- Le US CLOUD Act (2018) permet aux services de détection et de répression américains d'obliger tout fournisseur de services de cloud ayant son siège aux États-Unis à divulguer des données — même des données stockées dans des centres de données de l'UE
- Cela crée un conflit direct avec l'exigence du RGPD d'une protection adéquate des données
- Les fournisseurs touchés comprennent Google Workspace, Microsoft 365, AWS, Freshworks, Salesforce, et essentiellement tous les principaux fournisseurs de SaaS américains
- La seule solution structurelle est l'infrastructure européenne souveraine: prestataire au siège de l'UE, hébergement de l'UE, aucun transfert aux États-Unis, aucune exposition à la loi CLOUD
Lorsqu'une entreprise européenne choisit un fournisseur de logiciels cloud, les questions principales sont généralement sur la fonctionnalité et le prix. La question de savoir où se trouve le siège de l'entreprise — et quelles obligations juridiques créent pour le prestataire — est rarement examinée avec la même rigueur.
Ça devrait l'être. Pour les entreprises qui traitent des données sur les clients réglementés — dossiers financiers des clients, fichiers juridiques, données sur les soins de santé, informations sur la LMA/KYC — le statut juridictionnel de leurs fournisseurs de logiciels est une question de conformité, et pas seulement commerciale.
Ce que signifie la loi CLOUD pour les entreprises européennes
La loi CLOUD (Clarifying Lawful Overseas Use of Data Act), adoptée par le Congrès des États-Unis en 2018, autorise les services de détection et de répression des États-Unis à obliger les sociétés dont le siège est aux États-Unis à produire des données stockées sur leurs serveurs, quel que soit leur emplacement physique.
Avant l'adoption de la loi CLOUD, une demande d'application de la loi des États-Unis pour les données stockées dans un centre de données européen aurait dû passer par le processus du Traité d'entraide judiciaire (MLAT), qui est lent et implique la coopération des autorités européennes. La loi CLOUD a contourné cette situation en permettant des ordres directs à la société dont le siège est aux États-Unis, sans avoir à passer par le pays où les données sont stockées.
L'implication pratique: si les données de votre client sont stockées auprès d'un fournisseur de services de cloud ayant son siège aux États-Unis — même dans un centre de données de l'UE — les autorités américaines peuvent obliger ce fournisseur à produire les données de vos clients sans vous en informer, sans passer par les processus juridiques de l'UE et sans le consentement des autorités européennes de protection des données.
La loi CLOUD est en conflit avec le RGPD: l'article 48 du RGPD interdit le transfert de données à caractère personnel à une autorité non-UE, sauf si ce transfert est autorisé par un accord UE-États-Unis ou par une loi d'un État membre de l'UE. Une ordonnance de la Loi sur le CLOUD ne satisfait à aucune de ces conditions. Cela signifie qu'un fournisseur dont le siège est aux États-Unis et qui se conforme à la loi CLOUD pour les données à caractère personnel de l'UE est, de l'avis de nombreuses autorités européennes de protection des données, à l'origine d'une violation du RGPD, indépendamment de ce que disent les conditions de service du fournisseur.
Quels sont les fournisseurs touchés
Toute société constituée aux États-Unis, quel que soit l'endroit où se trouvent ses centres de données, est assujettie à la loi CLOUD. Cela comprend:
- Google Google Workspace, Google Drive, Gmail — dont le siège est aux États-Unis, CLOUD La loi s'applique même lorsque la résidence des données de l'UE est sélectionnée
- Microsoft Microsoft 365, Équipes, SharePoint, Azure — Siège américain, CLOUD La loi s'applique même aux déploiements dans la région de l'UE
- Amazon AWS, Amazon WorkMail — dont le siège est aux États-Unis, CLOUD La loi s'applique à toutes les régions du SSFE, y compris eu-ouest
- Freshworks Freshservice, Freshsales, Freshdesk — Siège social américain (Delaware), CLOUD Act s'applique
- Salesforce Sales Cloud, Service Cloud — Siège aux États-Unis, CLOUD Act s'applique
- HubSpot CRM, Hub Marketing — Siège aux États-Unis, CLOUD Act s'applique
Il ne s'agit pas d'une liste exhaustive — elle s'applique essentiellement à tous les principaux fournisseurs de SaaS ayant leur siège aux États-Unis. L'option de centre de données de l'UE, que de nombreux fournisseurs offrent comme fonction de conformité au RGPD, n'enlève pas l'exposition au CLOUD Act. La résidence des données et la juridiction légale sont des choses différentes.
Pourquoi les clauses contractuelles types ne suffisent pas
La réponse standard des fournisseurs ayant leur siège aux questions de conformité au RGPD est qu'ils offrent des clauses contractuelles standard de l'UE dans leurs accords de traitement des données. Les CSC sont un mécanisme de légitimation des transferts de données de l'UE vers des pays tiers en vertu du RGPD, mais ils ne résolvent pas le conflit de la loi CLOUD.
L'arrêt Schrems II de la CJUE (2020) a clairement indiqué que les CSC ne sont valables que lorsque le cadre juridique du pays bénéficiaire ne porte pas atteinte à la protection qu'ils offrent. Pour les États-Unis, la loi CLOUD est exactement ce type de saper le cadre juridique : elle permet au fournisseur d'être contraint de divulguer des données de manière que les CSC interdisent explicitement.
