Le CLOUD Act américain (Clarifying Lawful Overseas Use of Data Act, 2018) est court, mais sa portée est longue. Il a précisé que les fournisseurs américains doivent remettre les données qu’ils ont en leur « possession, garde ou contrôle » en réponse à une réquisition américaine légale — quel que soit l’endroit où ces données sont stockées dans le monde. Pour une organisation belge qui utilise un cloud détenu par une société américaine, cela signifie que des données hébergées dans un centre de données à Bruxelles ou à Francfort peuvent rester dans le champ d’une demande américaine. C’est le cœur du débat européen sur la souveraineté des données.
En bref — le conflit en 5 points
- Le CLOUD Act atteint les données détenues par des fournisseurs américains partout, y compris dans l’UE.
- Il s’applique selon la nationalité du fournisseur, pas la localisation des données.
- L’article 48 du RGPD dispose qu’une décision d’une autorité étrangère ne constitue pas, à elle seule, une base légale pour transférer des données de l’UE.
- Un fournisseur américain peut être pris entre deux lois — la véritable source de risque juridique.
- La localisation des données dans l’UE est nécessaire mais pas suffisante ; l’exposition juridique de l’opérateur compte.
Ce que fait réellement le CLOUD Act
Il a modifié le Stored Communications Act de trois manières. D’abord, la portée extraterritoriale : les autorités américaines peuvent contraindre des fournisseurs établis ou contrôlés aux États-Unis à divulguer des données, où qu’elles soient stockées. Ensuite, un mécanisme de courtoisie internationale : un fournisseur peut demander l’annulation ou la modification d’une injonction qui entre en conflit avec le droit d’un gouvernement étranger qualifié. Enfin, les accords exécutifs : un cadre de demandes de données rapides de gouvernement à gouvernement. Le point essentiel pour l’acheteur est le premier — stocker des données « dans l’UE » chez un fournisseur américain ne les met pas hors de portée des États-Unis.
Pourquoi il entre en conflit avec le RGPD
Le RGPD a été conçu autour d’un contrôle judiciaire indépendant et de bases légales explicites pour sortir des données de l’UE. L’article 48 est explicite : une décision d’une autorité d’un pays tiers exigeant le transfert ou la divulgation de données à caractère personnel n’est reconnue ou exécutoire que si elle repose sur un accord international, tel qu’un traité d’entraide judiciaire. Autrement dit, une réquisition américaine unilatérale n’est pas une base valable au regard du RGPD à elle seule ; le fournisseur aurait aussi besoin d’une garantie de l’article 46 ou d’une dérogation de l’article 49, dont aucune ne correspond à une demande policière de routine. Un fournisseur américain qui se conforme au CLOUD Act peut donc enfreindre le RGPD, et un fournisseur qui refuse peut enfreindre le droit américain. Ce dilemme — et non le code postal des données — est le vrai risque.
Ce que cela change dans le monde post-Schrems II
Cela s’ajoute aux règles de transfert international. Après Schrems II, les transferts vers les États-Unis reposent sur des clauses contractuelles types (CCT) assorties de mesures supplémentaires, ou sur la décision d’adéquation du EU–US Data Privacy Framework pour les importateurs certifiés. Rien de cela, toutefois, ne neutralise une injonction directe au titre du CLOUD Act : l’accès gouvernemental est précisément la préoccupation que l’analyse des mesures supplémentaires est censée traiter. Pour des données sensibles ou réglementées, beaucoup d’organisations belges concluent que les mécanismes contractuels réduisent mais n’éliminent pas l’exposition liée à la souveraineté.
Ce qu’exige vraiment la « souveraineté des données »
La souveraineté est un spectre, pas une case à cocher. Trois couches comptent :
| Couche | Question à laquelle elle répond |
|---|---|
| Résidence des données | Où les données sont-elles physiquement stockées ? (Nécessaire, pas suffisant.) |
| Souveraineté opérationnelle | Qui peut techniquement y accéder, et depuis où ? Du personnel de support hors UE peut-il les voir ? |
| Souveraineté juridique | Quelles lois peuvent contraindre l’opérateur à divulguer ? L’opérateur est-il soumis au CLOUD Act ? |
La résidence UE ne répond qu’à la première ligne. Une vraie résilience face à l’accès extraterritorial dépend des deux suivantes — c’est pourquoi la question est passée de « où est-ce stocké ? » à « qui contrôle les clés, l’exploitation et l’entité juridique ? ».
Options pratiques
Vous n’avez pas à abandonner les hyperscalers pour gérer cela. La boîte à outils réaliste :
- Clés de chiffrement gérées par le client, conservées dans un KMS contrôlé en UE, de sorte que le fournisseur ne puisse pas déchiffrer sans vous (limite l’exposition sans l’éliminer).
- Offres de cloud souverain ou opéré en UE, y compris les modèles de « cloud de confiance » opérés par un partenaire, où une entité européenne contrôle l’exploitation.
- Fournisseurs européens non soumis à la juridiction américaine pour les charges les plus sensibles.
- Classification des données pour que seules les données réellement sensibles ou réglementées déclenchent les contrôles les plus stricts — la plupart des charges ne le nécessitent pas.
Nous détaillons les choix, les coûts et les arbitrages dans le cloud souverain en Belgique. Comme des données à caractère personnel sont généralement en jeu, à lire avec les obligations RGPD et vos analyses d’impact des transferts.
Information générale, ne constituant pas un conseil juridique. ICTLAB aide les organisations belges à classer leurs données et à concevoir un cloud adapté à leurs besoins de souveraineté et de conformité — découvrez nos services cloud ou contactez notre équipe.