Tous les articles
Décryptage8 min de lecture

Cloud Act, FISA 702 : pourquoi héberger en Europe ne suffit pas

« Nos données sont hébergées à Paris. » C’est la réponse la plus fréquente, et elle répond à côté de la question. La bonne question n’est pas « où sont les serveurs ? » mais « qui peut être juridiquement contraint de livrer ce qu’ils contiennent, et par quel droit ? ». Deux textes américains structurent cette réponse : le CLOUD Act et la section 702 du FISA.

L’affaire qui a tout déclenché

En 2013, la justice américaine ordonne à Microsoft de produire les emails d’un compte hébergé dans son datacenter de Dublin. Microsoft refuse : les données sont en Irlande, hors de portée d’un mandat américain, plaide l’entreprise. L’affaire monte jusqu’à la Cour suprême. Elle ne sera jamais tranchée : en mars 2018, le Congrès vote le CLOUD Act, qui rend la question sans objet en donnant raison au gouvernement par la loi.

Le CLOUD Act en clair

Le Clarifying Lawful Overseas Use of Data Act dit explicitement qu’un fournisseur soumis à la juridiction américaine doit produire les données qu’il contrôle, qu’elles soient « situées à l’intérieur ou à l’extérieur des États-Unis » (18 U.S.C. § 2713). Trois conséquences concrètes :

  • La localisation ne protège pas : un datacenter à Francfort, Paris ou Milan exploité par une société américaine (ou sa filiale) reste dans le périmètre.
  • La filiale européenne ne protège pas : ce qui compte est le contrôle de l’entreprise, pas le pays d’immatriculation de l’entité locale qui signe votre contrat.
  • Le chiffrement ne protège que ce dont le fournisseur n’a pas les clés : si le prestataire peut techniquement déchiffrer, il peut être contraint de le faire.

Le texte prévoit des garde-fous (contestation par le fournisseur en cas de conflit de lois, accords bilatéraux dits « executive agreements »), mais ils sont étroits, à la main des États-Unis, et l’Union européenne n’a pas d’accord de ce type. Le CLOUD Act n’est pas un pillage généralisé : c’est un mécanisme judiciaire ciblé. Mais il établit un principe : le droit américain suit les entreprises américaines partout où elles opèrent.

FISA 702 : l’autre texte, plus large

La section 702 du Foreign Intelligence Surveillance Act autorise le renseignement américain à collecter, auprès des fournisseurs de communications américains, les données de personnes non américaines situées hors des États-Unis, sans mandat individuel. C’est précisément ce régime, jugé sans recours effectif pour les Européens, qui a conduit la Cour de justice de l’UE à invalider deux fois de suite les cadres de transfert transatlantiques : Safe Harbor en 2015 (Schrems I), puis Privacy Shield en 2020 (Schrems II, aff. C-311/18). La section 702 a été réautorisée par le Congrès en avril 2024.

« Mais le Data Privacy Framework a réglé le problème »

Partiellement, et fragilement. Le cadre adopté en juillet 2023 rétablit un mécanisme de transfert légal vers les entreprises américaines certifiées. Sa particularité : il repose sur un décret présidentiel américain (executive order), pas sur une loi, et encore moins sur un traité. Un décret se modifie ou se révoque par simple décision de l’exécutif. Les premières contestations juridiques européennes ont échoué en première instance, mais l’édifice reste suspendu à la politique intérieure américaine. Une architecture de données dont la légalité dépend du prochain locataire de la Maison-Blanche n’est pas une architecture stable.

L’aveu qui a clarifié le débat

En juin 2025, devant une commission d’enquête du Sénat français sur la commande publique, le directeur juridique de Microsoft France a reconnu sous serment ne pas pouvoir garantir que les données de citoyens français hébergées par Microsoft ne seraient jamais transmises aux autorités américaines sans l’accord de la France. Ce n’était ni un scoop ni un scandale : c’était une description honnête du droit applicable, dite à voix haute. La discussion « risque théorique contre risque réel » a perdu ce jour-là beaucoup de son brouillard.

Ce que ça change pour vos choix

Le critère pertinent n’est pas la géographie des serveurs mais l’exposition juridique du fournisseur : qui le contrôle, sous quel droit, avec quelles clés. C’est exactement la logique de la qualification française SecNumCloud, dont le référentiel exige, au-delà des critères techniques, une protection contre les droits extra-européens (structure capitalistique, contrôle effectif, localisation des opérations). Nous y consacrons un décryptage dédié.

En pratique, pour chaque brique de votre système :

  • Données banales, site vitrine : l’enjeu est surtout réputationnel et RGPD. Les alternatives européennes existent à fonctionnalités égales, autant les prendre.
  • Données clients, correspondance, code source : l’enjeu devient contractuel et concurrentiel. Demandez-vous qui peut lire vos emails (vos enregistrements MX le disent) et vos documents.
  • Données sensibles, régulées ou stratégiques: santé, défense, secteur public, R&D. C’est le territoire de SecNumCloud et des fournisseurs immunisés au droit extracommunautaire : Outscale, OVHcloud (offres qualifiées), entre autres.

Commencer par mesurer

Avant de débattre d’architecture, regardez les faits : qui héberge réellement votre site, qui sert vos polices, qui gère vos DNS, par où transitent vos emails. C’est exactement ce que montre notre audit de souveraineté, en une minute, preuves à l’appui. La dépendance se discute beaucoup mieux devant un inventaire que devant des convictions.

Et votre site, il dépend de qui ?

Hébergement, CDN, polices, emails, DNS : l’audit photographie vos dépendances en une minute.

Analyser un site

À lire ensuite

AnalyseL’empreinte invisible des géants américains sur le web européenLireDécryptageSecNumCloud, NIS2, DORA : la grille de lecture du cloud de confianceLire