En bref
- Le Cloud Act est une loi américaine de 2018 qui autorise les autorités des États-Unis à accéder aux données de toute entreprise américaine, quel que soit le pays où les données sont stockées
- Google, Dropbox, Microsoft sont des entreprises américaines : le Cloud Act s'applique à leurs services, même si leurs serveurs sont en Europe
- La solution : confier vos données à une entreprise française, pas américaine. Peu importe que les serveurs de Google soient en Irlande ou à Paris, c'est Google qui les opère, donc le Cloud Act s'applique. Avec un hébergeur français, vous sortez de cette juridiction
Qu’est-ce que le Cloud Act ?
Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est une loi fédérale américaine adoptée le 23 mars 2018. Elle tient en une idée simple : les autorités américaines peuvent contraindre toute entreprise soumise à la juridiction des États-Unis à leur fournir des données, quel que soit le pays où ces données sont physiquement stockées.
Avant le Cloud Act, il existait un flou juridique. Si Microsoft hébergeait des données en Irlande, le gouvernement américain devait passer par des accords internationaux pour y accéder. C’était lent et incertain. Microsoft avait même gagné un procès sur ce point en 2016.
Le Cloud Act a réglé la question. En faveur du gouvernement américain. Désormais, la localisation physique des serveurs n’a plus d’importance. Ce qui compte, c’est la nationalité de l’entreprise qui opère le service.
Google est américain. Microsoft est américain. Amazon est américain. Dropbox est américain. Peu importe que leurs serveurs soient à Dublin, Amsterdam ou Francfort.
Qui est concerné concrètement ?
La question revient souvent : “Mon entreprise est petite, est-ce que ça me concerne vraiment ?” La réponse est oui. Le Cloud Act ne fait pas de distinction de taille. Il s’applique au prestataire, pas au client.
Voici les situations les plus courantes :
Vous utilisez Google Drive ou Google Workspace
Vos documents, vos emails, vos fichiers partagés sont stockés par Google. Google est soumis au Cloud Act. Vos données aussi.
Vous utilisez Microsoft 365, SharePoint ou OneDrive
Même logique. Microsoft est une entreprise américaine. Même si votre tenant est configuré sur la région “Europe”, le Cloud Act s’applique.
Vous utilisez Dropbox
Dropbox est basé à San Francisco. Tous vos fichiers sont dans le périmètre du Cloud Act.
Vous utilisez un outil SaaS américain pour vos documents
Notion, Slack, Box, Airtable. Dès que l’éditeur est une entreprise américaine, le Cloud Act peut s’appliquer.
Cela ne signifie pas que le gouvernement américain consulte vos fichiers en permanence. Cela signifie qu’il peut le demander, qu’il obtiendra probablement une réponse, et que vous n’en serez pas nécessairement informé.
Qu’est-ce que ça change pour votre entreprise ?
Trois points méritent d’être compris clairement.
Pas de notification obligatoire
Lorsque les autorités américaines émettent une demande dans le cadre du Cloud Act, l’entreprise américaine peut être tenue au secret. Elle n’a pas l’obligation de vous prévenir. Vos documents peuvent être transmis sans que vous le sachiez.
Pas de recours direct
Vous n’êtes pas partie prenante de la procédure. La demande est faite à Google, Microsoft ou Dropbox. Pas à vous. Vous n’avez pas voix au chapitre. Vous ne pouvez pas contester la demande devant un tribunal américain, parce que vous n’en aurez probablement jamais connaissance.
Le périmètre va au-delà du pénal
Le Cloud Act ne sert pas uniquement pour les enquêtes criminelles. Il peut être mobilisé dans le cadre du renseignement économique. Pour une entreprise qui détient des informations stratégiques, des réponses à des appels d’offres, des données de R&D ou des négociations commerciales, ce n’est pas anodin.
Concrètement : si vous êtes une PME qui stocke ses contrats, ses propositions commerciales et ses données clients dans Google Drive, il existe un cadre légal qui permet à un gouvernement étranger d’accéder à ces documents sans votre accord et sans vous prévenir.
