"Mes données sont en Europe, donc le Cloud Act ne s'applique pas." C'est une des idées fausses les plus communes sur la souveraineté cloud, et elle est fausse. Le Cloud Act s'applique aux maisons-mères, pas aux localisations de données — ce qui signifie que des données stockées physiquement à Francfort ou Dublin peuvent quand même être contraintes par procédure légale US si la maison-mère du fournisseur est domiciliée US.
Ce que dit réellement le Cloud Act
Le titre complet : "Clarifying Lawful Overseas Use of Data Act", voté en mars 2018. Le Titre II amende le Stored Communications Act pour lire (paraphrasé) : un fournisseur US-headquartered doit produire des données dans sa "possession, garde ou contrôle" lorsqu'un mandat US lui est servi — quel que soit le lieu de stockage.
Le langage déclencheur est "possession, garde ou contrôle" — termes au sens juridique établi en droit US. La garde et le contrôle s'étendent au-delà des murs physiques, aux données stockées par filiales, affiliés, contractants, et tout ce que vous pouvez contraindre.
Le cas qui a confirmé : Microsoft Ireland
En 2014, des procureurs US ont servi à Microsoft un mandat pour des emails stockés à Dublin. Microsoft a refusé. L'affaire est allée à la Cour Suprême, qui s'apprêtait à statuer quand le Congrès a voté le Cloud Act, rendant l'affaire sans objet. L'intention législative était explicite : oui, les mandats US atteignent les données stockées à l'étranger.
Microsoft, Amazon, Google ont été clairs publiquement : ils se conformeront aux procédures légales US valides, indépendamment du lieu de stockage.
Ce que signifient réellement les "régions UE"
Quand AWS offre une région "EU (Frankfurt)", que vous dit ce label ?
- Les serveurs physiques sont à Francfort — vrai
- Les données résident physiquement là — vrai
- Les données sont régies par le droit allemand/UE — partiellement vrai (RGPD s'applique)
- Les données ne peuvent pas être accédées par procédure US — faux
Une région UE est une localisation géographique pour compute et storage, pas une frontière juridique de souveraineté. AWS, Azure, Google Cloud sont tous soumis au Cloud Act car leurs maisons-mères sont US-incorporées.
L'angle Schrems II
Schrems II (CJUE, 2020) a trouvé exactement ce problème incompatible avec le RGPD. La cour a raisonné : le RGPD exige que les données personnelles transférées hors UE bénéficient d'une protection "essentiellement équivalente". Les lois de surveillance US (FISA Section 702, EO 12333) ne fournissent pas cela — et les fournisseurs US sont soumis à ces lois même pour des données stockées dans leurs régions UE.
Et le Data Privacy Framework ?
Le DPF UE-US de 2023 a été négocié pour adresser Schrems II. Plusieurs juristes et Max Schrems lui-même soutiennent que le DPF ne résout pas le problème de fond — la Section 702 autorise toujours la collecte massive. Des recours sont en cours. À début 2026, le DPF tient toujours, mais "Schrems III" est une perspective réelle.
L'argument "chiffrement avec clés client"
Une défense technique : "On ne peut pas lire vos données car vous tenez les clés." Partiellement vrai et partiellement marketing.
Vrai : si vous chiffrez côté client et que le fournisseur ne stocke que du ciphertext, le fournisseur contraint remet des bytes illisibles.
Pas si vrai en pratique : la plupart des workloads n'opèrent pas exclusivement sur des données chiffrées. Les bases de données doivent query. Les apps doivent afficher. Le moment où la donnée est déchiffrée pour être utile, elle existe en clair quelque part — typiquement dans la RAM du fournisseur, brièvement.
La comparaison pratique
| Propriété | Région UE AWS | Fournisseur souverain UE |
|---|---|---|
| Données physiquement UE | Oui | Oui |
| Conforme RGPD | Oui (avec DPA) | Oui (avec DPA) |
| Cloud Act applicable | Oui | Non |
| Voies de compulsion UE-only | Non | Oui |
Ce que cela signifie en pratique
Pour la plupart des workloads, l'exposition Cloud Act est un risque théorique. Trois catégories ne devraient pas être chez des fournisseurs US :
- Données du gouvernement et secteur public
- Données régulées par secteur : santé (HDS), transactions financières, communications légales
- Données concurrentielles stratégiques : secrets commerciaux, M&A, R&D