Cloud souverain, données européennes et droit américain
On retrouve ces slogans dans les plaquettes commerciales, les discours institutionnels, et parfois même dans des décisions publiques engageant des millions d’euros. Ils donnent l’impression rassurante que, cette fois-ci c’est bon, les données européennes sont enfin chez elles.
Un rapport juridique approfondi de l’Université de Cologne, commandé par l’État allemand, vient rappeler une réalité beaucoup moins confortable : la protection des données ne dépend ni des slogans, ni des frontières, mais du droit auquel obéit l’opérateur qui les exploite. Et paf, que la force du Cloud Act soit avec toi (ou pas).
Une précision indispensable (et trop souvent oubliée)
Avant d’aller plus loin, une clarification s’impose : Utiliser une technologie américaine n’implique pas automatiquement une soumission au droit américain. Une entreprise française ou européenne sans lien capitalistique avec les États-Unis, sans contrat d’exploitation avec une société américaine, exploitant elle-même son infrastructure locale, n’est pas concernée par les lois américaines, même si elle utilise un logiciel développé aux États-Unis.
Ce point est fondamental et le rapport ne dit jamais le contraire.
La question n’est donc pas quelle technologie est utilisée, mais qui exploite, administre et contrôle réellement les données.
Quand le droit américain entre en salle serveur
Le rapport est très clair : les autorités américaines disposent de plusieurs cadres juridiques leur permettant d’accéder à des données lorsqu’elles sont sous le contrôle d’une entité soumise au droit américain.
Et ce contrôle peut exister même si les serveurs sont en Europe, les clients sont européens, les contrats sont signés avec une filiale locale.
Ce qui compte, ce n’est pas la géographie, mais la capacité juridique ou technique de produire les données sur injonction.
Cloud public ou cloud privé, juridiquement ça ne change rien
C’est souvent là que la confusion commence. Le terme cloud privé décrit une architecture technique (environnement dédié, non mutualisé, isolé d’autres clients) mais juridiquement, ce terme n’a aucune valeur.
Si l’infrastructure est exploitée, administrée, maintenue ou contrôlée par une entreprise soumise au droit américain, alors les données peuvent être légalement exigées par les autorités américaines, indépendamment du qualificatif “privé”, “dédié” ou “isolé”.
Le rapport insiste sur la notion de “contrôle” (point constant du droit américain) qui est interprétée de manière large.
Un opérateur qui peut intervenir, ordonner une extraction ou être contraint de le faire est considéré comme ayant le contrôle.
Le RGPD face au droit américain (deux logiques incompatibles)
L’Union Européenne dispose d’un cadre solide de protection des données (sur le papier). Mais le rapport rappelle un fait juridique majeur : la Cour de justice de l’Union européenne a déjà annulé deux accords successifs encadrant les transferts de données avec les États-Unis.
Pourquoi ?
Parce que le droit américain autorise une surveillance étendue des personnes non américaines, sans garanties équivalentes aux droits fondamentaux européens. Et malgré ces décisions, les mécanismes de collecte persistent, les possibilités de recours restent très limitées, et les entreprises européennes ne peuvent pas réellement s’opposer à une injonction américaine.
Le RGPD protège… jusqu’à ce qu’il rencontre une loi étrangère plus impérative.
La surveillance sans fournisseur reste le point aveugle
Le rapport de l'université de Cologne évoque également un aspect rarement abordé publiquement : la surveillance sans passer par les fournisseurs cloud.
Les services de renseignement américains disposent d’un cadre juridique leur permettant d’intercepter des communications directement sur les infrastructures réseau internationales, sans coopération des opérateurs et sans notification des personnes concernées.
Ici, le débat sur le cloud devient presque secondaire. Les données circulent et peuvent être captées.
C’est opaque pour les citoyens européens mais légal aux États-Unis.
« Il suffit de chiffrer ! » (une belle illusion confortable)
Autre idée largement répandue : le chiffrement serait un rempart absolu.
Le rapport est beaucoup plus nuancé...
Le chiffrement protège contre le piratage ou l’accès non autorisé mais il ne protège pas contre une obligation légale de coopération, une injonction judiciaire ou des obligations de conservation de preuves.
Un opérateur qui s’organiserait volontairement pour ne pas pouvoir répondre à une injonction s’expose à des sanctions lourdes en droit américain.
Le chiffrement est une mesure de sécurité, pas une immunité juridique.
EUCS, SecNumCloud vu par la CNIL (Quand la souveraineté devient (enfin) un critère juridique)
Le rapport de l’Université de Cologne analyse le problème du point de vue du droit américain, la CNIL quant à elle apporte la lecture française et européenne. Et les deux convergent.
La CNIL souligne que le projet de certification européenne EUCS ne garantit plus l’« immunité juridique » vis-à-vis des lois extra-européennes, ne permet donc pas de sécuriser juridiquement les données les plus sensibles et crée une ambiguïté dangereuse pour les acteurs publics et privés.
Cette lacune est d’autant plus problématique que l’État français promeut une doctrine dite « Cloud au centre », tout en exigeant que les données d’une sensibilité particulière ne soient pas exposées à des lois étrangères et que la loi SREN (du 21 mai 2024) impose désormais explicitement cette protection contre les accès non autorisés par des États tiers.
Autrement dit, une certification européenne peut être conforme sur le papier, tout en étant juridiquement insuffisante dans les faits.
La CNIL le dit sans détour :
sans critères d’immunité face aux lois extra-européennes, le cloud certifié EUCS ne peut pas accueillir les traitements les plus sensibles.
Mais ça change quoi concrètement ?
Pour un particulier : Les données professionnelles, administratives ou personnelles hébergées chez un opérateur soumis au droit américain peuvent être accessibles sans information préalable, sans recours direct, et sans ciblage individuel. Vous n’êtes donc pas visé personnellement, mais vos données peuvent être collectées dans des ensembles plus larges.
Pour une PME : Une PME utilisant un service opéré par une entreprise américaine reste responsable au regard du RGPD, sans maîtriser les décisions juridiques prises à l’étranger ni être informée d’une éventuelle réquisition. Le risque juridique est assumé localement, pour une décision qui échappe au client.
Pour une collectivité ou une administration : Là, ça se complique et la situation devient critique... Données sociales, scolaires, de santé, d’état civil : si l’opérateur final dépend du droit américain, le risque n’est plus théorique, même avec des infrastructures dédiées et des contrats européens. En cas de problème, la responsabilité retombera sur la collectivité (et paf, on vous envoie GI-Joe).
Conclusion : la souveraineté ne se décrète pas !
Ce rapport ne dit pas que « tout cloud américain est dangereux », il dit quelque chose de plus précis et plus dérangeant : La souveraineté des données dépend du droit auquel obéit l’exploitant, pas du discours commercial.
Utiliser une technologie américaine n’est pas un problème mais dépendre juridiquement d’un opérateur soumis au droit américain en est un.
La souveraineté numérique n’est ni un label, ni un mot rassurant, c’est une chaîne de contrôle juridique.
Et tant que cette chaîne traverse l’Atlantique, les données européennes voyageront avec elle. Vous êtes prévenus ;)
Sources :
Commentaires (0)
Connectez-vous pour commenter.