Ce n’est pas un risque théorique. C’est un mécanisme juridique opérationnel.
Que pouvez-vous faire ?
La bonne nouvelle, c’est que les alternatives existent. L’écosystème français et européen a beaucoup progressé ces dernières années.
Choisir un hébergement français
Des hébergeurs français proposent un hébergement en France, opéré par des entreprises non soumises au Cloud Act. Vos données restent sous juridiction française et européenne.
Choisir un modèle d’IA européen
Si vous utilisez un outil qui analyse vos documents, vérifiez quel modèle d’IA est utilisé et où il tourne. Envoyer vos fichiers à un modèle hébergé aux États-Unis revient au même que de les stocker sur un serveur américain. ChatGPT (OpenAI) est une entreprise américaine : le Cloud Act s’y applique. Mistral, entreprise française, propose des modèles performants qui fonctionnent sur des infrastructures européennes.
Choisir, tout simplement
La souveraineté totale n’est pas nécessaire pour tout le monde. Certaines entreprises manipulent des données très sensibles (professions réglementées, défense, santé). D’autres ont des besoins plus classiques. L’important, c’est que ce soit vous qui décidiez du niveau de protection, pas votre prestataire par défaut.
C’est l’approche qu’on a retenue chez Archesia. On propose trois modes d’hébergement, selon le niveau de sensibilité de vos données :
- Cloud mutualisé hébergé en France : pour les PME et agences qui veulent sortir des outils américains sans contrainte d’infrastructure. Vos données sont cloisonnées et ne transitent jamais hors de France.
- Cloud isolé : pour les entreprises qui traitent des données confidentielles (données clients, informations stratégiques, réponses à des appels d’offres). Votre propre infrastructure dédiée, toujours en France, sans mutualisation avec d’autres clients.
- Installation sur vos propres serveurs : pour les professions réglementées et les organisations qui exigent un contrôle total sur leurs données. Tout reste sur votre infrastructure, sans aucune dépendance externe.
Dans tous les cas, c’est vous qui choisissez le niveau de protection. Pas votre prestataire par défaut.
Pour aller plus loin sur le sujet de l’hébergement et du RGPD, on a écrit un guide détaillé sur ce que le RGPD exige vraiment.
Questions fréquentes
Le Cloud Act s'applique-t-il même si mes données sont hébergées en Europe ?
Oui. Le Cloud Act ne dépend pas de la localisation des serveurs. Il dépend de la nationalité de l'entreprise qui opère le service. Si votre prestataire est américain (Google, Microsoft, Dropbox, Amazon), le Cloud Act s'applique, même si les serveurs sont à Paris ou à Amsterdam.
Est-ce que le Cloud Act est utilisé en pratique ?
Oui. Les rapports de transparence de Google et Microsoft montrent des dizaines de milliers de demandes d'accès par an de la part des autorités américaines. Le Cloud Act a simplifié et accéléré ce processus pour les données stockées hors des États-Unis.
Le RGPD ne me protège-t-il pas du Cloud Act ?
Le RGPD impose des obligations à votre entreprise en tant que responsable de traitement. Mais il ne peut pas empêcher une entreprise américaine de se conformer à une loi américaine. En cas de conflit entre le RGPD et le Cloud Act, l'entreprise américaine est prise en étau. En pratique, elle obéit à la loi de son pays.
Quelles sont les alternatives concrètes à Google Drive ou SharePoint ?
Archesia est une GED française avec recherche sémantique et synthèse sourcée, hébergée en France et non soumise au Cloud Act. Vos documents restent sous juridiction française, le modèle d'IA est européen, et vous choisissez le niveau de protection selon vos besoins.
Dois-je migrer tous mes documents immédiatement ?
Pas nécessairement. L'approche pragmatique consiste à identifier vos documents les plus sensibles (contrats, données clients, informations stratégiques) et à les placer sous un hébergement souverain en priorité. Certains outils, comme Archesia, se connectent à Google Drive pour travailler avec vos fichiers existants sans migration brutale.