CLOUD Act

Le CLOUD Act américain, pour Clarifying Lawful Overseas Use of Data Act, est une loi des États-Unis adoptée en 2018 qui permet aux autorités américaines, dans certains cadres judiciaires, de demander à des fournisseurs de services numériques soumis au droit américain de conserver ou transmettre des données, même lorsque ces données sont stockées en dehors du territoire des États-Unis. Son champ d'application est extraterritorial et couvre aussi bien les enquêtes pénales que les questions de sécurité nationale.

Concrètement, une collectivité française est concernée lorsqu'elle utilise un service cloud, une messagerie, un outil collaboratif ou une plateforme SaaS fournie par une entreprise américaine, ou placée sous contrôle juridique américain. Le sujet ne dépend donc pas uniquement du lieu où sont hébergées les données, mais aussi de l'identité juridique du prestataire et de sa capacité à être soumis à une injonction américaine.

Le CLOUD Act n'autorise pas un accès libre et permanent aux données. Il s'agit d'un cadre légal mobilisable dans le cadre de procédures définies par le droit américain, mais qui soulève des questions majeures de vie privée et de souveraineté numérique face à une législation qui s'applique potentiellement dans le monde entier.

Pour les collectivités, l'enjeu est de comprendre que le choix d'un service cloud engage la protection des données des habitants, la continuité du service public, la conformité au RGPD et la souveraineté numérique du territoire. Face à ces risques, des alternatives existent. Les offres qualifiées cloud de confiance, comme celles répondant au référentiel SecNumCloud délivré par l'ANSSI, garantissent un haut niveau de sécurité et une protection contre les législations extraterritoriales. Elles combinent des mesures techniques, opérationnelles et juridiques adaptées aux besoins des administrations publiques.

Le CLOUD Act a modifié le Stored Communications Act américain en introduisant notamment la section 18 U.S. Code § 2713.
L'adoption du CLOUD Act en mars 2018 fait suite à l'affaire Microsoft Corp. v. United States, une enquête criminelle liée à un trafic de drogue dans laquelle le Federal Bureau of Investigation (FBI) et le département de la Justice avaient obtenu un mandat pour accéder à des données stockées par Microsoft en Irlande. Microsoft avait contesté ce mandat, arguant que le Stored Communications Act ne permettait pas aux autorités américaines d'exiger des données situées hors du territoire américain. La Cour suprême des États-Unis, saisie de l'affaire, l'a finalement classée en avril 2018 après l'entrée en vigueur du CLOUD Act, qui clarifie le cadre d'accès aux données extraterritoriales. Le département de la Justice américain a ainsi pu exercer ses pouvoirs sous ce nouveau cadre juridique, rendant le litige initial sans objet.
Le CLOUD Act comporte aussi un volet relatif aux accords exécutifs bilatéraux entre les États-Unis et certains pays partenaires. Ils viennent compléter les MLAT (Mutual Legal Assistance Treaties), mécanismes de demande d'entraide judiciaire souvent jugés trop lents par les autorités américaines pour répondre aux besoins des enquêtes criminelles contemporaines.
Sur le plan technique, les données concernées peuvent être variées : contenus de communications, fichiers, métadonnées, journaux d'accès, informations de compte, sauvegardes ou données liées à l'utilisation d'un service. Pour une collectivité, les services potentiellement concernés incluent une messagerie professionnelle, une suite bureautique en ligne, un outil de gestion documentaire, un hébergement applicatif, une solution de sauvegarde, un CRM usagers ou une plateforme de visioconférence hébergée en SaaS.

Le CLOUD Act doit être analysé au regard du Règlement général sur la protection des données (RGPD), qui encadre strictement les transferts de données personnelles hors de l'Union européenne et de l'Espace économique européen. Les responsables de traitement et sous-traitants peuvent transférer des données hors UE/EEE uniquement si un niveau de protection suffisant et approprié est garanti.

Le 16 juillet 2020, l'arrêt Schrems II de la Cour de justice de l'Union européenne a invalidé le Privacy Shield, qui encadrait auparavant certains transferts de données entre l'Union européenne et les États-Unis. Cette décision a mis en lumière les conflits de lois potentiels entre le CLOUD Act américain et le RGPD européen, notamment concernant l'accès des autorités américaines aux données des citoyens européens.

Depuis le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d'adéquation pour les États-Unis, appelée EU-US Data Privacy Framework. Cet accord permet des transferts de données personnelles depuis l'Union européenne vers certains organismes américains inscrits sur une liste dédiée, sans mécanisme supplémentaire de transfert. Cette décision ne couvre toutefois pas automatiquement toutes les entreprises européennes travaillant avec des fournisseurs américains. Elle concerne uniquement les organisations qui participent au cadre de protection des données UE-États-Unis et qui figurent dans la liste publiée par le ministère américain du commerce.

Lorsqu'un prestataire n'entre pas dans ce cadre, les collectivités doivent s'appuyer sur les mécanismes prévus par le RGPD, comme les clauses contractuelles types, les règles d'entreprise contraignantes ou, dans des cas strictement encadrés, certaines dérogations. Le Comité européen de la protection des données recommande d'identifier les transferts, de vérifier les mécanismes utilisés, d'évaluer la législation du pays tiers et de mettre en place des mesures complémentaires lorsque cela est nécessaire.

