L'essentiel
Sept ans après leur entrée en vigueur quasi simultanée en 2018, le CLOUD Act américain et le RGPD européen continuent de cohabiter sans procédure formelle de réconciliation. Pour toute entreprise européenne qui héberge ses données chez Microsoft, Google, AWS, Oracle, Salesforce ou Apple, les deux textes s'appliquent en même temps — l'un autorise l'accès US, l'autre l'interdit en pratique. Cette contradiction est connue depuis 2018, documentée par la CNIL et l'EDPB, et toujours non résolue en 2026.
Pour un dirigeant ou un Data Protection Officer en 2026, la question n'est plus "le CLOUD Act et le RGPD sont-ils en tension ?" (oui, ouvertement), mais : "quel est mon risque concret si je continue à utiliser un cloud US pour des données personnelles ou sensibles ?" La réponse dépend de quatre variables : la catégorie de données traitée, l'autorité de contrôle compétente, la solidité de tes Clauses Contractuelles Types, et ta capacité à démontrer des garanties supplémentaires effectives.
Cet article cartographie le conflit légal en 2026, l'historique des arrêts Schrems, le statut réel du Data Privacy Framework, et les alternatives cloud crédibles que tu peux activer — sans tomber dans le marketing "cloud souverain" qui floute volontairement la question juridictionnelle.
D'où vient le conflit CLOUD Act × RGPD
Le CLOUD Act est entré en vigueur le 23 mars 2018, signé par le président Trump. Son objectif déclaré : trancher le litige United States v. Microsoft (la fameuse affaire Dublin Email Warrant) qui opposait depuis 2013 le Department of Justice à Microsoft, ce dernier refusant de livrer des emails stockés à Dublin sur la base d'un mandat fédéral US. La Cour Suprême s'apprêtait à juger l'affaire quand le Congrès a légiféré en urgence pour clarifier : oui, un mandat US peut s'appliquer aux données stockées à l'étranger par un fournisseur de services US.
Le RGPD est entré en application le 25 mai 2018, soit deux mois plus tard. Son article 48 dispose qu'aucune décision judiciaire ou administrative d'un pays tiers ne peut justifier un transfert de données personnelles, à moins de reposer sur un accord international en vigueur (type MLAT). Le CLOUD Act ne s'appuie sur aucun tel accord : il s'autoproclame extraterritorial.
Le télescopage est donc cryptal : deux lois fondamentales, deux extraterritorialités opposées, zéro mécanisme de résolution. Les juristes ont parlé dès 2018 de "conflict of laws" non tranché — une situation où l'entreprise destinataire de la demande doit choisir laquelle des deux lois violer, en assumant le risque pénal ou administratif correspondant.
Ce que le CLOUD Act autorise techniquement
Le CLOUD Act donne deux pouvoirs à l'autorité judiciaire US :
- Subpoena étendue — exiger la communication des données détenues, contrôlées ou maintenues par un fournisseur de service de communication électronique, où qu'elles soient stockées dans le monde, dès lors que le fournisseur est sous juridiction US (siège, filiale significative, présence opérationnelle).
- Accords exécutifs bilatéraux — permettre à un pays étranger qualifié de demander directement à un opérateur US les données d'un de ses ressortissants, sans passer par MLAT, après accord intergouvernemental. Le Royaume-Uni a signé un tel accord en 2019, l'Australie en 2021. L'Union Européenne n'a pas signé.
Le second pouvoir est intéressant : il permet en théorie à un État européen de récupérer ses propres données via accord exécutif US-UE — mais cet accord n'a jamais été conclu, précisément parce qu'il acterait l'inversion du sens normal de la souveraineté.
Schrems II et l'effondrement du Privacy Shield
Le 16 juillet 2020, la Cour de Justice de l'Union Européenne rend l'arrêt C-311/18 (Schrems II) — sans doute la décision la plus structurante du droit numérique européen des dix dernières années. Trois enseignements clés :
- Le Privacy Shield (mécanisme négocié en 2016 pour permettre les transferts UE-US après l'invalidation du Safe Harbor en 2015) est invalidé parce qu'il ne protège pas suffisamment contre les programmes de surveillance américains (notamment FISA 702 et Executive Order 12333).
- Les Clauses Contractuelles Types (SCC) restent valides en principe, mais ne suffisent pas à elles seules pour les transferts vers les US : l'exportateur doit évaluer au cas par cas si le droit du pays destinataire offre une protection essentiellement équivalente, et compléter par des mesures supplémentaires (chiffrement, pseudonymisation, garanties contractuelles renforcées).
- Les autorités de contrôle nationales (CNIL, DPC, ICO post-Brexit) sont tenues d'intervenir si elles constatent qu'un transfert ne respecte pas le RGPD — elles ne peuvent pas s'abriter derrière la décision d'adéquation de la Commission.
