Si vos données reposent sur une infrastructure opérée par une entreprise américaine, les autorités américaines peuvent en exiger l’accès. C’est le Cloud Act en une phrase. Tout le reste de cet article est du détail, mais c’est le détail sur lequel les conseils d’administration, les DPO et les régulateurs interrogent de plus en plus les DSI européens.
Ce que dit vraiment le Cloud Act
Le Clarifying Lawful Overseas Use of Data Act, voté en 2018, permet aux autorités américaines d’exiger d’un fournisseur soumis au droit américain la communication de données, quel que soit l’endroit où elles sont stockées. Le mot clé est fournisseur, pas datacenter. Si l’entité qui opère le service relève de la juridiction américaine, l’emplacement physique des octets ne compte pas.
La Section 702 de FISA va plus loin à des fins de renseignement : elle autorise la collecte ciblée sur des personnes non américaines situées hors des États-Unis, toujours via des fournisseurs américains, et sans que la personne concernée n’en soit jamais informée.
« Mais mes données sont dans une région UE »
C’est l’idée reçue la plus répandue, et elle pèse lourd dans les décisions d’achat. Choisir une région Francfort ou Paris chez un hyperscaler américain améliore la latence et peut aider sur certaines exigences de résidence. Cela ne change pas la juridiction. L’entité opératrice reste contraignable en droit américain, et la maison mère ne peut pas promettre le contraire par contrat, car aucun contrat ne prime sur une loi.
Les institutions européennes l’ont reconnu à plusieurs reprises : l’arrêt Schrems II a invalidé le Privacy Shield précisément parce que le droit américain de la surveillance a été jugé incompatible avec les droits fondamentaux européens, et les lignes directrices du CEPD demandent depuis aux exportateurs de données d’évaluer si le régime juridique de l’importateur vide le RGPD de sa substance.
Ce qu’exige une vraie immunité
L’immunité face au droit américain extraterritorial est structurelle, pas contractuelle. Le test est simple : existe-t-il, quelque part dans la chaîne, une entité américaine à qui une injonction peut être signifiée ? Cela inclut :
- Le fournisseur cloud qui opère l’infrastructure
- L’éditeur qui opère le plan de contrôle de votre plateforme
- Tout sous-traitant ayant accès à vos données ou à vos clés
Si la réponse est non à chaque niveau, le Cloud Act n’a personne à contraindre. C’est pourquoi l’architecture de votre plateforme data compte autant que celle de votre cloud : un cloud européen sous une plateforme opérée par une entité américaine laisse la couche plateforme contraignable.
Une checklist pratique
Avant votre prochaine décision de plateforme, posez ces questions à chaque fournisseur :
- Qui opère le plan de contrôle, et sous quelle juridiction ? Pas où il est hébergé : qui détient l’entité qui l’opère.
- Qui détient les clés de chiffrement ? Si le fournisseur peut déchiffrer, il peut y être contraint.
- Où vivent physiquement les données, et pouvez-vous le prouver ? La résidence doit être un fait vérifiable, pas une slide.
- Pouvez-vous partir avec vos données intactes ? Des formats ouverts sur un stockage qui vous appartient transforment un risque juridique en risque gérable.
Comment Polnor répond à ces questions
Polnor a été construit pour que les réponses soient courtes. Le plan de contrôle tourne en France, opéré par une entité européenne. Le plan de données, compute, stockage, warehouses, tourne entièrement dans votre propre compte OVHcloud ou Scaleway : votre VPC, votre bucket, vos clés, chiffrées au repos. Vos tables sont en Apache Iceberg ouvert, donc partir reste toujours possible. Il n’y a aucune entité américaine à contraindre dans la chaîne : la question du Cloud Act ne se mitige pas, elle se dissout.
Si c’est la conversation que votre conseil d’administration relance à chaque comité, demandez une démo : nous passerons votre exposition en revue ensemble.