CLOUD Act : pourquoi vos données chez AWS, Azure et Google ne sont pas souveraines

Six mille deux cent quatre-vingt-huit. C'est le nombre de demandes légales que le gouvernement américain a adressées à Microsoft au cours du seul premier semestre 2025 pour obtenir des données de consommateurs. Parmi ces demandes, cinquante-neuf mandats visaient explicitement des données stockées en dehors du territoire américain. Et 31 % de l'ensemble, soit 1 974 demandes, étaient accompagnées d'ordres de non-divulgation interdisant à Microsoft d'informer les utilisateurs concernés. Pour les comptes entreprise, Microsoft a reçu 168 demandes ; dans 43 % des cas, l'entreprise a été contrainte de fournir les informations demandées.

Ce ne sont pas des chiffres théoriques. Ce sont les données publiées par Microsoft dans son propre rapport de transparence. Et Microsoft n'est qu'un des trois hyperscalers qui hébergent les données de la quasi-totalité des entreprises européennes.

Ce que le CLOUD Act permet réellement

Le Clarifying Lawful Overseas Use of Data Act, promulgué le 23 mars 2018, a modifié le Stored Communications Act en ajoutant une section 2713 au titre 18 du U.S. Code. Le texte est d'une clarté inhabituelle : tout fournisseur de services de communication électronique « doit se conformer aux obligations de préservation, de sauvegarde ou de divulgation du contenu de toute communication en sa possession, sous sa garde ou sous son contrôle, que cette communication soit située à l'intérieur ou à l'extérieur des États-Unis ».

L'expression « regardless of whether such communication is located within or outside of the United States » constitue le cœur du problème. AWS, Microsoft Azure et Google Cloud, trois entreprises américaines, sont légalement tenues de transmettre au gouvernement américain les données qu'elles hébergent, y compris celles stockées dans leurs datacenters de Francfort, Paris ou Amsterdam. Le lieu physique de stockage est juridiquement sans conséquence.

Le CLOUD Act prévoit un mécanisme de contestation (motion to quash) si le client n'est pas américain et si la divulgation créerait un risque de violation des lois d'un pays ayant signé un accord bilatéral. Deux accords existent : avec le Royaume-Uni (en vigueur depuis 2022) et avec l'Australie (depuis janvier 2024). L'Union européenne n'a pas signé d'accord. La contestation reste théorique pour les données de clients européens.

En juillet 2025, un dirigeant de Microsoft a admis publiquement que l'entreprise « ne peut pas garantir » la souveraineté des données, selon The Register. Cette déclaration traduit une réalité juridique que le marketing cloud préfère taire.

Le conflit avec le RGPD : une saga en trois actes

L'article 48 du RGPD pose un principe clair : toute décision d'un tribunal d'un pays tiers exigeant un transfert de données personnelles ne peut être reconnue que si elle est fondée sur un accord international. Le CLOUD Act contourne ces traités en permettant un accès direct. L'EDPB et l'EDPS ont conclu dès 2019 qu'il existe « des options très limitées pour les fournisseurs de se conformer au CLOUD Act sans enfreindre le RGPD ».

Le démantèlement du PCLOB (Privacy and Civil Liberties Oversight Board) représente la menace la plus concrète pour la stabilité du Data Privacy Framework. Le 27 janvier 2025, le président Trump a révoqué Sharon Bradford Franklin, Edward Felten et Travis LeBlanc, privant le board de quorum. Un tribunal fédéral a jugé cette révocation illégale le 21 mai 2025 et ordonné la réinstation. Le gouvernement a fait appel. Le Parlement européen a formellement questionné la Commission sur l'impact de cette situation (question P-000941/2025).

La Section 702 du FISA, qui autorise la surveillance sans mandat des communications de non-Américains, expire en avril 2026. L'administration Trump pousse pour un renouvellement permanent. Les requêtes du FBI dans les données d'Américains collectées sous la Section 702 ont augmenté de 35 % en 2025, passant de 5 518 en décembre 2024 à 7 413 en novembre 2025, selon Nextgov.

85 % du cloud européen sous juridiction américaine

Ce chiffre signifie que 85 % des données hébergées dans le cloud en Europe le sont chez des fournisseurs soumis au droit américain. Le marché cloud européen devrait atteindre 86,6 milliards de dollars en 2025, en croissance de 24 %. Cette croissance bénéficie en grande majorité aux hyperscalers américains.