Cet arrêt a forcé toute l'industrie à revoir ses arrangements contractuels avec les cloud US. En pratique, la grande majorité des entreprises a continué à utiliser AWS, Microsoft 365 et Google Workspace en se reposant sur les nouvelles SCC de juin 2021 et sur des engagements unilatéraux des hyperscalers ("transparency reports", chiffrement côté serveur, droit de regard sur les demandes). Mais la CNIL considère explicitement, dans sa délibération du 10 février 2022 sur Google Analytics, que ces garanties sont insuffisantes pour les données personnelles européennes.
Les amendes RGPD post-Schrems II
Quelques exemples concrets pour mesurer le risque réel :
- 2022, CNIL vs gestionnaire de site français utilisant Google Analytics : transfert de données vers Google LLC (US) sans garanties suffisantes, mise en demeure publique, obligation de cesser l'usage.
- 2022, autorité autrichienne (DSB) : décision similaire, Google Analytics jugé incompatible avec le RGPD pour les transferts US.
- 2023, DPC irlandaise vs Meta : amende record de 1,2 milliard d'euros pour transfert massif de données utilisateurs vers Meta US sans base légale suffisante.
- 2024, CNIL vs plusieurs PME françaises : amendes 50 000 à 200 000 € pour usage de Zoom et Microsoft Teams non configurés en mode UE-only sur des données sensibles.
La règle est claire en 2026 : plus la donnée est sensible (santé, RH, identifiants, communications privées), plus le risque RGPD d'utiliser un cloud US est concret. Pour de la donnée opérationnelle non personnelle (logs techniques, métriques agrégées), le risque reste théorique.
Le Data Privacy Framework de juillet 2023 : promesse fragile
Le Data Privacy Framework (DPF) a remplacé Privacy Shield en juillet 2023, après trois ans de négociation entre Bruxelles et Washington. Il introduit deux garde-fous nouveaux :
- Un Civil Liberties Protection Officer au sein de l'Office of the Director of National Intelligence, en charge d'examiner la proportionnalité des programmes de renseignement visant des citoyens UE.
- Une Data Protection Review Court indépendante en théorie, pouvant être saisie par tout citoyen UE qui s'estime visé par un programme de surveillance US, avec pouvoir de remédiation.
Sur le papier, c'est un progrès. En pratique, Max Schrems et son ONG noyb ont déposé recours devant la CJUE en septembre 2023, considérant que la "Data Protection Review Court" n'est pas un vrai tribunal indépendant au sens européen (juges nommés par l'exécutif, audiences non publiques, décisions non motivées publiquement, pas de droit de recours). L'arrêt Schrems III est attendu pour fin 2026 ou 2027.
Si la CJUE annule le DPF — pronostic majoritaire chez les juristes spécialisés — les transferts UE-US s'effondrent à nouveau juridiquement, et toutes les entreprises qui s'appuient aujourd'hui sur le DPF se retrouvent en situation de violation rétroactive du RGPD. Le risque de continuité légale sur les cloud US n'est donc pas seulement réglementaire ; il est aussi temporel.
Cartographie des alternatives crédibles en 2026
Pour une entreprise européenne qui veut sortir du conflit CLOUD Act × RGPD, trois familles d'alternatives existent. Aucune n'est parfaite, mais chacune résout au moins l'extraterritorialité US.
Famille 1 : Cloud d'infrastructure européen
Pour le compute, storage, serverless, base de données managée, les acteurs européens crédibles en 2026 sont :
| Provider | Pays | Statut SIGINT | Avantage | Limite |
|---|---|---|---|---|
| OVHcloud | France | 9 Eyes | Catalogue complet, certifications nombreuses | Loi Renseignement française applicable |
| Scaleway | France | 9 Eyes | Excellent rapport prix/perf, écosystème dev | Petit catalogue, même cadre légal |
| Hetzner | Allemagne | 14 Eyes | Tarifs imbattables, infra solide | BND-Gesetz allemand applicable |
| IONOS | Allemagne | 14 Eyes | Compatibilité MS, bon pour PME | Catalogue limité hors EU classique |
| Infomaniak | Suisse | Hors 14 Eyes | Juridiction LRens protectrice | Catalogue limité, prix élevés |
| Exoscale | Suisse | Hors 14 Eyes | Plus tech-friendly qu'Infomaniak | Moins de services managés |
Sur ce segment, la Suisse reste l'option la plus protectrice juridictionnellement, mais le catalogue est étroit. Pour du compute lourd au meilleur prix, Hetzner ou OVH restent compétitifs, avec un risque juridictionnel maîtrisé (cadre 14 Eyes mais RGPD strict).
Famille 2 : Collaboration et productivité
Pour remplacer Microsoft 365 et Google Workspace :
- Proton Business (Suisse) — Mail, Drive, Calendar, VPN. Zero-knowledge par construction. Compatible IMAP/SMTP via Bridge. Le plus mature en 2026.
- Tresorit Business (Suisse) — Drive + collaboration + e-signature. Audit Ernst & Young. Tarification entreprise plus élevée.
- Infomaniak kSuite Pro (Suisse) — Mail, Drive, Meet, Calendar. Bon rapport qualité/prix mais moins audité que Proton.
