Une expertise juridique commandée par le ministère allemand de l'Intérieur confirme ce que beaucoup redoutaient : les autorités américaines peuvent accéder aux données stockées sur des serveurs européens. La localisation physique des données ne protège en rien contre la surveillance américaine.
Le Cloud Act ignore les frontières
Le constat est sans appel. L'étude réalisée par des juristes de l'Université de Cologne établit que le Cloud Act, combiné au Stored Communications Act et à la Section 702 du FISA, permet aux autorités américaines d'exiger des données auprès des fournisseurs cloud, peu importe où ces données sont physiquement hébergées. Ce qui compte, c'est le contrôle exercé sur l'entreprise qui traite les données. Si la maison-mère est américaine ou si l'entreprise a des liens commerciaux significatifs avec les États-Unis, les données peuvent être réclamées. Les filiales européennes de Microsoft, Google ou Amazon sont donc directement concernées.
Microsoft avoue ne rien pouvoir garantir
En juin 2025, Anton Carniaux, directeur des affaires juridiques de Microsoft France, a été auditionné sous serment devant le Sénat français. Sa déclaration avait déjà fait l'effet d'une bombe : il a reconnu ne pas pouvoir garantir que les données françaises ne seraient pas saisies par les autorités américaines. Cette admission officielle avait déjà mis à mal le discours des géants du cloud sur leurs offres « souveraines » en Europe. Les clauses contractuelles et les labels « cloud européen » ne suffisent pas à contourner les lois extraterritoriales américaines, comme le souligne le rapport allemand.
Le chiffrement ne suffit pas
L'expertise juridique va plus loin : même le chiffrement des données ne constitue pas une protection suffisante. Le droit américain peut exiger des fournisseurs qu'ils conservent les données en clair pour pouvoir les transmettre sur demande. Cette réalité entre en conflit direct avec le RGPD européen, qui impose d'informer les personnes concernées en cas d'accès à leurs données. AWS affirme n'avoir jamais transmis de données d'entreprises stockées hors des États-Unis au gouvernement américain, mais s'engage seulement à contester les demandes excessives, sans garantie de résultat.
On en dit quoi ?
Cette étude allemande remet les pendules à l'heure sur la souveraineté numérique européenne. Les offres de « cloud souverain » proposées par les hyperscalers américains ressemblent de plus en plus à ce que certains appellent du « sovereign washing » : un vernis marketing qui ne change rien à la réalité juridique. La seule solution pour échapper au Cloud Act serait d'utiliser des fournisseurs exclusivement européens, sans lien capitalistique avec les États-Unis. Le problème, c'est qu'AWS, Azure et Google Cloud représentent à eux trois plus de 65 % du marché mondial. Compliqué donc. Est-ce que vous, c'est un sujet qui vous pose problème ? Ou vous vous en fichez un peu ?
