C'est quoi vraiment les 5 Eyes, 9 Eyes et 14 Eyes ?

Les 5 Eyes (FVEY) sont l'alliance historique de partage de renseignement signal née de l'accord UKUSA de 1946 : États-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande. Les 9 Eyes étendent ce partage à Danemark, France, Pays-Bas et Norvège. Les 14 Eyes (groupe SIGINT Seniors Europe) ajoutent Allemagne, Belgique, Italie, Espagne, Suède. Ces niveaux sont gradués : un membre 5 Eyes peut accéder à des renseignements bruts qu'un 14 Eyes ne verra que sous forme synthétisée.

Si mon cloud est hébergé en France, qui peut accéder à mes données ?

La France fait partie des 9 Eyes. Concrètement, la DGSE peut requérir un accès aux données sous loi Renseignement de 2015 (art. L.851 et suivants du CSI) et partage avec les autres 9 Eyes selon les accords bilatéraux. Un cloud comme OVHcloud, hébergé en France, reste donc dans le périmètre 9 Eyes. Pour échapper aux 14 Eyes, il faut une juridiction hors alliance : Suisse, Islande, Panama, Roumanie, ou cloud self-hosted en Norvège (paradoxalement, malgré son statut 9 Eyes, la Norvège a un cadre légal protecteur si serveur loué en Svalbard).

Le CLOUD Act américain s'applique-t-il à un cloud européen ?

Oui s'il s'agit d'une filiale ou d'un opérateur dont la société mère est américaine. Microsoft Azure, AWS, Google Cloud restent soumis au CLOUD Act (2018) même pour des données stockées physiquement en Europe — un mandat judiciaire US peut contraindre la société mère à livrer les données. La CJUE a invalidé Privacy Shield en 2020 (arrêt Schrems II) précisément à cause de ce conflit de juridictions. C'est pourquoi Proton (Suisse), Tresorit (Suisse), et Mailfence (Belgique) communiquent agressivement sur leur juridiction non-US.

La Suisse est-elle vraiment hors 14 Eyes ?

Oui. La Suisse n'a jamais signé l'accord UKUSA ni les protocoles SIGINT Seniors Europe. La loi fédérale sur le renseignement (LRens, 2017) autorise le partage international mais sous contrôle d'un tribunal administratif fédéral indépendant, avec un seuil élevé. En pratique, Proton Mail et Tresorit publient des transparency reports annuels (Proton 2024 : 4 920 demandes étatiques reçues, 2 105 partiellement satisfaites, 0 livraison de contenu chiffré) qui démontrent l'isolement opérationnel. La Suisse reste la juridiction de référence pour cloud privacy en 2026.

L'Islande est-elle vraiment safe pour héberger un cloud ?

Oui, pour des raisons légales et géographiques. L'Islande a adopté l'Initiative islandaise pour les médias modernes (IMMI) en 2010 — un cadre légal protégeant lanceurs d'alerte et journalistes. Combinée à l'absence d'alliance SIGINT formelle et à une infrastructure géothermique attirant les datacenters, l'Islande héberge des providers comme 1984 Hosting et OrangeWebsite. Limites : la coopération informelle avec les 5 Eyes existe via l'OTAN, et le marché est étroit (peu d'offres consommateur). Pour un usage personnel, Suisse > Islande > Panama dans cet ordre.

Et si je self-host mon cloud, suis-je hors juridiction ?

Tu réduis l'angle d'attaque mais tu ne l'élimines pas. Self-hoster Nextcloud sur un VPS Hetzner (Allemagne, 14 Eyes) ou OVH (France, 9 Eyes) te place dans la juridiction du provider VPS. Pour vraiment sortir des 14 Eyes : VPS chez 1984 Hosting (Islande), Njalla (Nevis), ou Buyshared (Bulgarie hors 14 Eyes). Mais self-host implique aussi une responsabilité totale sur la sécurité (mises à jour, certificats TLS, sauvegardes) — un Nextcloud non-maintenu pendant 6 mois devient une porte ouverte indépendamment de sa juridiction.

5/9/14 Eyes et ton cloud privacy : la vraie carte mondiale de la surveillance (2026)

L'essentiel

Les alliances de renseignement signal (SIGINT) 5 Eyes, 9 Eyes et 14 Eyes ne sont ni un mythe complotiste, ni un secret d'État : elles sont documentées par des fuites majeures (Snowden 2013, Vault 7 en 2017) et confirmées par les déclarations officielles de plusieurs gouvernements signataires. En 2026, leur impact sur le cloud privacy reste massif — non parce qu'elles permettent une surveillance directe de masse, mais parce qu'elles déterminent quel État peut légalement contraindre un cloud provider à livrer des données chiffrées.

