Service privé et distinct du Registre National du Commerce et des sociétés tenues par les greffiers des tribunaux de commerce. Informations fournies par le Groupement d’intérêt économique des greffiers des tribunaux de commerce (G.I.E. INFOGREFFE)

Cloud Act

Mise à jour 06/10/2025 Protection des données

Cloud Act - Clarifying Lawful Overseas Use of Data Act : définition et implications

Définition et portée juridique

Le Cloud Act (abréviation de Clarifying Lawful Overseas Use of Data Act) est une loi fédérale américaine adoptée en 2018 qui modifie certaines dispositions du Stored Communications Act. Son objectif légal principal est de préciser la capacité des autorités américaines à obtenir des données détenues par des fournisseurs de services électroniques soumis à la juridiction des États-Unis, y compris lorsque ces données sont stockées à l'étranger. Le texte introduit également un mécanisme d’accords exécutifs qui permet au gouvernement américain de conclure des accords bilatéraux pour l’accès transfrontalier aux données avec des pays partenaires répondant à des critères de protection des droits fondamentaux.

Principaux mécanismes et garanties

Concrètement, le Cloud Act autorise les autorités à délivrer des mandats ou autres instruments légaux à des fournisseurs américains pour obtenir des communications ou des métadonnées indépendamment du lieu de stockage. Le texte prévoit toutefois des voies de contestation : un fournisseur peut demander au tribunal d'examiner une demande lorsqu'elle entre en conflit avec une loi étrangère applicable ou si l'exécution porterait atteinte aux droits d'une personne. Les accords exécutifs comportent des conditions sur les garanties procédurales et la supervision judiciaire des demandes.

Points de tension avec le RGPD et le droit international

Le Cloud Act peut engendrer des conflits de lois juridiques et opérationnels, en particulier avec le RGPD. Par exemple, une entreprise américaine qui stocke des données de citoyens européens peut être légalement contrainte de divulguer ces données aux autorités américaines, situation potentiellement incompatible avec les obligations de protection et de notification imposées par le droit européen. Les tribunaux et régulateurs européens recommandent d’évaluer au cas par cas les demandes et d’utiliser les mécanismes de contestation prévus par le texte.

Exemples concrets et cas pratiques

  • Affaire type : une enquête pénale aux États-Unis conduit à un mandat ciblant un compte hébergé par un fournisseur américain. Même si les données sont physiquement stockées en Irlande, le fournisseur americain peut être légalement tenu de divulguer les données au titre du Cloud Act.
  • Accords exécutifs : un pays européen signataire d’un accord exécutif pourrait recevoir des demandes structurées via un canal dédié, réduisant le délai d’accès mais nécessitant une évaluation préalable des garanties offertes.
  • Technique de mitigation : une entreprise qui conserve les clés de chiffrement côté client (strong>chiffrement gestion par le client) limite la capacité du fournisseur à produire des contenus lisibles, réduisant l’impact opérationnel d’une demande.

Mesures pratiques de conformité et recommandations

  • Évaluer la domiciliation juridique des fournisseurs et la présence opérationnelle aux États-Unis (fournisseurs américains).
  • Mettre en place un chiffrement avec contrôle des clés par le client pour minimiser l’exposition aux demandes de divulgation.
  • Prévoir des clauses contractuelles et des procédures internes pour traiter les demandes gouvernementales et activer les recours judiciaires prévus par le Cloud Act.
  • Consulter la DPO et les services juridiques pour analyser les risques de conflit de lois avec le RGPD avant tout transfert ou externalisation.