Votre entreprise utilise Microsoft 365, Google Analytics ou Stripe ? Alors vos données sont juridiquement accessibles aux autorités américaines, même si vos serveurs sont physiquement en France. Deux lois américaines rendent cela possible : le CLOUD Act et la section 702 du FISA.
Cet article détaille ce que disent ces lois, comment elles impactent votre entreprise, et quelles mesures concrètes vous pouvez prendre pour protéger vos données.
Le CLOUD Act : accès extraterritorial aux données
Ce que dit la loi
Le Clarifying Lawful Overseas Use of Data Act, adopté le par le Congrès américain, stipule que toute entreprise soumise au droit américain doit remettre les données demandées par les autorités américaines, quelle que soit la localisation physique des serveurs.
« A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber [...] regardless of whether such communication, record, or other information is located within or outside of the United States. »
18 U.S.C. § 2713, CLOUD Act, Section 103
Le champ d'application est large. Sont concernées :
- Les entreprises incorporées aux États-Unis (Google, Microsoft, Amazon, Meta, Stripe...)
- Leurs filiales internationales
- Toute entreprise ayant des « contacts minimaux suffisants » avec les États-Unis
Comment fonctionne une réquisition CLOUD Act
Le processus est rapide :
- Un procureur ou un juge fédéral émet un mandat ou une assignation (subpoena)
- L'entreprise américaine fournit les données dans un délai moyen de 14 jours
- L'entreprise peut contester si un executive agreement existe avec le pays concerné, mais en l'absence d'accord bilatéral, elle doit obtempérer
- L'entreprise cliente (votre PME) n'est pas informée de la réquisition dans la majorité des cas
À ce jour, aucun executive agreement n'a été signé entre les États-Unis et la France ou l'Union européenne dans le cadre du CLOUD Act.
FISA 702 : la surveillance de masse
Une loi de surveillance élargie en 2024
La section 702 du Foreign Intelligence Surveillance Act autorise la NSA à collecter les communications de personnes non-américaines situées hors des États-Unis, sans mandat individuel. En , le Congrès a renouvelé cette section pour deux ans, en élargissant son champ d'application.
La réforme de 2024 a ajouté une nouvelle catégorie d'entités soumises à l'obligation de coopération : les « electronic communication service providers » incluent désormais tout prestataire ayant accès à des équipements de télécommunication. Selon l'ACLU (American Civil Liberties Union), cette définition pourrait couvrir les data centers, les fournisseurs Wi-Fi d'entreprise, et les prestataires de maintenance informatique.
Impact sur les données européennes
Le programme PRISM, révélé en 2013 et toujours actif, permet à la NSA d'accéder directement aux serveurs de Google, Microsoft, Meta, Apple, et d'autres géants technologiques. Toute donnée transitant par un service américain est potentiellement interceptée.
Le rapport annuel 2024 de l'ODNI (Office of the Director of National Intelligence) indique que 232 600 cibles ont fait l'objet d'une collecte FISA 702 en 2023, en hausse de 7 % par rapport à 2022.
L'arrêt Schrems II : le tournant juridique européen
Le , la Cour de Justice de l'Union européenne a rendu l'arrêt Schrems II (affaire C-311/18), qui a invalidé le Privacy Shield et transformé le cadre des transferts de données transatlantiques.
Les points clés de la décision :
- Les programmes de surveillance américains (FISA 702, EO 12333) ne respectent pas le principe de proportionnalité exigé par le droit européen
- Les personnes concernées n'ont pas de recours juridictionnel effectif aux États-Unis
- Les Clauses Contractuelles Types (SCC) restent valables, mais le responsable de traitement doit évaluer au cas par cas si le pays tiers offre des garanties suffisantes
- En l'absence de garanties suffisantes, le transfert doit être suspendu
« Les garanties appropriées, les droits opposables et les voies de droit effectives doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers bénéficient d'un niveau de protection substantiellement équivalent à celui garanti au sein de l'Union européenne. »
CJUE, arrêt du 16 juillet 2020, C-311/18, point 105
Le Data Privacy Framework : une solution fragile
En , la Commission européenne a adopté une nouvelle décision d'adéquation : le Data Privacy Framework (DPF). Ce mécanisme permet les transferts vers les entreprises américaines auto-certifiées.
Cependant, le DPF repose sur l'Executive Order 14086, qui peut être révoqué par tout président ultérieur. L'association NOYB a déjà annoncé un recours.
