Points clés
- L'hébergement des données dans le cloud crée des enjeux juridiques complexes : juridiction applicable, transferts internationaux, accès des gouvernements étrangers
- Le RGPD encadre strictement les transferts de données personnelles vers des pays tiers — y compris vers des services cloud américains
- Le CLOUD Act américain (2018) permet aux autorités américaines d'accéder aux données hébergées par des entreprises américaines, même en dehors des États-Unis
- La souveraineté numérique est devenue un enjeu stratégique pour les entreprises opérant dans des secteurs sensibles
L'hébergement des données dans le cloud soulève des questions juridiques qui vont bien au-delà des aspects purement techniques de la sécurité. La localisation des serveurs cloud, le droit applicable aux données qu'ils hébergent, et les droits d'accès que différentes autorités gouvernementales peuvent revendiquer sur ces données sont des enjeux juridiques complexes qui ont des implications pratiques importantes pour les organisations.
Ces enjeux ne concernent pas uniquement les grandes entreprises multinationales — toute organisation qui héberge des données personnelles de citoyens européens dans un service cloud, quelle que soit la taille de l'organisation ou la localisation du fournisseur, est soumise au cadre juridique européen de protection des données.
Le RGPD et les transferts cloud hors UE
Le RGPD encadre strictement les transferts de données personnelles vers des pays tiers (hors Espace Économique Européen). Pour être licites, ces transferts doivent être couverts par l'un des mécanismes prévus : une décision d'adéquation de la Commission européenne, des Clauses Contractuelles Types (CCT), des Règles d'entreprise contraignantes, ou des garanties appropriées avec droits exécutoires.
L'arrêt Schrems II (juillet 2020) a invalidé le Privacy Shield et imposé aux organisations d'évaluer si les CCT offrent des garanties suffisantes compte tenu du droit du pays tiers. Pour les services cloud américains, cette évaluation est complexe : le CLOUD Act américain et les pouvoirs de surveillance des agences de renseignement créent des risques d'accès aux données que les CCT seules ne peuvent pas éliminer.
Le CLOUD Act : un risque pour les données hébergées chez des fournisseurs américains
Le Clarifying Lawful Overseas Use of Data (CLOUD) Act américain (2018) permet aux autorités américaines d'exiger d'entreprises américaines (dont AWS, Microsoft, Google) la communication de données hébergées sur leurs serveurs, y compris lorsque ces serveurs sont physiquement localisés hors des États-Unis. Cette disposition crée un risque d'accès extraterritorial aux données hébergées chez des fournisseurs cloud américains, même dans des datacenters européens.
La Commission européenne a reconnu ce risque dans l'élaboration du Data Act et a développé des clauses de protection spécifiques dans les contrats avec les fournisseurs cloud américains. Les organisations hébergeant des données très sensibles (données de santé, données de défense, secrets industriels) évaluent de plus en plus les alternatives cloud européennes pour réduire ce risque.
Les solutions de souveraineté numérique
Face à ces enjeux juridiques, plusieurs solutions émergent : les offres "cloud souverain" (OVHcloud, Deutsche Telekom, Thales/Google Cloud Trusted) qui garantissent que les données restent sur le territoire national avec des équipes locales ne pouvant pas être contraintes par des autorités étrangères, les solutions de chiffrement côté client (les données sont chiffrées avant d'être envoyées au cloud, rendant inaccessible leur contenu au fournisseur), et le cadre EUCS (European Union Cloud Security Certification Scheme) en cours de finalisation par l'ENISA.
Le choix entre ces solutions implique des compromis entre le niveau de protection juridique et les coûts et capacités fonctionnelles disponibles. Ces compromis sont des décisions de gouvernance qui doivent être prises en pleine connaissance des enjeux juridiques, avec l'accompagnement des équipes juridiques et de conformité.
Le gouvernement américain a exigé de Microsoft la communication d'emails stockés sur ses serveurs irlandais dans le cadre d'une enquête criminelle. Microsoft a refusé, estimant que les autorités américaines n'avaient pas compétence sur des données stockées en Europe. Le litige a atteint la Cour Suprême avant d'être rendu partiellement moot par l'adoption du CLOUD Act en 2018. L'affaire a mis en lumière la tension entre les droits d'accès des gouvernements aux données cloud et les protections des lois applicables dans les pays où les données sont hébergées.
La Cour de Justice de l'Union Européenne a été saisie de la question de la légalité des transferts de données de passagers aériens (PNR — Passenger Name Record) vers les États-Unis, stockées dans des systèmes cloud. La Cour a imposé des conditions strictes, notamment l'interdiction de stocker des données dont la pertinence pour la sécurité n'est pas démontrée. Cette décision a conduit à une révision des architectures cloud de plusieurs compagnies aériennes européennes pour localiser les données de passagers dans des environnements conformes au droit européen.
TikTok a été au cœur d'un débat international sur l'accès potentiel du gouvernement chinois aux données d'utilisateurs américains et européens hébergées dans ses systèmes cloud. Plusieurs gouvernements (États-Unis, Australie, Royaume-Uni) ont interdit TikTok sur les appareils gouvernementaux. ByteDance a développé le projet "Project Texas" aux États-Unis — isolation des données américaines dans une infrastructure dédiée gérée par Oracle — pour répondre aux préoccupations. Cet exemple illustre comment les enjeux de souveraineté numérique affectent directement les stratégies cloud des organisations opérant dans des contextes géopolitiques sensibles.