctions on European Union (2020)

Sur NextHop

Évaluer votre exposition