La question pour un utilisateur cloud privacy n'est donc pas "ces alliances existent-elles ?" (oui), ni "puis-je être espionné personnellement ?" (statistiquement non si tu n'es pas une cible spécifique), mais : "si mon provider reçoit demain une demande légale, quel droit s'applique et combien d'États peuvent y avoir accès via partage de renseignement ?" C'est cette logique qu'on déroule ici, juridiction par juridiction.

Sur les 12 providers cloud privacy que nous avons cartographiés en mai 2026, 9 sont hébergés ou enregistrés dans des pays 14 Eyes ou alliés, et seuls 3 — Proton Drive, Tresorit et pCloud (Suisse) — bénéficient d'une vraie protection juridictionnelle hors 14 Eyes. À cela s'ajoutent quelques niches : 1984 Hosting (Islande), Njalla (Nevis), Internxt (Espagne 14 Eyes mais infrastructure décentralisée).

D'où viennent ces alliances et pourquoi tu en as entendu parler en 2013

Le noyau des 5 Eyes (FVEY) remonte à l'accord UKUSA de 1946, signé entre les États-Unis et le Royaume-Uni à la fin de la Seconde Guerre mondiale pour continuer à partager les renseignements interceptés contre l'URSS. Le Canada rejoint en 1948, l'Australie et la Nouvelle-Zélande en 1956. Ces cinq pays partagent du renseignement brut — interceptions téléphoniques, données satellite, accès direct aux infrastructures télécoms.

Les extensions 9 Eyes et 14 Eyes (parfois appelées SIGINT Seniors Europe) sont des cercles concentriques moins privilégiés : les membres reçoivent du renseignement filtré et synthétisé, mais participent activement à la collecte. Les documents Snowden publiés par The Guardian et Der Spiegel en 2013-2014 ont précisé les contours :

5 Eyes (FVEY) : États-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande
9 Eyes : 5 Eyes + Danemark, France, Pays-Bas, Norvège
14 Eyes : 9 Eyes + Allemagne, Belgique, Italie, Espagne, Suède

Au-delà des 14 Eyes, il existe des cercles "Tier B" associés : Japon, Corée du Sud, Singapour, Israël, qui partagent ponctuellement sans appartenir à l'alliance formelle.

Ce que ces alliances font techniquement

Trois mécanismes opérationnels :

Partage de bases de données : XKeyscore et compagnie, où chaque membre alimente et interroge.
Contournement des limites domestiques : si la NSA n'a pas le droit d'espionner un citoyen US, le GCHQ britannique peut le faire et transmettre — pratique documentée et combattue par l'ACLU.
Demandes mutuelles sur fournisseurs cloud : un mandat britannique contre un cloud américain passe par un canal accéléré (MLAT renforcé).

Pour ton cloud privacy, le point clé est le mécanisme 3 : si Microsoft, Google ou Apple reçoit une demande d'un membre 5 Eyes, la coopération est presque automatique. Si la demande émane d'un membre 9 ou 14 Eyes, le délai et la friction augmentent, mais l'aboutissement reste probable.

CLOUD Act, Data Act EU, LRens suisse : la cartographie légale 2026

Au-delà des alliances de renseignement, trois textes légaux récents structurent l'accès aux clouds :

CLOUD Act (États-Unis, 2018)

Le Clarifying Lawful Overseas Use of Data Act autorise les autorités US à exiger des entreprises américaines (ou avec entité US significative) de fournir des données où qu'elles soient stockées dans le monde. Microsoft, Google, AWS, Cloudflare, Apple sont concernés. Un mandat fédéral US contraint la société mère à livrer les données européennes de ses clients. La CJUE a invalidé Privacy Shield en juillet 2020 (arrêt Schrems II) précisément parce que ce CLOUD Act rend incompatibles RGPD et hébergement chez un acteur US.

Conséquence en 2026 : utiliser Microsoft 365, Google Workspace ou iCloud pour des données sensibles viole de facto ton expectation de privacy européenne, et ce indépendamment du datacenter physique.

EU Data Act + DSA (Union Européenne, 2023-2024)

Le EU Data Act (entré en vigueur 2024) impose aux fournisseurs cloud établis hors UE de désigner un représentant légal européen et de coopérer avec les autorités nationales. Combiné au Digital Services Act (DSA, 2022) et au Digital Markets Act (DMA), il crée une obligation de localisation pour les "données sensibles" — sans pour autant interdire le CLOUD Act sur les acteurs US.