La CNIL a adopté une position sans ambiguïté : « la solution la plus effective consiste à confier l'hébergement des données sensibles à des sociétés non soumises au droit américain ». L'autorité recommande « l'absence de transfert vers des pays tiers et le recours à un hébergeur soumis exclusivement au droit européen, notamment la certification SecNumCloud ».

SecNumCloud : la réponse française

SecNumCloud est une qualification ANSSI qui impose trois exigences structurantes. L'immunité extraterritoriale : le fournisseur ne peut être soumis à une loi d'un pays tiers pouvant exiger l'accès aux données. L'indépendance capitalistique : le fournisseur doit être contrôlé par une entité européenne. L'hébergement physique dans l'EEE avec transparence totale sur les accès.

Sept fournisseurs sont qualifiés : OVHcloud, Oodrive, Cloud Temple, Outscale (Dassault Systèmes), Orange Business, Worldline et S3NS (Thales/Google Cloud, décembre 2025). Douze sont en cours de qualification, dont Scaleway (objectif fin 2025), Free Pro, NumSpot et Bleu (Orange + Capgemini).

OVHcloud domine avec un ARR SecNumCloud de 24 millions d'euros (+63 % YoY) et un chiffre d'affaires total de 1,084 milliard d'euros en 2025. Scaleway, selon un benchmark Callista (février 2026), délivre environ 4,8 fois la valeur par euro par rapport à AWS, avec un egress gratuit.

Le marché reste minuscule : les achats publics de cloud SecNumCloud n'ont atteint que 52 millions d'euros en 2024 : une fraction des 3 milliards de dépenses numériques annuelles de l'État, selon la Cour des comptes.

EUCS : le schéma européen qui a renoncé

Le schéma EUCS de l'ENISA devait établir un cadre de certification commun. Les critères de souveraineté ont été retirés du draft au Q1 2024 sous la pression combinée des hyperscalers américains et de plusieurs États membres. La CNIL a fustigé cette décision, alertant sur « les risques d'une certification européenne permettant l'accès des autorités étrangères aux données sensibles ». Le débat est ouvert, mais la tendance politique penche vers un schéma sans souveraineté, laissant aux États membres le soin d'imposer des critères nationaux, ce que la France fait avec SecNumCloud.

Le chiffrement souverain comme réponse technique

Le chiffrement avec gestion souveraine des clés constitue la seule réponse technique qui neutralise le risque juridique du CLOUD Act. Si les données sont chiffrées avec des clés que le fournisseur d'infrastructure ne possède pas, une injonction CLOUD Act ne produit que des fichiers illisibles. L'attaque juridique se heurte à une impossibilité technique.

Des plateformes souveraines comme MAFATE hébergent les clés de chiffrement en France chez Scaleway, hors CLOUD Act, garantissant que les données chiffrées restent illisibles même en cas d'injonction juridictionnelle étrangère adressée au fournisseur d'infrastructure.

NIS2 renforce cette nécessité. L'article 21 impose des évaluations de risques intégrant l'exposition des fournisseurs à l'accès gouvernemental étranger. Le recours à un fournisseur cloud soumis au CLOUD Act sans mesure compensatoire constitue un risque documentable que l'ANSSI pourra examiner lors de ses contrôles.

La fenêtre d'action se réduit

Le Data Privacy Framework est menacé par l'appel devant la CJUE et par le démantèlement du PCLOB. Si le DPF est invalidé, ce qui s'est déjà produit deux fois avec ses prédécesseurs, chaque transfert de données vers un fournisseur US devra être couvert par des clauses contractuelles types assorties de mesures techniques complémentaires. Le chiffrement avec clés souveraines deviendrait alors une nécessité juridique.

La doctrine « Cloud au centre » de l'État français, mise à jour en avril 2025, exhorte les ministères à utiliser des solutions SecNumCloud. Le cas du Health Data Hub, contraint par la loi SREN de migrer de Microsoft Azure vers un hébergeur qualifié, illustre la direction. Le coût de la migration se mesure en dizaines de milliers d'euros. Le coût d'une non-conformité post-Schrems III se mesure en millions. Le prix de l'inaction n'est plus un risque théorique. C'est un calcul.