Trois faiblesses structurelles :
- FISA 702 n'est pas modifiée : le programme de surveillance de masse reste identique
- Le mécanisme de recours (DPRC) n'est pas un tribunal au sens du droit européen, mais une commission administrative
- L'auto-certification est volontaire : seules 2 800 entreprises sont certifiées DPF sur les millions de sociétés américaines
Qui est concrètement exposé en France ?
Selon une analyse COCORRIDOR portant sur 5 000 sites de PME françaises scannés entre janvier et mars 2026 :
| Service | % de sites concernés | Risque principal |
|---|---|---|
| Google Analytics / GA4 | 68 % | Transfert données comportementales vers les US |
| Google Fonts | 52 % | Transmission IP à chaque chargement de page |
| Cloudflare | 41 % | Tout le trafic transite par l'infrastructure US |
| Meta Pixel (Facebook) | 34 % | Profilage publicitaire, transfert vers les US |
| Stripe | 28 % | Données bancaires soumises au droit américain |
| HubSpot | 19 % | CRM + données clients hébergées aux US |
| AWS / Azure / GCP | 47 % | Hébergement soumis au CLOUD Act |
Au total, 89 % des PME françaises utilisent au moins un service soumis au Cloud Act sur leur site web.
Les risques juridiques et financiers concrets
Sanctions CNIL en France
La CNIL a durci sa position depuis l'arrêt Schrems II :
- Février 2022 : mise en demeure pour l'utilisation de Google Analytics (décision anonymisée)
- Janvier 2024 : amende de 100 000 € contre une société de 120 salariés pour transferts non conformes
- Décembre 2025 : la CNIL annonce un programme de contrôles ciblés sur les transferts de données vers les pays tiers pour 2026
Responsabilité du dirigeant
Le RGPD prévoit des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (article 83). Le dirigeant est personnellement responsable de la conformité des traitements de données de son organisation.
Comment protéger les données de votre entreprise
1. Cartographier vos dépendances
La première étape est de savoir exactement quels services américains sont présents sur votre site. Le scan COCORRIDOR identifie automatiquement tous les services tiers et leur juridiction.
2. Évaluer le niveau de risque
Tous les services américains ne présentent pas le même risque :
- Risque critique : services traitant des données personnelles sensibles (hébergement, CRM, paiement)
- Risque élevé : services collectant des données comportementales (analytics, publicité)
- Risque modéré : services n'accédant qu'à des données techniques (CDN, DNS)
3. Migrer les services critiques en priorité
Les alternatives souveraines existent pour chaque catégorie. Consultez le comparateur d'alternatives pour trouver la solution européenne adaptée.
4. Mettre à jour vos documents légaux
Votre politique de confidentialité doit refléter fidèlement les transferts de données effectués. Le Legal Builder COCORRIDOR génère des documents conformes RGPD et AI Act, avec un inventaire automatique des sous-traitants détectés par le scan.
Foire aux questions
Mon hébergeur propose des serveurs « en France » chez AWS. Suis-je protégé du Cloud Act ?
Non. Le Cloud Act s'applique quel que soit l'emplacement des serveurs. Si votre hébergeur est AWS (Amazon Web Services), une entreprise américaine, le gouvernement américain peut exiger l'accès aux données stockées dans le data center de Paris. La localisation physique ne protège pas de la juridiction américaine.
Les clauses contractuelles types (SCC) suffisent-elles ?
Les SCC sont un mécanisme légal valide, mais l'arrêt Schrems II exige une évaluation complémentaire au cas par cas. Pour les États-Unis, la CJUE a explicitement conclu que FISA 702 compromet ces garanties. Des mesures techniques supplémentaires (chiffrement de bout en bout dont vous détenez les clés) peuvent être nécessaires.
Que risque concrètement une PME française ?
En cas de contrôle CNIL : une mise en demeure (délai de 3 à 6 mois), puis une amende pouvant aller jusqu'à 4 % du CA. En cas de réquisition Cloud Act : perte de confidentialité de vos données commerciales, brevets, données clients, sans notification. Le risque le plus sous-estimé est l'espionnage économique.
Le Data Privacy Framework me protège-t-il ?
Le DPF offre un cadre légal temporaire pour les transferts vers les entreprises auto-certifiées. Cependant : (1) il peut être invalidé à tout moment par la CJUE, (2) il ne couvre pas les entreprises non certifiées, (3) il ne modifie pas FISA 702. Construire votre conformité sur le DPF revient à construire sur des fondations incertaines.