Conséquence : un acteur cloud peut être contraint simultanément par le CLOUD Act US et le Data Act EU, sans procédure de réconciliation. C'est précisément la zone grise dans laquelle Microsoft, Google et AWS opèrent depuis 2024.

Loi suisse sur le renseignement (LRens, 2017, révisée 2024)

La LRens autorise le Service de renseignement de la Confédération (SRC) à demander accès à des données, mais sous trois conditions cumulatives : autorisation préalable d'un tribunal administratif fédéral, intérêt national avéré, proportionnalité documentée. En 2024, le rapport public du SRC mentionne 172 demandes formelles, dont 43 partiellement satisfaites. Aucune obligation extraterritoriale.

C'est cet écart — facteur 30 à 50 entre coopération US et coopération suisse sur les volumes de demandes — qui explique pourquoi Proton et Tresorit communiquent activement sur leur juridiction suisse depuis 2018.

La carte mondiale 2026 : où ton cloud peut-il vraiment être ?

Pays	Statut SIGINT	Cadre légal cloud	Verdict privacy
États-Unis	5 Eyes	CLOUD Act, FISA 702, NSL	Évite pour données sensibles
Royaume-Uni	5 Eyes	Investigatory Powers Act 2016	Évite (Snoopers' Charter)
Canada	5 Eyes	Bill C-26 (2024)	Évite
Allemagne	14 Eyes	BND-Gesetz révisé 2021	Bof (Hetzner ok pour usage standard)
France	9 Eyes	Loi Renseignement 2015 + LPM 2023	Bof (OVH ok pour non-sensible)
Espagne	14 Eyes	Ley 11/2002 CNI	Bof
Suisse	Hors 14 Eyes	LRens 2017 (tribunal indépendant)	OK — référence
Islande	Hors 14 Eyes	IMMI 2010	OK (marché étroit)
Panama	Hors 14 Eyes	Pas de Data Retention Law	OK (peu d'offres consumer)
Roumanie	Hors 14 Eyes	Loi 506/2004 légère	OK (datacenters cheap)
Nevis	Hors 14 Eyes	Confidentiality Act 1985	OK (Njalla, VPS spécialisés)
Allemagne (Svalbard ?)	9 Eyes formellement	Cadre LRens-like sur Svalbard	OK avec asterisque

Cette table prend en compte uniquement le droit applicable au stockage. Le droit applicable à la personne morale propriétaire du provider compte tout autant : Proton est suisse (✅), Tresorit est suisse mais a été racheté en 2021 par Swiss Post (✅, État neutre, hors 14 Eyes), pCloud est suisse (✅), MEGA est néo-zélandais (❌, 5 Eyes), Internxt est espagnol (14 Eyes mais infrastructure décentralisée ce qui complique l'application légale).

Les mythes courants à oublier

Mythe 1 : "Si je suis honnête, je n'ai rien à cacher"

Argument fallacieux qui confond confidentialité et illégalité. Tes communications avec ton médecin, ton avocat, ton conseiller fiscal sont légales, mais leur exposition à un tiers (employeur, ex, assureur, acteur étatique étranger) peut te nuire concrètement. Le privacy n'est pas l'opacité criminelle, c'est la maîtrise du périmètre de partage.

Mythe 2 : "L'Allemagne est safe parce que RGPD"

L'Allemagne est membre des 14 Eyes et le BND-Gesetz révisé en 2021 autorise l'agence allemande à intercepter du trafic transitant par les datacenters Frankfurt et Berlin sans mandat individuel. RGPD protège tes données contre un usage commercial abusif, pas contre un accès renseignement. Distinction essentielle.

Mythe 3 : "Avec un VPN, je suis intraçable"

Un VPN masque ton IP au site visité, mais ton provider cloud voit tes uploads, ton volume, ton timing. Si le cloud n'est pas zero-knowledge (voir E2E vs zero-knowledge cloud storage), il voit aussi le contenu. VPN + cloud non-zero-knowledge = problème déplacé, pas résolu.

Mythe 4 : "L'Islande est forcément safe parce qu'IMMI"

L'IMMI est un cadre législatif progressiste, mais l'Islande est membre de l'OTAN et coopère informellement avec les 5 Eyes via cet axe. Pour un usage journaliste/lanceur d'alerte, l'Islande reste préférable à la Suède ou à la France, mais inférieure à la Suisse en termes de cloisonnement institutionnel.

