Vous avez signé un contrat SaaS. Vos données sont hébergées en Europe. Vous avez coché la case RGPD. Vous pensez être protégé. Vous ne l’êtes probablement pas. Le Cloud Act est une loi américaine discrète, rarement mentionnée dans les conditions générales, et pourtant capable de rendre caduque l’essentiel de vos efforts de conformité. Voici ce que votre fournisseur ne vous dit pas et ce que vous devez savoir avant de renouveler votre abonnement.
Ce qu’est réellement le Cloud Act et ce qu’il n’est pas
Le Cloud Act est l’une des lois les plus mal comprises du paysage numérique européen. Souvent présenté comme une menace lointaine ou théorique, il est en réalité un mécanisme juridique précis, activable à tout moment, et dont les effets dépassent largement les frontières américaines. Avant de comprendre ce qu’il implique pour votre organisation, il faut démystifier ce qu’il est réellement.
Une loi extraterritoriale, pas un bug juridique
Adopté en 2018, le Cloudwet (Clarifying Lawful Overseas Use of Data Act) permet aux autorités américaines FBI, DOJ, agences fédérales d’exiger d’une entreprise américaine qu’elle leur transmette des données stockées sur ses serveurs, quel que soit le pays où ces serveurs se trouvent physiquement. Ce n’est pas une faille, ce n’est pas un abus. C’est la loi, telle qu’elle a été votée et promulguée.
Concrètement : si vous utilisez Microsoft 365, Google Workspace, Salesforce, HubSpot, Slack ou AWS pour ne citer que les plus répandus , vos données sont potentiellement accessibles aux autorités américaines, même si elles sont hébergées dans un datacenter irlandais ou allemand. La localisation géographique des serveurs ne constitue pas une protection juridique suffisante dès lors que l’entreprise qui les opère est de droit américain.
Ce que “hébergé en Europe” veut vraiment dire
Le discours commercial des grands éditeurs SaaS américains a intégré l’argument souveraineté avec une habileté remarquable. “Vos données restent en Europe” est devenu un argument de vente standard affiché sur les pages de conformité, mis en avant lors des appels commerciaux, intégré aux DPA (Data Processing Agreements).
Ce que cette formulation omet soigneusement : héberger en Europe ne signifie pas être soumis exclusivement au droit européen. Une entreprise américaine qui héberge vos données à Dublin reste soumise au Cloud Act. Elle peut être contrainte de répondre à une injonction américaine sans même avoir l’obligation légale de vous en informer. Le RGPD et le Cloud Act coexistent et en cas de conflit, aucun mécanisme ne garantit automatiquement la primauté du droit européen.
Ce que votre contrat SaaS dit vraiment et comment le lire
La majorité des organisations signent leurs contrats SaaS sans avoir lu les clauses qui concernent les demandes d’accès des autorités. Ce n’est pas de la négligence : ces clauses sont rédigées de manière à être techniquement exactes tout en restant pratiquement invisibles. Apprendre à les repérer est une compétence qui peut vous éviter des surprises majeures.
Les clauses à chercher et leur traduction réelle
Dans tout contrat SaaS avec un éditeur américain, trois types de clauses méritent une attention particulière. Premièrement, les clauses de Law Enforcement Requests : elles précisent dans quelles conditions le fournisseur peut transmettre vos données à une autorité tierce. Cherchez les formulations du type “as required by applicable law” elles incluent implicitement le Cloud Act. Deuxièmement, les clauses de notification : certains contrats prévoient d’informer le client en cas de demande d’accès, d’autres excluent explicitement cette obligation lorsque la loi l’interdit. Troisièmement, les clauses de juridiction applicables : elles déterminent quel droit régit le contrat et donc quel droit prime en cas de conflit.
Un contrat qui stipule que le droit applicable est celui de l’État de Californie ou de l’État de New York ne vous offre aucune protection contre le Cloud Act, quelle que soit la localisation de vos données.
Les questions que votre fournisseur ne veut pas entendre
Poser ces questions directement à votre account manager crée souvent un silence inconfortable ce qui est déjà une information. Voici ce que vous devez demander explicitement, par écrit, avant tout renouvellement ou nouvelle souscription.
L’entreprise est-elle soumise au droit américain (subject to US jurisdiction) ? A-t-elle déjà reçu des demandes d’accès dans le cadre du Cloud Act — et si oui, combien ? Le contrat prévoit-il une obligation de notification en cas de demande d’accès aux données de votre organisation ? Quel est le délai moyen entre la réception d’une injonction et la transmission des données ?
Si votre fournisseur ne peut pas répondre à ces questions, ou si ses réponses sont évasives, vous avez votre réponse.
Ce que vous pouvez faire concrètement
Comprendre le problème est une chose. Savoir quoi en faire en est une autre. La bonne nouvelle : il existe des options réalistes pour réduire significativement votre exposition au Cloud Act, sans nécessairement tout réarchitecturer du jour au lendemain.
Cartographier vos données par niveau de sensibilité
La première étape n’est pas de changer d’outil — c’est de savoir ce que vous avez et où ça se trouve. Toutes vos données ne présentent pas le même niveau de risque. Les données publiques, les communications marketing, les analytics anonymisés — leur exposition au Cloud Act a peu de conséquences pratiques. En revanche, les données RH, les données clients, les données financières, les informations stratégiques ou les données de santé méritent une attention radicalement différente.
Cartographier vos données par niveau de sensibilité vous permet d’établir une politique différenciée : conserver certains outils américains pour les usages non critiques, tout en migrant les données sensibles vers des solutions souveraines pour les traitements à risque.
Connaître vos alternatives souveraines
Il existe aujourd’hui des alternatives crédibles pour la majorité des catégories d’outils SaaS exposées au Cloud Act. Pour la messagerie et la collaboration : Tchap (administration française), Cryptpad, ou des instances auto-hébergées de solutions open source. Pour le stockage et le partage de fichiers : Nextcloud hébergé chez OVHcloud ou Scaleway. Pour la gestion de la relation client : des solutions européennes comme Sellsy ou des déploiements on-premise. Pour l’IA générative : Euria d’Infomaniak, Le Chat Pro de Mistral, ou des modèles open source hébergés localement.
La migration ne doit pas être totale pour être utile. Réduire la surface d’exposition, même partiellement, est une démarche de conformité réaliste et défendable.
Vous avez des doutes sur votre exposition ? Iterates peut vous aider
La plupart des organisations ne découvrent leur exposition au Cloud Act qu’au moment où une question de conformité devient urgente — lors d’un appel d’offres public, d’un audit sectoriel, ou d’une demande d’un client exigeant. Attendre ce moment pour agir, c’est prendre un risque inutile.
Iterates accompagne les organisations dans l’audit de leur stack SaaS, l’identification des données exposées, et la définition d’une feuille de route souveraine adaptée à leur contexte. Pas de discours idéologique, pas de migration forcée : une analyse factuelle et des choix éclairés. C’est ce que vous méritez avant de signer le prochain renouvellement.
