Celveo est une plateforme de solutions cloud souveraines pour les PME de Suisse romande, à Genève et à Lausanne. Cet article vous explique ce qu’est le CLOUD Act, comment il fonctionne concrètement et pourquoi son existence change le calcul pour une PME suisse qui héberge ses données chez Microsoft, Google ou Amazon.
Si vous utilisez Microsoft 365, Google Workspace ou AWS, vos données sont accessibles aux autorités américaines. Pas hypothétiquement. Légalement. C’est ce que le CLOUD Act organise depuis 2018, et la plupart des dirigeants de PME romandes ne le savent pas.
Qu’est-ce que le CLOUD Act, exactement ?
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi américaine adoptée en mars 2018. Elle autorise les autorités fédérales américaines, notamment le FBI et le DOJ, à exiger d’une entreprise américaine qu’elle leur transmette des données stockées sur ses serveurs, quelle que soit la localisation physique de ces serveurs.
Dit autrement : si vous hébergez vos fichiers RH sur SharePoint dans un datacenter Microsoft à Amsterdam ou Dublin, Microsoft reste une entreprise soumise au droit américain. Une injonction émise par un tribunal américain peut contraindre Microsoft à transmettre ces données, sans que la Suisse ni l’Union européenne ne soient formellement notifiées, et sans que vous en soyez informé.
Ce n’est pas un risque théorique. En 2013, le précédent « Microsoft Ireland » avait déjà montré la tension entre droit américain et localisation des données. Le CLOUD Act a précisément été adopté pour clarifier et étendre cette compétence extraterritoriale.
Pourquoi « mes données sont en Europe » ne suffit pas ?
C’est la réponse que les équipes commerciales de Microsoft et Google donnent depuis des années : « Vos données restent en Europe, vous êtes conformes. » C’est partiellement vrai pour le RGPD. C’est insuffisant pour le CLOUD Act.
Le critère déterminant n’est pas la localisation du serveur. C’est la nationalité de l’entreprise qui opère ce serveur. Microsoft, Google, Amazon Web Services sont des entreprises américaines cotées sur des bourses américaines. Elles sont soumises au droit américain, y compris lorsqu’elles opèrent des datacenters en Suisse ou en Europe.
Lors d’un diagnostic réalisé par l’équipe Celveo chez une PME vaudoise d’une vingtaine de collaborateurs, le directeur général a demandé à voir le contrat Microsoft 365 qu’il signait depuis quatre ans. La clause sur le transfert de données aux autorités compétentes y figurait, page 14, dans les conditions générales. Il ne l’avait jamais lue. Personne ne la lui avait expliquée.
Ce n’est pas un reproche à Microsoft : la clause est là, dans les CGU. Le problème est que la plupart des revendeurs ne prennent pas le temps d’expliquer ce qu’elle implique.
Ce que ça change concrètement pour une PME sous nLPD
La nLPD, nouvelle Loi fédérale sur la Protection des Données, est entrée en vigueur en septembre 2023. Elle impose aux entreprises suisses de protéger les données personnelles qu’elles traitent et de documenter les transferts vers des pays tiers. Or une injonction CLOUD Act, par définition, n’est pas un transfert documenté et consenti.
La combinaison des deux crée une tension réelle : vous pouvez être en conformité RGPD et nLPD sur le papier, et exposée à un accès non documenté à vos données via le CLOUD Act. Ce n’est pas la même chose. La conformité nLPD suppose que vous contrôlez qui accède à vos données. Le CLOUD Act peut court-circuiter ce contrôle.
Pour des secteurs comme la fiduciaire, les RH, le médical ou le juridique, où les données traitées sont par nature sensibles, cette exposition n’est pas anodine. Un accès aux données salariales ou aux dossiers clients d’une étude juridique, même sans suite judiciaire, constitue une violation de confidentialité.
Cloud suisse vs cloud américain : ce que la comparaison révèle
La différence entre Infomaniak Public Cloud et Microsoft Azure ne se joue pas sur les fonctionnalités. Les deux offrent des machines virtuelles, du stockage, de la gestion de bases de données. La différence est juridique.
Infomaniak est une entreprise suisse indépendante, sans filiale américaine, sans actionnaire coté sur un marché américain. Ses datacenters sont à Genève et Zurich. Sa technologie repose sur OpenStack, un standard open source : aucun verrouillage propriétaire. Et surtout, aucune loi américaine ne peut lui être opposée pour obtenir l’accès à vos données.
Ce n’est pas un argument marketing. C’est une différence de structure juridique. Une PME qui choisit d’héberger ses applications métier sur Infomaniak Public Cloud sort du champ d’application du CLOUD Act. Pas parce qu’elle se cache, mais parce qu’elle choisit un prestataire qui n’est pas soumis à cette loi.
Microsoft a lancé en 2022 une initiative appelée « EU Data Boundary » pour tenter de limiter les transferts de données hors d’Europe. C’est une amélioration. Ce n’est pas une suppression de l’exposition au CLOUD Act, qui reste techniquement applicable tant que Microsoft demeure une entreprise américaine.
Ce que Celveo recommande
La première étape n’est pas de migrer. C’est de savoir où vous en êtes. Beaucoup de PME romandes ont signé des contrats Microsoft ou Google sans jamais avoir évalué leur exposition réelle. C’est une décision qui peut se justifier, mais elle doit être consciente.
Si vous traitez des données sensibles, que ce soit des données RH, des dossiers clients, des informations financières ou médicales, et que ces données sont hébergées chez un opérateur américain, vous devriez au minimum documenter ce risque dans votre registre de traitement nLPD. Idéalement, évaluer si un hébergement souverain est techniquement et économiquement accessible pour tout ou partie de votre infrastructure.
Celveo accompagne des PME romandes dans cet exercice : audit de l’infrastructure existante, identification des données sensibles, comparaison des options souveraines disponibles, y compris kSuite d’Infomaniak pour les usages bureautiques et Infomaniak Public Cloud pour les applications métier.
Ce n’est pas un sujet de spécialiste. C’est un sujet de gouvernance d’entreprise.
Si vous voulez évaluer votre niveau d’exposition au CLOUD Act, on peut faire le point ensemble, sans engagement.