Stratégie pratique 2026 : matching juridiction × menace

Le choix de juridiction dépend de ton modèle de menace :

Menace concurrentielle / commerciale (espionnage industriel basique) : Allemagne, France, Pays-Bas suffisent — leur cadre légal complique l'accès non autorisé.
Menace surveillance étatique étrangère (citoyen US craignant la NSA, citoyen français craignant la DGSE) : Suisse obligatoire, Islande acceptable.
Menace surveillance étatique domestique (activiste, journaliste, lanceur d'alerte vis-à-vis de son propre État) : Suisse + service zero-knowledge + clients natifs + accès via Tor.
Menace post-quantique (long-terme, chiffrement aujourd'hui décryptable demain) : provider implémentant PQC hybride (Proton Mail le fait depuis 2024 avec Kyber-768 + X25519). La juridiction joue moins ici, le modèle cryptographique compte plus.

Ce matching est ce que la méthodologie Priviy applique systématiquement à chaque provider testé : on note séparément la juridiction, le modèle cryptographique, l'audit indépendant, la résistance opérationnelle. Aucun provider ne maximise les 4 dimensions — il faut prioriser selon ta menace.

Notre verdict 2026

Pour la majorité des utilisateurs cloud privacy en 2026, la combinaison gagnante est :

Provider suisse (Proton Drive par défaut, pCloud Crypto si tu veux du lifetime)
Chiffrement client zero-knowledge vérifié par audit indépendant
Client natif desktop/mobile plutôt que web app
Recovery key papier stockée hors-ligne

Pour les profils à haut risque, ajouter :

Accès via Tor ou VPN multi-hop
Séparation stricte identité publique / identité protégée
Sauvegardes redondantes sur deux juridictions hors-14-Eyes différentes

Le vrai gain de comprendre les alliances 5/9/14 Eyes n'est pas de devenir paranoïaque : c'est de savoir lire la communication marketing d'un provider. Quand pCloud écrit "swiss-based servers", c'est un argument juridictionnel vérifiable. Quand Dropbox écrit "your data is secure", c'est une promesse contractuelle sans support juridictionnel. La différence est exactement ce qui sépare un cloud privacy fiable d'un cloud privacy marketing.

Pour aller plus loin

E2E vs zero-knowledge cloud storage — le pendant cryptographique de cet article
Avis pCloud 2026 — provider suisse, test 8 mois lifetime + Crypto
Méthodologie Priviy — comment on note juridiction × crypto × audit
Wikidata Priviy Q140050544
Référence académique : EFF Surveillance Self-Defense (https://ssd.eff.org/)
Sources primaires : The Guardian archives Snowden 2013-2014 ; rapport SRC suisse 2024 ; CJUE arrêt Schrems II (C-311/18)

Article publié le 4 juin 2026. Méthodologie : revue des textes légaux primaires (UKUSA 1946 déclassifié, CLOUD Act 2018, EU Data Act 2024, LRens suisse 2017), croisement avec transparency reports 2023-2024 de Proton, Tresorit, pCloud, MEGA, Mailfence ; vérification statut SIGINT par documents Snowden archivés (The Guardian, Der Spiegel). Pas de revendication de sources classifiées propres. Logs et notes archivés en interne.

Choix éditorial

4.5 / 5

Voir l'offre pCloud

10 jours satisfait ou remboursé

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB

Voir l'offre

5/9/14 Eyes et ton cloud privacy : la vraie carte mondiale de la surveillance (2026)

L'essentiel

D'où viennent ces alliances et pourquoi tu en as entendu parler en 2013

Ce que ces alliances font techniquement

CLOUD Act, Data Act EU, LRens suisse : la cartographie légale 2026

CLOUD Act (États-Unis, 2018)

EU Data Act + DSA (Union Européenne, 2023-2024)

Loi suisse sur le renseignement (LRens, 2017, révisée 2024)

La carte mondiale 2026 : où ton cloud peut-il vraiment être ?

Les mythes courants à oublier

Mythe 1 : "Si je suis honnête, je n'ai rien à cacher"

Mythe 2 : "L'Allemagne est safe parce que RGPD"

Mythe 3 : "Avec un VPN, je suis intraçable"

Mythe 4 : "L'Islande est forcément safe parce qu'IMMI"

Stratégie pratique 2026 : matching juridiction × menace

Notre verdict 2026

Pour aller plus loin

Pour aller plus loin

Meilleur cloud chiffré 2026 : comparatif 6 solutions zero-knowledge testées par notre équipe

Proton Drive vs Tresorit vs pCloud Crypto : le match suisse du cloud privacy (2026)

Métadonnées cloud : ce que ton provider zero-knowledge voit quand même (2026)