{"id":1005531,"date":"2026-04-23T13:27:13","date_gmt":"2026-04-23T11:27:13","guid":{"rendered":"https:\/\/www.iterates.be\/?p=1005531"},"modified":"2026-04-17T14:06:07","modified_gmt":"2026-04-17T12:06:07","slug":"cloud-act-ce-que-votre-contrat-saas-ne-vous-dit-pas","status":"publish","type":"post","link":"https:\/\/www.iterates.be\/fr\/cloud-act-ce-que-votre-contrat-saas-ne-vous-dit-pas\/","title":{"rendered":"Cloud Act : ce que votre contrat SaaS ne vous dit pas"},"content":{"rendered":"
\n

Vous avez sign\u00e9 un contrat SaaS. Vos donn\u00e9es sont h\u00e9berg\u00e9es en Europe. Vous avez coch\u00e9 la case RGPD. Vous pensez \u00eatre prot\u00e9g\u00e9. Vous ne l’\u00eates probablement pas.<\/strong> Le Cloud Act est une loi am\u00e9ricaine discr\u00e8te, rarement mentionn\u00e9e dans les conditions g\u00e9n\u00e9rales, et pourtant capable de rendre caduque l’essentiel de vos efforts de conformit\u00e9. Voici ce que votre fournisseur ne vous dit pas et ce que vous devez savoir avant de renouveler votre abonnement.<\/p>\n\n\n\n

Ce qu’est r\u00e9ellement le Cloud Act et ce qu’il n’est pas<\/strong><\/h2>\n\n\n\n

Le Cloud Act est l’une des lois les plus mal comprises du paysage num\u00e9rique europ\u00e9en. Souvent pr\u00e9sent\u00e9 comme une menace lointaine ou th\u00e9orique<\/strong>, il est en r\u00e9alit\u00e9 un m\u00e9canisme juridique pr\u00e9cis, activable \u00e0 tout moment, et dont les effets d\u00e9passent largement les fronti\u00e8res am\u00e9ricaines. Avant de comprendre ce qu’il implique pour votre organisation, il faut d\u00e9mystifier ce qu’il est r\u00e9ellement.<\/p>\n\n\n\n

Une loi extraterritoriale, pas un bug juridique<\/strong><\/h3>\n\n\n\n

Adopt\u00e9 en 2018, le Cloud Act<\/strong> (Clarifying Lawful Overseas Use of Data Act<\/em>) permet aux autorit\u00e9s am\u00e9ricaines FBI, DOJ, agences f\u00e9d\u00e9rales d’exiger d’une entreprise am\u00e9ricaine qu’elle leur transmette des donn\u00e9es stock\u00e9es sur ses serveurs, quel que soit le pays o\u00f9 ces serveurs se trouvent physiquement<\/strong>. Ce n’est pas une faille, ce n’est pas un abus. C’est la loi, telle qu’elle a \u00e9t\u00e9 vot\u00e9e et promulgu\u00e9e.<\/p>\n\n\n\n

Concr\u00e8tement : si vous utilisez Microsoft 365, Google Workspace, Salesforce, HubSpot, Slack ou AWS pour ne citer que les plus r\u00e9pandus , vos donn\u00e9es sont potentiellement accessibles aux autorit\u00e9s am\u00e9ricaines<\/strong>, m\u00eame si elles sont h\u00e9berg\u00e9es dans un datacenter irlandais ou allemand. La localisation g\u00e9ographique des serveurs ne constitue pas une protection juridique suffisante d\u00e8s lors que l’entreprise qui les op\u00e8re est de droit am\u00e9ricain.<\/p>\n\n\n\n

Ce que “h\u00e9berg\u00e9 en Europe” veut vraiment dire<\/strong><\/h3>\n\n\n\n

Le discours commercial des grands \u00e9diteurs SaaS am\u00e9ricains a int\u00e9gr\u00e9 l’argument souverainet\u00e9 avec une habilet\u00e9 remarquable. “Vos donn\u00e9es restent en Europe”<\/strong> est devenu un argument de vente standard affich\u00e9 sur les pages de conformit\u00e9, mis en avant lors des appels commerciaux, int\u00e9gr\u00e9 aux DPA (Data Processing Agreements<\/em>).<\/p>\n\n\n\n

