Patriot Act et Cloud Act : faut-il vraiment fuir les clouds americains
Imaginez que vous louez un coffre-fort dans une banque suisse. Le coffre est en Suisse, la cle est en Suisse, vos documents sont en Suisse. Mais le proprietaire de la banque est americain. Et un beau matin, le FBI debarque – non pas a Geneve, mais a New York – et dit au siege : « ouvrez le coffre numero 4 712 ». Le proprietaire s’execute, parce que la loi americaine l’y oblige. Si vous arrivez depuis le guide sur la souverainete et le RGPD dans le cloud europeen, vous savez deja que la localisation de vos serveurs ne protege rien du tout quand l’operateur est soumis au droit americain. Cette analogie du coffre-fort n’est pas une metaphore : c’est exactement le mecanisme du Cloud Act.
La reponse courte a « faut-il fuir les clouds US ? » est : si vous traitez des donnees personnelles de citoyens europeens, vous n’avez pas le choix. Le RGPD l’interdit dans les faits. Si vous traitez des donnees commerciales sensibles – plans strategiques, propriete intellectuelle, contrats – la prudence elementaire devrait suffire a vous convaincre.
Deux lois, un meme resultat : l’acces extraterritorial a vos donnees
Le Patriot Act a ete vote six semaines apres le 11 septembre 2001, dans un elan d’unanimite nationale qui n’avait pas vraiment le temps de s’embarrasser de nuances juridiques. Sa Section 215 permettait au FBI d’obtenir des « business records » – un terme volontairement vague qui inclut a peu pres tout – via un tribunal secret (la FISA Court) sans que la cible soit informee. En 2015, le USA FREEDOM Act a limite certains des exces les plus voyants, mais le mecanisme de base reste intact.
Le Cloud Act, vote en 2018, est plus chirurgical et, d’une certaine maniere, plus dangereux. Il ne se cache pas derriere des tribunaux secrets. Il dit simplement, noir sur blanc : toute entreprise americaine doit fournir les donnees stockees sur ses serveurs, ou que ces serveurs se trouvent dans le monde. L’article 2713 du titre 18 du US Code est d’une clarte brutale. Pas de zone grise, pas d’ambiguite, pas de marge de manoeuvre.
Ce que le RGPD exige pour le stockage cloud europeen
Le conflit est frontal – et ce que le RGPD exige pour le stockage cloud merite un article a part entiere. L’article 48 du RGPD interdit le transfert de donnees personnelles vers un pays tiers en l’absence de garanties adequates. Le Cloud Act ordonne exactement ce transfert. Un fournisseur americain qui recoit une injonction se retrouve litteralement en infraction quel que soit son choix : s’il obeit, il viole le RGPD ; s’il refuse, il viole le droit americain. Microsoft l’a reconnu publiquement dans ses rapports de transparence – ce n’est pas un secret.
Google, Amazon et Microsoft traitent chaque annee des dizaines de milliers de demandes d’acces gouvernementales. Google a publie plus de 180 000 demandes pour le seul premier semestre 2024. La grande majorite concerne des comptes individuels, mais les demandes visant des comptes d’entreprise existent et augmentent. Le probleme n’est pas la frequence : c’est le fait que le mecanisme existe et qu’il est legal.
Schrems II et le Cloud Act : des risques bien au-dela des mots
L’arret Schrems II a invalide le Privacy Shield en 2020 precisement a cause de cette contradiction. La CJUE a juge que le droit americain n’offrait pas un niveau de protection « substantiellement equivalent » au droit europeen. Le successeur du Privacy Shield – le Data Privacy Framework adopte en 2023 – repose sur un decret presidentiel americain (Executive Order 14086) qui peut etre revoque par le prochain president d’un trait de plume. Ce n’est pas une base legale solide. C’est un chateau de cartes politique.
Les risques concrets du Cloud Act pour les entreprises europeennes vont au-dela de la conformite reglementaire. Il y a l’espionnage industriel (les demandes FISA ne sont pas limitees au terrorisme), la perte de controle sur les donnees clients, et le risque reputationnel. Quand Max Schrems a attaque Facebook, ce n’etait pas pour le plaisir du contentieux – c’etait parce que les donnees de millions d’Europeens etaient accessibles a la NSA via PRISM, un programme dont l’existence meme n’etait pas censee etre publique.
La sortie de secours existe, et elle n’est pas compliquee : utiliser un fournisseur cloud dont le siege social et l’infrastructure sont situes dans une juridiction qui ne peut pas recevoir d’injonction americaine. La Suisse, avec la nLPD entree en vigueur en 2023, offre un cadre juridique solide et independant. Les fournisseurs europeens (OVHcloud, Hetzner, Scaleway) sont egalement hors de portee du Cloud Act. Le choix n’est pas technique – Google Drive, OneDrive et kDrive font grosso modo la meme chose. Le choix est juridique. Et en matiere de juridiction, il n’y a pas de demi-mesure.