Cloud Act : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) désigne la loi américaine adoptée le 23 mars 2018 qui permet aux autorités judiciaires des États-Unis d'exiger des opérateurs sous juridiction américaine la communication de données qu'ils détiennent, indépendamment de la localisation physique des données.

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) désigne la loi américaine adoptée le 23 mars 2018 qui permet aux autorités judiciaires des États-Unis d'exiger des opérateurs sous juridiction américaine la communication de données qu'ils détiennent, indépendamment de la localisation physique des données. Cette loi consacre la portée extraterritoriale des injonctions américaines en matière d'accès aux données numériques et constitue l'un des principaux points de tension entre le droit américain et le RGPD.

L'enjeu pratique du Cloud Act est central pour les organisations européennes utilisant des services de cloud computing fournis par des opérateurs américains (AWS, Microsoft Azure, Google Cloud, Salesforce, Oracle Cloud, etc.). La loi permet en théorie aux autorités américaines d'obtenir l'accès aux données européennes stockées sur des serveurs situés en Europe, ce qui crée un conflit potentiel avec les obligations de protection issues du RGPD et du droit français.

Le Cloud Act s'inscrit dans un contexte plus large de rivalité juridictionnelle entre les États-Unis et l'Union européenne sur l'accès aux données numériques. L'arrêt CJUE Schrems II du 16 juillet 2020 (C-311/18) a notamment invalidé le Privacy Shield au motif que la législation américaine de surveillance (incluant le Cloud Act et la FISA) ne garantissait pas un niveau de protection essentiellement équivalent à celui de l'UE.

Vous souhaitez sécuriser vos opérations face au Cloud Act ? Le Cabinet Aurore Bonavia accompagne l'analyse juridique et la mitigation des risques liés au Cloud Act. → Voir l'accompagnement en droit du numérique

Le contenu et la portée du Cloud Act

Le Cloud Act a modifié plusieurs dispositions du Stored Communications Act (SCA) américain de 1986, en y ajoutant deux principes structurants :

  • l'obligation pour les opérateurs sous juridiction américaine de communiquer aux autorités fédérales américaines les données qu'ils détiennent, indépendamment de la localisation physique des données ;
  • la possibilité de conclure des accords bilatéraux entre les États-Unis et des États tiers (Executive Agreements) facilitant l'accès réciproque aux données.

Sont soumis au Cloud Act les opérateurs ayant un lien suffisant avec les États-Unis :

  • les sociétés américaines au sens du droit américain (incorporated in the US) ;
  • les filiales étrangères de sociétés américaines, sous réserve du contrôle effectif ;
  • les sociétés étrangères ayant des activités significatives aux États-Unis et exposées à la juridiction des tribunaux américains (substantial connection test).

Cette qualification couvre la majorité des grands fournisseurs de cloud mondiaux : AWS, Microsoft Azure, Google Cloud, Salesforce, IBM Cloud, Oracle Cloud, Adobe, Apple iCloud, Dropbox, Box. Les filiales européennes de ces opérateurs (AWS Europe, Microsoft Ireland, Google Ireland) sont également soumises au Cloud Act au titre du contrôle exercé par leurs maisons-mères américaines.

Les données concernées par le Cloud Act couvrent l'ensemble du contenu numérique stocké, traité ou transmis par l'opérateur : emails, documents, photos, vidéos, communications, métadonnées techniques, logs de connexion, données de localisation. Aucune limitation par catégorie de données n'est prévue, ce qui élargit considérablement la portée potentielle de la loi.

Le conflit avec le RGPD

Le Cloud Act crée un conflit juridique potentiel avec plusieurs dispositions du RGPD :

  • l'article 48 du RGPD dispose qu'aucune décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant le transfert de données ne peut être reconnue ou rendue exécutoire, sauf si elle se fonde sur un accord international (traité d'entraide judiciaire) ;
  • les articles 44 et suivants sur les transferts internationaux imposent des garanties appropriées pour les transferts vers les pays tiers, qui peuvent être contournées par les injonctions Cloud Act ;
  • l'obligation de confidentialité au titre de l'article 5 paragraphe 1 f) du RGPD impose au responsable de traitement de garantir la sécurité des données contre les accès non autorisés ;
  • les droits des personnes concernées (information, accès, opposition) peuvent être affectés par la communication aux autorités américaines.

Ce conflit place les opérateurs européens dans une situation juridique délicate :

  • s'ils respectent l'injonction américaine, ils peuvent être sanctionnés au titre du RGPD pour violation des règles européennes de transfert et de protection des données ;
  • s'ils refusent l'injonction américaine, ils s'exposent à des sanctions pénales et civiles aux États-Unis (contempt of court, sanctions financières, mesures restrictives sur leurs activités).

L'arrêt CJUE Schrems II du 16 juillet 2020 (C-311/18) a précisé que les responsables de traitement doivent évaluer concrètement le risque d'accès des autorités du pays tiers et mettre en place des mesures supplémentaires lorsque les garanties contractuelles ne suffisent pas à atteindre un niveau de protection équivalent. Cette jurisprudence a renforcé l'exigence de vigilance face au Cloud Act.

Les Executive Agreements et la coopération bilatérale

Le Cloud Act prévoit la possibilité de conclure des Executive Agreements entre les États-Unis et des États tiers, permettant un accès réciproque aux données dans le respect de garanties mutuelles. Ces accords visent à organiser une coopération encadrée plutôt que des injonctions unilatérales.

