Cloud Act : pourquoi vos données sont exposées
Le CLOUD Act américain permet au gouvernement américain d'accéder aux données hébergées par des entreprises américaines, même sur des serveurs en France. Voici ce que ça signifie concrètement.
Qu'est-ce que le CLOUD Act ?
Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act) est une loi américaine adoptée en 2018. Elle contraint toutes les entreprises américaines — y compris leurs filiales internationales — à remettre des données à la demande du gouvernement américain, quelle que soit la localisation physique des serveurs.
En pratique : si votre site utilise Google Analytics, Microsoft Azure, Amazon AWS, Cloudflare, Stripe, ou tout autre service d'une entreprise soumise au droit américain, vos données peuvent être requises par les autorités américaines sans mandat européen et sans vous en informer.
Qui est concerné ?
Toute organisation qui utilise au moins un service d'une entreprise :
- Cotée en bourse aux USA
- Ayant son siège social aux USA
- Filiale d'une entreprise américaine
- Hébergeant des données sur infrastructure américaine
Selon nos analyses, plus de 85 % des PME françaises utilisent au moins un service soumis au CLOUD Act.
CLOUD Act vs RGPD : le conflit de lois
Le CLOUD Act et le RGPD sont en conflit direct. Le RGPD interdit le transfert de données personnelles hors UE sans garanties adéquates. Mais une injonction du gouvernement américain prime sur le RGPD selon le droit américain.
Résultat : vous pouvez être parfaitement conformes RGPD sur le papier, tout en étant exposés au CLOUD Act en pratique.
Les alternatives souveraines
La bonne nouvelle : il existe des alternatives européennes solides pour la quasi-totalité des services concernés.
| Service US | Alternative souveraine | Pays |
|---|---|---|
| Google Analytics | Matomo, Plausible | France / UE |
| Amazon AWS | Scaleway, OVHcloud | France |
| Microsoft Azure | 3DS Outscale, Exoscale | France / CH |
| Google Workspace | Infomaniak kSuite, Proton | Suisse / UE |
| Stripe | Mollie, Payplug | NL / France |
| Cloudflare | Bunny.net, Gcore | EU |
Première étape : connaître votre exposition
Avant de migrer, il faut mesurer. Le scan gratuit COCORRIDOR identifie en 30 secondes tous les services extra-européens présents sur votre site et calcule votre exposition au CLOUD Act.