Cloud Act américain : pourquoi vos données pro sont exposées, même hébergées en Europe
Le Cloud Act de 2018 autorise les autorités américaines à accéder aux données stockées par des entreprises américaines, qu'elles soient physiquement en Virginie ou à Paris. AWS, Azure, Google Cloud, OpenAI, Anthropic : si votre prestataire est une entreprise américaine, vos données peuvent être obtenues par la justice américaine sans que vous en soyez informé. Ce n'est pas une hypothèse théorique, c'est le droit en vigueur.
Qu'est-ce que le Cloud Act et pourquoi ça vous concerne
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) a été signé en 2018. Il permet aux agences fédérales américaines (FBI, NSA, DEA) d'exiger des fournisseurs de services cloud américains qu'ils transmettent des données stockées n'importe où dans le monde, dans le cadre d'enquêtes pénales ou de sécurité nationale.
La notion clé est celle d'entreprise américaine. AWS appartient à Amazon. Azure appartient à Microsoft. Google Cloud appartient à Alphabet. OpenAI est une société américaine. Anthropic est une société américaine. Peu importe que leurs serveurs soient physiquement en Irlande, en Allemagne ou en France : ces entreprises restent soumises au droit américain et au Cloud Act.
Ce que dit le Cloud Act en pratique : si le FBI obtient une ordonnance judiciaire américaine, il peut forcer Microsoft Azure à lui livrer les données d'un client européen hébergées sur un serveur en Irlande, et sans nécessairement vous en informer.
Pourquoi les serveurs européens d'AWS ou Azure ne suffisent pas
C'est l'argument commercial le plus souvent avancé par les grands fournisseurs américains : « vos données restent en Europe, dans notre datacenter de Francfort ». Cet argument est partiellement vrai mais juridiquement insuffisant.
La localisation physique des données n'exonère pas l'entreprise américaine de ses obligations en vertu du droit américain. Une injonction Cloud Act s'adresse à l'entreprise (AWS, Microsoft), pas au datacenter. L'entreprise américaine doit obtempérer, quel que soit le lieu de stockage physique.
La seule situation où le Cloud Act ne s'applique pas est quand ni l'entreprise ni ses actionnaires ne sont soumis à la juridiction américaine. C'est le cas des fournisseurs européens indépendants comme OVHcloud (français), Scaleway (français), Infomaniak (suisse) ou Hetzner (allemand).
Pour quelles données d'entreprise ce risque est-il concret ?
Toutes les données ne sont pas également exposées. Le risque Cloud Act est concret pour :
- Données de clients dans un secteur sensible : juridique, santé, finance, défense, énergie. Des informations stratégiques sur des contrats ou des brevets qui pourraient intéresser des acteurs américains concurrents.
- Données de R&D et propriété intellectuelle : formules, plans, code source, résultats de recherche. Si vous utilisez Copilot ou ChatGPT pour assister vos développeurs sur du code propriétaire, ce code transite par des serveurs américains.
- Données RH sensibles : dossiers disciplinaires, données de santé des salariés, informations syndicales.
- Correspondances internes stratégiques : emails sur des acquisitions en cours, des négociations, des conflits avec des partenaires.
Pour les TPE/PME standard sans dossiers ultra-sensibles, le risque Cloud Act est faible en probabilité mais non nul. La question est moins « est-ce que le FBI va s'intéresser à mes factures » que « est-ce que mes données sensibles méritent une protection souveraine ».
Le conflit entre Cloud Act et RGPD : un problème sans solution parfaite
Voici le paradoxe légal dans lequel se trouvent les entreprises européennes qui utilisent des fournisseurs américains : le RGPD interdit le transfert de données personnelles hors UE sans garanties suffisantes. Le Cloud Act peut forcer ce transfert unilatéralement.
Répondre à une injonction Cloud Act en transmettant des données aux autorités américaines peut constituer une violation du RGPD. Ne pas y répondre expose le fournisseur américain à des sanctions aux États-Unis. En pratique, les fournisseurs américains obtempéreront au Cloud Act si une injonction est reçue, quitte à gérer le litige RGPD ensuite.
Le Data Privacy Framework de 2023 (accord UE-USA sur les transferts de données) améliore la situation mais ne résout pas le problème du Cloud Act. La Commission européenne a noté dans son rapport de décembre 2024 que la surveillance reste trop large au regard des standards européens.
Le risque le plus concret pour une PME n'est pas l'espionnage : c'est la violation involontaire du RGPD par un fournisseur qui obtempère.
Les alternatives concrètes pour une PME française
| Besoin | Solution souveraine | Fournisseur exemple |
|---|---|---|
| Stockage et sauvegarde | Cloud européen RGPD-natif | OVHcloud, Scaleway, Infomaniak |
| Email professionnel | Hébergement européen | Infomaniak, Mailfence, Proton |
| Collaboration documents | Suite souveraine | Nextcloud (self-host), Seafile |
| IA générative | API européenne ou local | Mistral API (Paris), Ollama (local) |
| Automatisation workflows | n8n self-hosted | VPS OVHcloud ou Hostinger EU |
| Analytics web | Outil sans transfert US | Matomo (self-host), Plausible |
| Signature électronique | Opérateur européen | DocuSign EU, Yousign (Paris) |
La migration complète vers des solutions 100 % souveraines n'est pas toujours réaliste ni nécessaire. Une approche pragmatique consiste à identifier les données les plus sensibles de votre organisation et à les migrer en priorité vers des solutions européennes, en gardant les services américains pour les usages moins critiques.
Comment WorkFlow prend en compte la souveraineté dans ses déploiements
Chez WorkFlow, tous les déploiements n8n sont réalisés sur des VPS européens (Hostinger EU ou OVH). Aucune donnée client ne transite par des serveurs américains dans notre infrastructure de base. Pour les appels à Claude API ou à d'autres LLM américains, nous appliquons une pseudonymisation systématique : les données personnelles sont remplacées par des identifiants internes avant l'appel et re-mappées après.
Pour les clients qui ont des exigences strictes de souveraineté (secteurs juridique, médical, défense industrielle), nous proposons une architecture 100 % souveraine avec Mistral ou Llama exécuté en local via Ollama. Aucune donnée ne quitte l'infrastructure client.