Un tribunal canadien ordonne à OVHCloud de livrer des données stockées en Europe, mais la loi française interdit ce transfert. L'hébergeur français se retrouve dans une situation juridique inextricable qui pourrait créer un précédent mondial sur la souveraineté des données cloud.
Une ordonnance qui défie les frontières
L'affaire remonte à avril 2024, quand la Cour de justice de l'Ontario a émis une ordonnance de production à l'encontre d'OVHCloud. La Gendarmerie royale du Canada réclame des métadonnées liées à quatre adresses IP dans le cadre d'une enquête criminelle. Sauf que les données en question ne sont pas au Canada : elles sont hébergées sur des serveurs situés en France, au Royaume-Uni et en Australie.
La demande a été adressée à la filiale canadienne d'OVHCloud, qui n'a techniquement pas accès à ces informations puisqu'elle est juridiquement distincte de la maison mère française. En septembre 2024, la juge Heather Perkins-McVey a néanmoins estimé que la société mère devait se conformer, invoquant sa présence virtuelle et ses opérations mondiales.
La France brandit sa loi de blocage
Le problème, c'est que la loi française interdit formellement ce type de transfert. Le SISSE, le service de l'information stratégique et de la sécurité économiques, a averti OVHCloud dès mai 2024 que toute transmission de données aux autorités canadiennes en dehors des canaux officiels constituerait une violation de la loi de blocage de 1968, renforcée en 2022.
Les dirigeants de l'entreprise risquent jusqu'à six mois de prison et des amendes pour chaque infraction. Le ministère de la Justice français est même intervenu en février 2025, proposant un traitement accéléré si le Canada passait par une commission rogatoire internationale, comme le prévoient les traités d'entraide judiciaire mutuelle entre les deux pays.
Si cette décision était confirmée en appel, elle créerait un précédent dévastateur pour l'ensemble du secteur. N'importe quel pays pourrait exiger l'accès à des données hébergées à l'autre bout du monde, du moment qu'un fournisseur y a une activité commerciale.
C'est exactement la logique du Cloud Act américain, mais appliquée par le Canada. OVHCloud a déposé un recours en urgence devant la Cour supérieure de justice de l'Ontario, avertissant que ses dirigeants subiraient un préjudice irréparable si l'ordonnance était exécutée. La France dispose pourtant de mécanismes de coopération avec le Canada, et le RGPD prévoit des procédures pour ce type de situations.
On en dit quoi ?
C'est un cas d'école sur les limites de la souveraineté numérique. OVHCloud se retrouve coincé entre deux juridictions aux exigences contradictoires, et aucune des deux ne veut céder. La police canadienne a visiblement choisi de contourner les traités officiels en s'adressant directement à la filiale locale, ce qui est un peu cavalier quand même. Par contre, cette affaire rappelle que les promesses de cloud souverain européen se heurtent à une réalité : dès qu'une entreprise opère à l'international, elle s'expose à ce genre de conflits juridiques. À quand un traité mondial sur l'accès aux données cloud pour éviter ce genre de casse-tête ?
Un véritable système domestique d’alimentation plug-and-play qui intègre la production d’énergie photovoltaïque ainsi que la charge et la décharge bidirectionnelles.