Ce que cette formulation omet soigneusement : h\u00e9berger en Europe ne signifie pas \u00eatre soumis exclusivement au droit europ\u00e9en<\/strong>. Une entreprise am\u00e9ricaine qui h\u00e9berge vos donn\u00e9es \u00e0 Dublin reste soumise au Cloud Act. Elle peut \u00eatre contrainte de r\u00e9pondre \u00e0 une injonction am\u00e9ricaine sans m\u00eame avoir l’obligation l\u00e9gale de vous en informer. Le RGPD et le Cloud Act coexistent et en cas de conflit, aucun m\u00e9canisme ne garantit automatiquement la primaut\u00e9 du droit europ\u00e9en.<\/p>\n\n\n\n

Ce que votre contrat SaaS dit vraiment et comment le lire<\/strong><\/h2>\n\n\n\n

La majorit\u00e9 des organisations signent leurs contrats SaaS sans avoir lu les clauses qui concernent les demandes d’acc\u00e8s des autorit\u00e9s<\/strong>. Ce n’est pas de la n\u00e9gligence : ces clauses sont r\u00e9dig\u00e9es de mani\u00e8re \u00e0 \u00eatre techniquement exactes tout en restant pratiquement invisibles. Apprendre \u00e0 les rep\u00e9rer est une comp\u00e9tence qui peut vous \u00e9viter des surprises majeures.<\/p>\n\n\n\n

Les clauses \u00e0 chercher et leur traduction r\u00e9elle<\/strong><\/h3>\n\n\n\n

Dans tout contrat SaaS avec un \u00e9diteur am\u00e9ricain, trois types de clauses m\u00e9ritent une attention particuli\u00e8re. Premi\u00e8rement<\/strong>, les clauses de Law Enforcement Requests<\/em> : elles pr\u00e9cisent dans quelles conditions le fournisseur peut transmettre vos donn\u00e9es \u00e0 une autorit\u00e9 tierce. Cherchez les formulations du type “as required by applicable law”<\/em> elles incluent implicitement le Cloud Act. Deuxi\u00e8mement<\/strong>, les clauses de notification : certains contrats pr\u00e9voient d’informer le client en cas de demande d’acc\u00e8s, d’autres excluent explicitement cette obligation lorsque la loi l’interdit. Troisi\u00e8mement<\/strong>, les clauses de juridiction applicables : elles d\u00e9terminent quel droit r\u00e9git le contrat et donc quel droit prime en cas de conflit.<\/p>\n\n\n\n

Un contrat qui stipule que le droit applicable est celui de l’\u00c9tat de Californie ou de l’\u00c9tat de New York ne vous offre aucune protection contre le Cloud Act<\/strong>, quelle que soit la localisation de vos donn\u00e9es.<\/p>\n\n\n\n

Les questions que votre fournisseur ne veut pas entendre<\/strong><\/h3>\n\n\n\n

Poser ces questions directement \u00e0 votre account manager cr\u00e9e souvent un silence inconfortable ce qui est d\u00e9j\u00e0 une information. Voici ce que vous devez demander explicitement, par \u00e9crit, avant tout renouvellement ou nouvelle souscription.<\/p>\n\n\n\n

L’entreprise est-elle soumise au droit am\u00e9ricain<\/strong> (subject to US jurisdiction<\/em>) ? A-t-elle d\u00e9j\u00e0 re\u00e7u des demandes d’acc\u00e8s dans le cadre du Cloud Act<\/strong> \u2014 et si oui, combien ? Le contrat pr\u00e9voit-il une obligation de notification<\/strong> en cas de demande d’acc\u00e8s aux donn\u00e9es de votre organisation ? Quel est le d\u00e9lai moyen entre la r\u00e9ception d’une injonction et la transmission des donn\u00e9es<\/strong> ?<\/p>\n\n\n\n

Si votre fournisseur ne peut pas r\u00e9pondre \u00e0 ces questions, ou si ses r\u00e9ponses sont \u00e9vasives, vous avez votre r\u00e9ponse<\/strong>.<\/p>\n\n\n\n

Ce que vous pouvez faire concr\u00e8tement<\/strong><\/h2>\n\n\n\n

Comprendre le probl\u00e8me est une chose. Savoir quoi en faire en est une autre. La bonne nouvelle : il existe des options r\u00e9alistes pour r\u00e9duire significativement votre exposition au Cloud Act<\/strong>, sans n\u00e9cessairement tout r\u00e9architecturer du jour au lendemain.<\/p>\n\n\n\n

Cartographier vos donn\u00e9es par niveau de sensibilit\u00e9<\/strong><\/h3>\n\n\n\n

