Quand une entreprise française héberge ses données chez un prestataire américain — même sur un serveur physiquement situé en France — elle s'expose à un risque juridique souvent méconnu. Le Cloud Act américain permet aux autorités des États-Unis d'accéder à ces données, en contradiction directe avec le RGPD européen.
Cet article décrypte ce conflit de droits et explique pourquoi le choix de l'hébergeur est un acte juridique autant que technique.
Le Cloud Act : de quoi s'agit-il ?
Le Clarifying Lawful Overseas Use of Data Act (Cloud Act) est une loi fédérale américaine adoptée le 23 mars 2018. Elle a été votée en réponse à l'affaire Microsoft Ireland, dans laquelle Microsoft refusait de transmettre au FBI des données stockées en Irlande.
Le Cloud Act établit deux principes fondamentaux :
- Accès extraterritorial — les autorités américaines (FBI, NSA, DOJ) peuvent exiger d'une entreprise de droit américain qu'elle communique des données, quel que soit le pays où ces données sont stockées.
- Accords bilatéraux — les États-Unis peuvent signer des accords avec d'autres pays pour faciliter l'accès mutuel aux données (executive agreements).
Point clé
Le Cloud Act ne se limite pas aux serveurs situés aux États-Unis. Il s'applique à toute entreprise soumise au droit américain : siège aux US, filiale d'un groupe américain, ou entreprise cotée sur un marché américain. Un serveur AWS à Paris est donc concerné.
Le RGPD : le cadre européen de protection
Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis le 25 mai 2018, est le texte de référence en matière de protection des données personnelles dans l'Union européenne. Ses principes clés concernant les transferts de données :
- Article 44 — tout transfert de données vers un pays tiers ne peut avoir lieu que si ce pays assure un niveau de protection adéquat
- Article 48 — une décision d'une autorité étrangère ne constitue pas à elle seule un motif légitime de transfert
- Article 49 — les dérogations sont strictement encadrées (consentement explicite, intérêt vital, etc.)
Les sanctions sont lourdes : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial pour les infractions les plus graves.
L'arrêt Schrems II : le tournant
Le 16 juillet 2020, la Cour de Justice de l'Union européenne (CJUE) rend l'arrêt Schrems II (affaire C-311/18). Cet arrêt invalide le Privacy Shield, l'accord qui encadrait les transferts de données entre l'UE et les États-Unis.
Les raisons invoquées par la CJUE :
- Les programmes de surveillance américains (FISA 702, Executive Order 12333) ne respectent pas le principe de proportionnalité
- Les citoyens européens n'ont pas de recours juridique effectif aux États-Unis
- Le Privacy Shield n'offre pas de garanties suffisantes
Depuis cet arrêt, le transfert de données personnelles vers les États-Unis est juridiquement problématique. Le Data Privacy Framework (DPF), adopté en 2023, tente de combler ce vide, mais de nombreux juristes estiment qu'il sera à son tour invalidé (un « Schrems III » est probable).
Cloud Act vs RGPD : le conflit en détail
Le problème est structurel : une entreprise soumise au Cloud Act ne peut pas garantir la conformité RGPD, car elle peut être contrainte de transférer des données sans le consentement du responsable de traitement européen.
| Aspect | Cloud Act (USA) | RGPD (UE) |
|---|---|---|
| Portée | Extraterritoriale (worldwide) | Toute donnée de résident UE |
| Accès données | Autorisé sur mandat judiciaire | Interdit sans base légale UE |
| Information de l'utilisateur | Peut être interdite (gag order) | Obligatoire (transparence) |
| Recours | Tribunaux américains uniquement | Autorités de contrôle UE + tribunaux |
| Données concernées | Toutes (pas seulement personnelles) | Données personnelles |
Le chiffrement ne protège pas
On entend parfois que le chiffrement des données règle le problème. Ce n'est pas le cas : si l'hébergeur détient les clés de chiffrement (ce qui est le cas par défaut chez AWS, Azure ou GCP), le Cloud Act s'applique aux données déchiffrées. Seul un chiffrement côté client avec des clés que l'hébergeur ne possède pas offre une protection — mais il complique significativement l'exploitation.
Les faux-semblants du « cloud souverain »
Face à ces inquiétudes, les hyperscalers américains ont multiplié les initiatives pour rassurer le marché européen : régions cloud en France, partenariats avec des acteurs locaux, labels divers. Il faut rester vigilant.
