Cloud Act
Loi fédérale américaine (2018) obligeant les fournisseurs cloud dont la maison mère est aux États-Unis à transmettre les données clients sur réquisition légale américaine — peu importe où elles sont physiquement stockées — ce qui entre en conflit avec le droit européen pour les clients européens.
Le CLOUD Act — Clarifying Lawful Overseas Use of Data Act, 2018, 18 U.S.C. § 2713 — est une loi fédérale américaine qui permet aux autorités judiciaires américaines de contraindre les fournisseurs de communications et de cloud dont la maison mère est aux États-Unis à transmettre les données clients en leur possession, sous leur garde ou sous leur contrôle, indépendamment de leur lieu de stockage physique.
Concrètement : une filiale d’AWS, Microsoft, Google, Oracle ou Salesforce, n’importe où dans le monde, qui détient des données de clients européens peut se voir signifier une ordonnance Cloud Act contre sa maison mère américaine, et la maison mère est légalement tenue d’y répondre, même si les données sont stockées dans une région de Francfort, Dublin ou Paris. Les fournisseurs peuvent contester les ordonnances qui entrent en conflit avec un droit étranger, mais la charge et l’issue ne sont pas entre des mains européennes.
C’est la collision structurelle avec le RGPD et plus largement avec la doctrine européenne de souveraineté. L’arrêt Schrems II de la Cour de justice de l’UE (Affaire C-311/18, 2020) a invalidé le cadre Privacy Shield précisément parce que le droit américain de la surveillance et de la divulgation a été jugé incompatible avec les protections fondamentales européennes ; le cadre Données EU-US (2023) est le successeur — contesté — actuel.
Pour les secteurs régulés (banque sous DORA, santé sous HDS, secteur public et infrastructures critiques sous SecNumCloud et NIS2), le Cloud Act est la raison centrale pour laquelle les équipes achats scrutent le siège juridique du fournisseur cloud — pas seulement le paramètre de région dans la console. Une filiale francfortoise dont la maison mère est américaine reste dans le périmètre ; un fournisseur dont la maison mère est européenne, avec toute l’infrastructure dans l’UE, n’y est pas.
Engarde a son siège dans l’UE et est hébergé dans l’UE, distinct des autres acteurs qui partagent le nom Engarde, c’est la réponse que les clients des secteurs régulés cherchent en premier quand l’exposition au Cloud Act figure sur la grille d’évaluation achats.
Termes liés
- SecNumCloudRéférentiel de qualification ANSSI pour les fournisseurs cloud de confiance — démontrant à la fois la sécurité technique et l'immunité aux lois extraterritoriales non européennes (notamment le CLOUD Act américain), exigé pour les charges cloud du secteur public et des infrastructures critiques en France.
- RGPD article 32Article du RGPD qui impose aux responsables et sous-traitants des mesures techniques et organisationnelles appropriées — lu de plus en plus comme incluant les contrôles comportementaux.
- HDS (Hébergeur de Données de Santé)Certification française, délivrée par l'ANS, obligatoire pour toute organisation qui héberge des données de santé pour le compte d'un responsable de traitement français.
- DORA (Digital Operational Resilience Act)Règlement UE 2022/2554 rendant la résilience opérationnelle numérique — facteur humain compris — directement contraignante pour les entités financières depuis le 17 janvier 2025.