Doctrine Cloud au centre et qualification SecNumCloud

La CNIL recommande aux collectivités de cartographier les données et traitements dans le cloud, d'inventorier les services utilisés, d'évaluer les besoins de sécurité, de formaliser les responsabilités dans les contrats et de configurer les outils de sécurité mis à disposition par les fournisseurs.

En France, le gouvernement a adopté la doctrine « Cloud au centre », publiée en juillet 2021 et actualisée en 2023. Cette doctrine fait du cloud le mode d'hébergement par défaut des nouveaux services numériques de l'État, tout en fixant des exigences strictes en matière de cybersécurité et de protection des données. Elle distingue notamment les situations où des données sensibles doivent être hébergées dans des offres répondant à des exigences de sécurité renforcées.

La qualification SecNumCloud, délivrée par l'ANSSI, permet d'identifier des solutions de cloud souverain répondant à un haut niveau d'exigence technique, opérationnel et juridique. Elle repose sur plus de 1 200 points de contrôle vérifiés par un évaluateur indépendant et vise notamment à protéger les données sensibles face aux menaces cyber et à l'application de lois extraterritoriales comme le CLOUD Act. Le recours à des offres qualifiées SecNumCloud constitue une réponse concrète pour les collectivités souhaitant héberger des données sensibles tout en réduisant leur exposition aux risques liés aux législations extraterritoriales et en renforçant leur souveraineté numérique.

Une commune qui utilise une suite collaborative en ligne pour ses agents traite potentiellement des courriels internes, des documents budgétaires, des dossiers RH, des échanges avec les élus ou des informations relatives aux administrés. Lorsque le fournisseur est soumis au droit américain, comme Microsoft avec sa suite Microsoft 365 ou Google avec Google Workspace, la collectivité doit identifier les données concernées, vérifier le cadre contractuel et analyser les éventuels transferts hors UE.

Concrètement, un compte Outlook professionnel hébergé sur Microsoft 365 ou une messagerie Gmail via Google Workspace expose les données au CLOUD Act, même si les serveurs sont situés en Europe. Les autorités américaines peuvent demander l'accès à ces données dans le cadre d'enquêtes pénales et de la lutte contre les infractions graves, sans que la collectivité concernée soit nécessairement informée.

En mai 2026, plus de 600 000 agents publics français ont quitté Microsoft Teams pour adopter la Suite Numérique de l'État, notamment pour limiter cette exposition. Certaines collectivités privilégient désormais des suites collaboratives souveraines hébergées en France, comme Interstis ou la Suite Numérique, pour éviter les risques liés aux législations extraterritoriales.

Hébergement d'un portail citoyen sur AWS ou Azure

Un portail citoyen peut centraliser des demandes d'actes, des signalements, des inscriptions scolaires, des démarches sociales ou des échanges avec les services municipaux. Ces traitements peuvent contenir des données personnelles, parfois relatives à des mineurs ou à la situation familiale des habitants. Le choix d'un hébergeur ou d'une plateforme SaaS doit donc tenir compte du RGPD, de la sécurité du service et du droit applicable au prestataire.

Si le service est fourni par un acteur soumis au droit américain, comme AWS ou Azure, la collectivité doit vérifier si les transferts éventuels vers les États-Unis sont couverts par la décision d'adéquation EU-US Data Privacy Framework. AWS et Azure ont tous deux obtenu leur certification au Data Privacy Framework en 2023, facilitant les transferts de données personnelles depuis l'Union européenne.

Toutefois, cette décision d'adéquation ne couvre pas automatiquement tous les scénarios techniques. Les collectivités doivent donc compléter cette vérification par des clauses contractuelles spécifiques pour s'assurer que le cadre offre des garanties suffisantes face aux risques d'accès par les autorités américaines.

Données sensibles et recours au cloud souverain

Certaines données publiques appellent une vigilance renforcée : santé, action sociale, sécurité, logement, gestion de crise, infrastructures critiques ou données massives sur les habitants. Pour ces cas, le recours à une offre qualifiée SecNumCloud peut être pertinent afin de réduire l'exposition aux risques cyber et aux effets de législations extraterritoriales.

Parmi les opérateurs qualifiés SecNumCloud figurent OVHcloud, 3DS Outscale, Cloud Temple, Orange Business, Cegedim.cloud, Worldline, Oodrive et Whaller. En décembre 2025, S3NS, filiale de Thales en partenariat avec Google Cloud, a également obtenu la qualification SecNumCloud 3.2 pour son offre Premi3ns.

L'ANSSI précise que SecNumCloud vise à reconnaître des offres de cloud de confiance. La collectivité reste responsable de la bonne configuration, de la gestion des accès, du chiffrement et de la gouvernance de ses traitements. Les collectivités doivent notamment privilégier des solutions où elles conservent la maîtrise des clés de chiffrement, évitant ainsi que le fournisseur puisse accéder au contenu.

De nombreuses collectivités, notamment les petites communes et intercommunalités, s'appuient sur des structures mutualisées pour leurs outils numériques. Dans ce contexte, la question du CLOUD Act peut être traitée à l'échelle mutualisée : analyse des fournisseurs, exigences contractuelles, choix d'hébergements européens ou français, recours éventuel à des offres qualifiées de cloud souverain et accompagnement des élus et agents dans la compréhension des risques.