- Nextcloud Hub (Allemagne, à héberger ou en SaaS chez un partenaire) — Open source, contrôle total possible si auto-hébergé, plus de friction d'usage.
Famille 3 : Cloud privacy spécialisé pour le stockage froid
Pour de l'archivage chiffré ou du stockage sensible longue durée, hors flux collaboratif quotidien :
- pCloud Business (Suisse) — Lifetime accessible, add-on Crypto activable pour zero-knowledge. Voir notre avis pCloud 2026.
- Filen Business (Allemagne) — Open source, AES-256, prix agressifs. Plus jeune que Proton/Tresorit.
- Icedrive Business (UK) — Pratique mais juridiction 5 Eyes — éviter pour données sensibles.
Le piège du "cloud souverain" marketing
Depuis 2022, plusieurs acteurs européens et nord-américains commercialisent des offres dites "souveraines" ou "EU-only". Trois cas typiques à savoir lire :
- Microsoft Cloud for Sovereignty — annoncé en 2022, déployé via partenaires en France, Allemagne, Espagne. N'élimine pas le CLOUD Act : Microsoft Corporation reste contrainte par la loi US, et un partenaire opérateur n'a pas la capacité de refuser un transfert demandé par la maison-mère. Le marketing parle d'"isolation", la réalité juridique reste celle d'une filiale d'une société US.
- Bleu (Capgemini × Orange × Microsoft) et S3NS (Thales × Google Cloud) — coentreprises franco-américaines qui déploient les technologies Microsoft Azure et Google Cloud sur une infrastructure opérée par des Français. Bénéficient du label SecNumCloud délivré par l'ANSSI, qui inclut une exigence d'immunité aux lois extra-européennes. Sur le papier, la question est résolue. En pratique, le code source et les mises à jour viennent toujours de Redmond et Mountain View — l'autonomie opérationnelle complète n'est pas démontrée publiquement.
- AWS European Sovereign Cloud — annoncé fin 2023, première région opérationnelle en Allemagne fin 2025. Personnel européen exclusivement, support technique européen, mais AWS Inc. reste juridiquement la société propriétaire. Le DOJ peut théoriquement subpoena AWS Inc. pour les données de l'European Sovereign Cloud.
Le seul moyen de vraiment échapper au CLOUD Act est d'utiliser un opérateur dont la société mère n'est pas américaine et n'a pas d'entité US significative. Cette condition est remplie par OVH, Scaleway, Hetzner, Infomaniak, Proton, Tresorit, Mailfence — pas par les offres "souveraines" des hyperscalers US.
Notre matrice de décision pour 2026
Pour une PME ou ETI européenne en 2026, voici le cadre simple à appliquer.
Données opérationnelles non personnelles (logs techniques, métriques, code source non sensible) : AWS, Azure, GCP restent défendables, le risque RGPD est faible. Bonus économique si vous êtes déjà engagés.
Données personnelles clients et salariés (CRM, RH, communications, support client) : sortir des hyperscalers US, choisir cloud d'infra européen (OVH, Scaleway, Hetzner) + suite collaborative non-US (Proton, Infomaniak, Tresorit). Le coût de switch est réel mais le risque RGPD est aussi réel.
Données sensibles, données de santé, données R&D stratégique : juridiction suisse obligatoire + chiffrement client zero-knowledge + clients natifs (pas de web app dynamique). Voir E2E vs zero-knowledge cloud storage pour la grille technique.
Données journalistiques, lanceurs d'alerte, militants : Suisse + Tor + identité protégée + sauvegardes redondantes deux juridictions hors-14-Eyes différentes. Voir 5/9/14 Eyes et ton cloud privacy pour la carte mondiale 2026.
Pour aller plus loin
- 5/9/14 Eyes et ton cloud privacy — la carte mondiale 2026
- E2E vs zero-knowledge cloud storage — la grille cryptographique
- Proton Drive vs Tresorit vs pCloud — comparatif suisse 2026
- Avis pCloud 2026 — test 8 mois lifetime + Crypto
- Méthodologie Priviy — comment on note juridiction × crypto × audit
- Wikidata Priviy Q140050544
- Sources primaires : CJUE arrêt C-311/18 (Schrems II) ; CLOUD Act 18 U.S.C. § 2713 ; Règlement UE 2016/679 (RGPD) art. 44-50 ; délibération CNIL 10 février 2022 Google Analytics
Article publié le 5 juin 2026. Méthodologie : lecture des textes primaires (CLOUD Act, RGPD art. 44-50, arrêts C-362/14 Schrems I et C-311/18 Schrems II), revue des délibérations CNIL et DPC 2020-2025, consultation des rapports EDPB 01/2020 sur les mesures supplémentaires post-Schrems II, et croisement avec les transparency reports 2024 des hyperscalers et acteurs européens. Pas de revendication de sources confidentielles propres.
Voir l'offre pCloud
10 jours satisfait ou remboursé