Plusieurs accords ont été conclus depuis 2018 :

  • l'accord US-Royaume-Uni signé le 3 octobre 2019 et entré en vigueur en octobre 2022, premier Executive Agreement opérant entre les deux pays ;
  • l'accord US-Australie signé en décembre 2021, en cours de mise en œuvre.

L'Union européenne n'a pas conclu d'Executive Agreement avec les États-Unis, ce qui maintient le conflit juridique pour les flux de données transatlantiques. Des négociations ont été engagées sur un éventuel accord UE-US pour faciliter l'accès aux données dans des conditions respectueuses du RGPD, mais elles n'ont pas abouti à ce jour.

L'EU-US Data Privacy Framework adopté le 10 juillet 2023 ne couvre pas les questions du Cloud Act et ne résout pas le conflit juridictionnel. Il porte exclusivement sur les transferts commerciaux dans le cadre du RGPD et ne traite pas des injonctions des autorités publiques américaines.

Les stratégies de mitigation

Face au Cloud Act, les organisations européennes peuvent mettre en place plusieurs stratégies de mitigation complémentaires :

  • le chiffrement de bout en bout des données stockées dans les services cloud, avec conservation des clés par le responsable de traitement et non par le fournisseur ; cette technique rend les données illisibles pour le fournisseur même en cas d'injonction Cloud Act ;
  • le recours à des fournisseurs européens non soumis au Cloud Act (OVH, Scaleway, Outscale, T-Systems, Atos) pour les données les plus sensibles ;
  • la séparation logique des données par sensibilité, avec hébergement européen pour les catégories les plus exposées et hébergement américain accepté pour les catégories moins sensibles ;
  • la clausification renforcée des contrats avec les fournisseurs cloud, prévoyant l'information du client en cas d'injonction américaine et la contestation des injonctions injustifiées ;
  • la mise en place de Transfer Impact Assessments (TIA) documentés analysant les risques liés au Cloud Act et les mesures supplémentaires adoptées ;
  • la certification SecNumCloud de l'ANSSI pour les services cloud répondant à des standards renforcés de souveraineté, particulièrement pour les opérateurs publics et les opérateurs d'importance vitale.

L'article 42 du RGPD sur les certifications et l'article 46 paragraphe 2 sur les garanties appropriées permettent de structurer ces mesures dans un cadre juridique cohérent, sous réserve de leur effectivité concrète.

Spécificité juridique sur la souveraineté numérique européenne

Le Cloud Act a stimulé en Europe un débat structurel sur la souveraineté numérique, qui se traduit par plusieurs initiatives :

  • le projet GAIA-X lancé par la France et l'Allemagne en 2019, visant à créer un écosystème européen de cloud souverain offrant des services interopérables et conformes aux standards européens ;
  • la stratégie cloud au centre annoncée par le gouvernement français en 2021, qui impose aux administrations publiques l'usage prioritaire de solutions souveraines ;
  • la certification SecNumCloud révisée par l'ANSSI en 2022, qui intègre des exigences de souveraineté renforcées et constitue le standard de référence pour les services cloud sensibles ;
  • les investissements des principaux acteurs européens (OVH, Scaleway, Atos, Capgemini, Orange Business Services) dans le développement de capacités cloud souveraines.

L'EU Cloud Code of Conduct approuvé par les autorités de protection des données européennes en 2021 constitue un instrument complémentaire d'harmonisation, en précisant les obligations des fournisseurs cloud agissant comme sous-traitants au sens de l'article 28 du RGPD.

L'arrêt CJUE Schrems II continue de structurer le débat. La Cour a notamment retenu que les programmes de surveillance américains (FISA Section 702, Executive Order 12333, Cloud Act) ne respectent pas les principes de nécessité et de proportionnalité exigés par le droit fondamental à la protection des données. Cette analyse maintient l'exigence de mesures supplémentaires pour les transferts vers les États-Unis.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de cloud Act

  • l'analyse juridique de l'exposition au Cloud Act de vos opérations cloud ;
  • la rédaction des Transfer Impact Assessments (TIA) intégrant l'évaluation du Cloud Act ;
  • la mise en place de mesures supplémentaires (chiffrement, séparation logique, clauses renforcées) ;
  • la rédaction des contrats avec les fournisseurs cloud encadrant les injonctions Cloud Act ;
  • l'analyse comparative des solutions cloud souveraines pour les données sensibles ;
  • l'accompagnement des certifications SecNumCloud pour les opérateurs concernés ;
  • la défense face aux contrôles CNIL portant sur la conformité des transferts vers les États-Unis ;
  • l'accompagnement face à des injonctions Cloud Act effectivement reçues ;
  • la formation des équipes juridiques et techniques aux enjeux du Cloud Act et de la souveraineté.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Cloud Act (Clarifying Lawful Overseas Use of Data Act, 23 mars 2018), Stored Communications Act (1986), Règlement (UE) 2016/679 (RGPD) art. 5, 44, 48, jurisprudence CJUE 16 juillet 2020 (Schrems II C-311/18), EDPB Recommandations 01/2020 sur les mesures supplémentaires, EU Cloud Code of Conduct 2021, certification SecNumCloud ANSSI, Executive Agreements US-UK et US-AU. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.