Les CSC exigent du fournisseur qu'il avise l'exportateur de données de tout ordre juridique en conflit avec les CSC et qu'il conteste ces ordres dans la mesure du possible. Toutefois, les ordonnances de la loi CLOUD comprennent souvent des dispositions de bâillon qui empêchent le fournisseur de notifier le client, rendant l'obligation de notification de la CSC effectivement inapplicable.
La position de l'EDPB: Le European Data Protection Board a déclaré à maintes reprises que l'existence de lois américaines en matière de surveillance, y compris la loi CLOUD, signifie que les CSC ne suffisent pas à elles seules à légitimer les transferts à des fournisseurs ayant leur siège aux États-Unis sans mesures supplémentaires. Les mesures supplémentaires qui tiennent compte de l'exposition à la CLOUD Act sont techniquement exigeantes et rarement appliquées dans la pratique.
L'alternative: les infrastructures européennes-souveraines
La solution structurelle au problème de la loi CLOUD est d'utiliser un fournisseur qui n'est pas soumis à la juridiction américaine. Cela signifie que le siège social de l'UE (ou de l'EEE), l'infrastructure d'exploitation située entièrement dans l'UE, sans société mère américaine, et sans sous-processeurs américains ayant accès à des données clients non chiffrées.
Ceci est distinct de la « résidence des données de l'UE » offerte par les fournisseurs du siège aux États-Unis. Les adresses de résidence des données de l'UE où les données sont stockées. La souveraineté européenne porte sur la compétence juridique de l'entité qui contrôle ces données, qui détermine qui peut en imposer la divulgation.
Résidence de données de l'UE (fournisseur américain)
Les données sont stockées dans les centres de données de l'UE. Mais la société mère dont le siège est aux États-Unis conserve le contrôle et demeure assujettie aux ordonnances de CLOUD Act. Le lieu de stockage ne détermine pas la compétence légale.
Souveraineté européenne (fournisseur de l'UE)
Les données sont stockées dans des centres de données de l'UE gérés par une société dont le siège est situé dans l'UE et qui n'a pas de société mère américaine. Pas d'exposition à la loi sur le CLOUD. L'application de la loi aux États-Unis doit recourir au processus MLAT, qui exige la coopération des autorités de l'UE.
Comment HubSecure gère la résidence des données
HubSecure exploite une infrastructure hébergée par l'UE sans transfert de données vers les systèmes américains. Les données des clients traitées par HubSecure ne transitent pas par des systèmes contrôlés par les États-Unis et ne sont pas assujetties aux ordonnances de CLOUD Act. L'architecture de la plateforme est conçue pour la souveraineté européenne des données à partir de la base, non adaptée à elle après coup.
Les engagements spécifiques en matière de souveraineté des données dans l'accord de traitement des données de HubSecure couvrent:
- Hébergement UE pour toutes les données clientes sans transfert vers des sous-traitants non membres de l'UE
- Liste des sous-traitants limitée aux prestataires ayant leur siège dans l'UE
- Pas de société mère américaine ayant le contrôle des données
- Portabilité des données: exportation complète de toutes les données clientes dans des formats structurés sur demande
- Droit à l'effacement: suppression complète de toutes les données client sur la résiliation du compte, avec certificat de suppression
L'encadrement concurrentiel: Pour les entreprises réglementées européennes, la souveraineté européenne des données est de plus en plus une attente de clients, et pas seulement une exigence de conformité interne. Les clients des services financiers, les fournisseurs de soins de santé et les clients juridiques qui comprennent la question de la Loi sur le CLOUD posent à leurs fournisseurs de services — et aux fournisseurs de logiciels de leurs fournisseurs de services — des questions sur l'exposition à la Loi sur le CLOUD. Être en mesure de répondre « aucun » est un véritable avantage concurrentiel dans les conversations d'approvisionnement.
Ce que vous devriez demander à vos fournisseurs actuels
Si vous évaluez l'exposition de la pile d'outils CLOUD Act, voici les questions qui comptent :
- Où cette société est-elle constituée? Si la réponse est les États-Unis, la loi CLOUD s'applique peu importe les autres facteurs.
- La société a-t-elle une société mère dont le siège est aux États-Unis? Les filiales de parents américains peuvent également faire l'objet d'ordonnances CLOUD Act adressées au parent.
- L'entreprise peut-elle fournir une confirmation écrite qu'aucune entité ayant son siège aux États-Unis n'a accès aux données non chiffrées de mes clients? C'est le test technique — si une entité américaine peut accéder aux données, elle peut être contrainte de les produire.
- Quelles mesures techniques supplémentaires la société met-elle en œuvre pour atténuer l'exposition de ses clients à la loi CLOUD? Les réponses acceptables comprennent le chiffrement côté client avec les clés détenues par le client — pas seulement TLS en transit.
Découvrez la résidence de données dans HubSecure
Passez en revue nos engagements de résidence de données, la liste des sous-processeurs et l'accord de traitement de données — et parlez-nous de la migration à partir d'outils basés aux États-Unis.
Détails de la résidence des donnéesPostes connexes
Cryptage post-quantique : pourquoi vos données commerciales en ont besoin maintenant · NIS2 Liste de contrôle de conformité : Comment HubSecure couvre toutes les exigences · Pourquoi les entreprises réglementées ont besoin de l'IA, pas seulement de l'IA · HubSecure vs Freshworks : Service Tickets vs Governed Operations