- AWS région Paris — les serveurs sont en France, mais Amazon est une entreprise de droit américain soumise au Cloud Act.
- Microsoft « EU Data Boundary » — une promesse contractuelle, pas une protection légale. Microsoft reste soumis au Cloud Act.
- Partenariats cloud de confiance — des montages où un opérateur français exploite la technologie d'un hyperscaler US. La question de la dépendance technique et des licences reste posée.
Le label SecNumCloud de l'ANSSI, dans sa version 3.2, exige explicitement l'absence de soumission au droit extra-européen. C'est aujourd'hui le seul référentiel qui garantit réellement l'immunité face au Cloud Act.
Que signifie « héberger en France » ?
Pour qu'un hébergement en France offre une protection réelle, plusieurs conditions doivent être réunies simultanément :
- Localisation physique en France — les serveurs doivent être physiquement situés sur le territoire français, dans un datacenter identifiable.
- Opérateur de droit français ou européen — l'entreprise qui opère l'infrastructure ne doit pas être soumise au droit d'un pays tiers (Cloud Act, FISA, etc.).
- Aucune dépendance capitalistique extra-UE — pas de maison mère, d'actionnaire majoritaire ou de société de contrôle hors de l'UE.
- Chaîne de sous-traitance européenne — les sous-traitants techniques (maintenance, support, supervision) doivent eux aussi être de droit européen.
- Contrat de droit français — le contrat d'hébergement doit être soumis au droit français et relever de la compétence des tribunaux français.
Comment vérifier ?
Avant de confier vos données à un hébergeur, voici les vérifications concrètes à effectuer :
- Extrait Kbis / societe.com — vérifiez le siège social, les dirigeants et l'actionnariat
- Mentions légales — identifiez la société éditrice et son pays d'immatriculation
- Conditions générales — vérifiez la loi applicable et les tribunaux compétents
- DPA (Data Processing Agreement) — exigez un contrat de sous-traitance RGPD précisant la localisation des données
- Liste des sous-traitants — demandez la liste complète des sous-traitants et leur nationalité
- Certifications — SecNumCloud (ANSSI), HDS (santé), ISO 27001 attestent d'un niveau de sécurité
Les sanctions sont réelles
Les autorités européennes de protection des données ont commencé à sanctionner concrètement l'utilisation de services américains :
- La CNIL autrichienne a jugé l'utilisation de Google Analytics contraire au RGPD (janvier 2022)
- La CNIL française a suivi avec la même conclusion (février 2022)
- L'autorité italienne (Garante) a ordonné à des entreprises de cesser d'utiliser Google Analytics
- Meta a été condamné à 1,2 milliard d'euros par la DPC irlandaise pour transferts illégaux de données (mai 2023)
Ces décisions montrent que le risque n'est plus théorique. Les entreprises qui continuent à utiliser des services cloud américains sans garanties suffisantes s'exposent à des sanctions financières et à des risques réputationnels.
Alternatives concrètes
Héberger en France avec un opérateur français ne signifie pas renoncer à la qualité de service. Des alternatives matures existent pour la plupart des usages :
| Service US | Alternative souveraine |
|---|---|
| AWS / Azure / GCP | Hébergeurs français (Datacampus, Scaleway, OVHcloud, Infomaniak) |
| Google Workspace | Nextcloud + Collabora/OnlyOffice |
| Microsoft Teams | Element (Matrix) / Rocket.Chat |
| Google Analytics | Matomo (self-hosted) |
| GitHub | GitLab (self-hosted) / Gitea |
L'engagement Datacampus
Chez Datacampus, la protection de vos données n'est pas une option ou un argument commercial : c'est une conviction inscrite dans nos statuts d'entreprise à mission.
- Siège social à Niort, de droit français, sans actionnariat étranger
- Datacenter au Futuroscope (Chasseneuil-du-Poitou, 86), sur le sol français
- Infrastructure 100 % open source : Proxmox, Ceph, Debian — aucune dépendance propriétaire
- Aucun sous-traitant hors UE : toute la chaîne est française
- Support technique en France : des interlocuteurs directs, pas un helpdesk offshore
Vos données hébergées chez Datacampus ne sont soumises qu'au droit français et européen. Ni le Cloud Act, ni FISA 702, ni aucune loi extra-européenne ne s'y appliquent.
Datacampus — Vos données en France, sous droit français, sans compromis.