La premi\u00e8re \u00e9tape n’est pas de changer d’outil \u2014 c’est de savoir ce que vous avez et o\u00f9 \u00e7a se trouve<\/strong>. Toutes vos donn\u00e9es ne pr\u00e9sentent pas le m\u00eame niveau de risque. Les donn\u00e9es publiques, les communications marketing, les analytics anonymis\u00e9s \u2014 leur exposition au Cloud Act a peu de cons\u00e9quences pratiques. En revanche, les donn\u00e9es RH, les donn\u00e9es clients, les donn\u00e9es financi\u00e8res, les informations strat\u00e9giques ou les donn\u00e9es de sant\u00e9<\/strong> m\u00e9ritent une attention radicalement diff\u00e9rente.<\/p>\n\n\n\n

Cartographier vos donn\u00e9es par niveau de sensibilit\u00e9 vous permet d’\u00e9tablir une politique diff\u00e9renci\u00e9e<\/strong> : conserver certains outils am\u00e9ricains pour les usages non critiques, tout en migrant les donn\u00e9es sensibles vers des solutions souveraines pour les traitements \u00e0 risque.<\/p>\n\n\n\n

Conna\u00eetre vos alternatives souveraines<\/strong><\/h3>\n\n\n\n

Il existe aujourd’hui des alternatives cr\u00e9dibles pour la majorit\u00e9 des cat\u00e9gories d’outils SaaS expos\u00e9es au Cloud Act. Pour la messagerie et la collaboration<\/strong> : Tchap (administration fran\u00e7aise), Cryptpad, ou des instances auto-h\u00e9berg\u00e9es de solutions open source. Pour le stockage et le partage de fichiers<\/strong> : Nextcloud h\u00e9berg\u00e9 chez OVHcloud ou Scaleway. Pour la gestion de la relation client<\/strong> : des solutions europ\u00e9ennes comme Sellsy ou des d\u00e9ploiements on-premise. Pour l’IA g\u00e9n\u00e9rative<\/strong> : Euria d’Infomaniak, Le Chat Pro de Mistral, ou des mod\u00e8les open source h\u00e9berg\u00e9s localement.<\/p>\n\n\n\n

La migration ne doit pas \u00eatre totale pour \u00eatre utile. R\u00e9duire la surface d’exposition<\/strong>, m\u00eame partiellement, est une d\u00e9marche de conformit\u00e9 r\u00e9aliste et d\u00e9fendable.<\/p>\n\n\n\n

Vous avez des doutes sur votre exposition ? Iterates peut vous aider<\/strong><\/h2>\n\n\n\n

La plupart des organisations ne d\u00e9couvrent leur exposition au Cloud Act qu’au moment o\u00f9 une question de conformit\u00e9 devient urgente \u2014 lors d’un appel d’offres public, d’un audit sectoriel, ou d’une demande d’un client exigeant. Attendre ce moment pour agir, c’est prendre un risque inutile.<\/strong><\/p>\n\n\n\n

Iterates accompagne les organisations dans l’audit de leur stack SaaS, l’identification des donn\u00e9es expos\u00e9es, et la d\u00e9finition d’une feuille de route souveraine adapt\u00e9e \u00e0 leur contexte. Pas de discours id\u00e9ologique, pas de migration forc\u00e9e : une analyse factuelle et des choix \u00e9clair\u00e9s<\/strong>. C’est ce que vous m\u00e9ritez avant de signer le prochain renouvellement.<\/p>\n<\/div>","protected":false},"excerpt":{"rendered":"

Vous avez sign\u00e9 un contrat SaaS. Vos donn\u00e9es sont h\u00e9berg\u00e9es en Europe. Vous avez coch\u00e9 la case RGPD. Vous pensez \u00eatre prot\u00e9g\u00e9. Vous ne l’\u00eates probablement pas. Le Cloud Act est une loi am\u00e9ricaine discr\u00e8te, rarement mentionn\u00e9e dans les conditions g\u00e9n\u00e9rales, et pourtant capable de rendre caduque l’essentiel de vos efforts de conformit\u00e9. Voici ce…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[980],"tags":[],"class_list":["post-1005531","post","type-post","status-publish","format-standard","hentry","category-intelligence-artificielle"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.iterates.be\/fr\/wp-json\/wp\/v2\/posts\/1005531","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.iterates.be\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.iterates.be\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.iterates.be\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.iterates.be\/fr\/wp-json\/wp\/v2\/comments?post=1005531"}],"version-history":[{"count":0,"href":"https:\/\/www.iterates.be\/fr\/wp-json\/wp\/v2\/posts\/1005531\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.iterates.be\/fr\/wp-json\/wp\/v2\/media?parent=1005531"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.iterates.be\/fr\/wp-json\/wp\/v2\/categories?post=1005531"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.iterates.be\/fr\/wp-json\/wp\/v2\/tags?post=1005531"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}