Tous les articles
Souveraineté · Archesia

Utilisation d'outils américains (Google Drive, SharePoint...) : le risque que les cabinets sous-estiment

Stratégies de croissance, analyses d'acquisition, plans de restructuration : les livrables d'un cabinet sont parmi les données les plus sensibles qui existent. Pourtant, beaucoup d'entreprises les confient à des solutions américaines, soumises au Cloud Act.

En bref

  • Les cabinets de conseil produisent certaines des données les plus sensibles qui existent : stratégies confidentielles, analyses d'acquisition, plans de restructuration de grandes entreprises
  • La plupart de ces données sont stockées sur Google Drive, SharePoint ou Dropbox : des plateformes américaines soumises au Cloud Act. Le gouvernement américain peut y accéder sans passer par la justice française, et sans en informer le cabinet ni son client
  • Un NDA ne protège pas contre une demande légale américaine. La responsabilité du cabinet peut être engagée si un livrable confidentiel est compromis

Des données parmi les plus sensibles qui existent

Un cabinet de conseil accompagne ses clients sur leurs décisions les plus importantes. Les documents qui y sont liés n’ont pas de prix. Leur divulgation pourrait compromettre une négociation d’acquisition, alerter des concurrents, déstabiliser des équipes, faire bouger les marchés.

Et pourtant, dans la grande majorité des cabinets, ces documents sont stockés sur Google Drive, SharePoint ou Dropbox. Des plateformes pratiques, bien maîtrisées par les équipes.

Sauf que ces plateformes sont opérées par des entreprises américaines. Et les entreprises américaines sont soumises au Cloud Act.

Le Cloud Act : ce qu’il dit vraiment

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est une loi américaine adoptée en 2018. Elle autorise le gouvernement américain à demander à n’importe quelle entreprise technologique américaine de lui fournir les données qu’elle héberge, y compris les données stockées sur des serveurs en dehors des États-Unis.

Concrètement : Google peut être contraint de fournir les données de votre Drive à une agence gouvernementale américaine. Sans passer par la justice française. Sans avoir besoin d’un accord d’entraide judiciaire. Et sans nécessairement être tenu d’en informer les utilisateurs concernés.

On détaille ce mécanisme en profondeur dans cet article dédié. Ce qu’il faut retenir ici : le Cloud Act ne concerne pas que les données personnelles grand public. Il s’applique aux données d’entreprise, aux données professionnelles, aux livrables de conseil.

Votre NDA ne protège pas contre ça

La réaction habituelle à ce point : “On a des accords de confidentialité avec nos clients. On est couverts.”

Non. Un NDA est un contrat entre deux parties privées. Il ne s’oppose pas à une demande légale émanant d’un gouvernement souverain. Si les autorités américaines demandent à Google l’accès à vos fichiers, Google n’a pas le choix. Votre NDA ne change rien à l’équation légale.

Ce n’est pas théorique. Des affaires d’espionnage industriel impliquant des données hébergées sur des plateformes cloud américaines ont déjà été documentées. Le contexte géopolitique actuel rend la question d’autant moins abstraite.

La question n’est pas “Est-ce que ça va nous arriver ?” La question est : “Sommes-nous dans une situation où ça pourrait arriver, et avons-nous pris les dispositions pour l’éviter ?”

Ce que vos clients ne savent probablement pas

La plupart des clients qui confient leurs documents les plus sensibles à un cabinet de conseil ne savent pas où ces documents sont stockés. Ils font confiance au cabinet pour gérer cela de façon appropriée.

Certains, notamment les grandes entreprises cotées, les entreprises dans des secteurs régulés, ou celles qui ont déjà été confrontées à des questions de souveraineté des données, commencent à poser des questions précises : “Où sont stockés nos livrables ?” “Qui peut y accéder ?” “Votre infrastructure est-elle soumise au Cloud Act ?”

Un cabinet qui utilise Google Drive ne peut pas répondre favorablement à ces questions. Mais un cabinet de conseil qui héberge ses données en France, au travers d’un prestataire français, comme Archesia, peut le faire.

À mesure que la sensibilité à ces sujets augmente, la question de l’hébergement en France devient un argument différenciant pour les cabinets qui l’ont anticipé, et un risque réputationnel pour ceux qui ne l’ont pas traité.

Ce que ça change pour un cabinet

Passer à une infrastructure souveraine ne signifie pas réorganiser entièrement ses méthodes de travail. Les solutions qui permettent aux consultants de continuer à travailler comme ils en ont l’habitude, tout en garantissant que les données restent en France, existent.

Chez Archesia, les données sont hébergées en France, sur des infrastructures non soumises au Cloud Act. Vous pouvez connecter votre Google Drive existant pour garder vos habitudes de travail tout en centralisant les livrables les plus sensibles dans un environnement souverain. Pour les cabinets dont les clients ont des exigences plus fortes, une installation directement sur vos propres serveurs est aussi possible : zéro donnée dans le cloud, contrôle total.

La confidentialité des données client n’est pas qu’une formalité contractuelle. C’est une responsabilité concrète, dont les implications légales et réputationnelles sont sous-estimées par la plupart des cabinets. La page dédiée aux cabinets de conseil détaille comment Archesia répond à ces exigences. Et si vous voulez en parler directement, c’est par ici.

Questions fréquentes

Le Cloud Act s'applique-t-il même si les données sont stockées sur des serveurs en Europe ?

Oui. C'est précisément le point central du Cloud Act. Il s'applique à toute entreprise américaine, quel que soit le lieu de stockage physique des données. Google, Microsoft et Dropbox sont des entreprises américaines : leurs serveurs en Europe sont soumis au Cloud Act au même titre que leurs serveurs aux États-Unis.

SharePoint est-il concerné aussi ?

Oui. Microsoft est une entreprise américaine soumise au Cloud Act. SharePoint Online, OneDrive et Teams hébergent leurs données sur l'infrastructure Microsoft, quelle que soit la région configurée. Les données restent accessibles aux autorités américaines sur demande légale.

Quelle est la différence entre RGPD et Cloud Act ?

Le RGPD régit la protection des données personnelles dans l'Union européenne. Le Cloud Act est une loi américaine qui donne aux autorités américaines un droit d'accès aux données hébergées par des entreprises américaines. Ces deux cadres s'appliquent simultanément et peuvent entrer en tension : le RGPD n'immunise pas contre le Cloud Act.

Comment expliquer ce risque à nos clients ?

La formulation la plus claire : "Nos livrables sont actuellement hébergés sur des plateformes américaines soumises au Cloud Act. Cela signifie que le gouvernement américain peut demander l'accès à ces données sans passer par la justice française. Nous avons décidé de migrer vers une infrastructure hébergée en France pour éliminer ce risque." Vos clients apprécieront votre transparence et vous accorderont d'autant plus leur confiance.

Archesia peut-il se connecter à notre Drive existant tout en hébergeant les données en France ?

Oui. Archesia peut s'indexer sur votre Google Drive existant tout en stockant les données traitées et les livrables produits dans Archesia sur des serveurs hébergés en France. Vous pouvez aussi choisir de centraliser progressivement vos documents les plus sensibles dans Archesia, en gardant Drive pour les documents moins critiques.

Devenez client fondateur.

Nous cherchons nos premiers clients pilotes pour tester Archesia sur des cas variés. En échange : tarifs privilégiés, contact direct avec les fondateurs, et développements sur-mesure selon vos besoins.

Nous contacter