Avec la croissance des services cloud et l’augmentation des échanges de données sensibles, la question de la souveraineté et des législations internationales revient souvent. Le Cloud Act américain, qui permet aux autorités des États‑Unis de demander l’accès à des données détenues par des fournisseurs soumis à leur juridiction, même lorsque les données sont stockées hors des États‑Unis suscite légitimement des interrogations.
CFI a récemment été confronté à ce sujet dans le cadre d’un mandat visant à sélectionner une plateforme cloud capable d’héberger des informations particulièrement sensibles. Cela pose une question centrale : comment choisir une solution cloud en tenant compte des obligations légales, des risques réels et de la sensibilité des données de l’entreprise ?
Juridiction et souveraineté des données
Le critère le plus déterminant concerne la juridiction à laquelle est soumis le fournisseur. Une solution hébergée dans un datacenter européen mais exploitée par une société américaine peut rester exposée au Cloud Act. À l’inverse, un fournisseur suisse ou européen indépendant d’acteurs américains offre naturellement un niveau de souveraineté plus élevé, car il n’est pas soumis à des lois extraterritoriales. La question n’est donc pas seulement où les données sont stockées, mais qui contrôle réellement l’infrastructure.
Compatibilité avec les lois suisses et européennes
Le Cloud Act prévoit un mécanisme permettant aux fournisseurs de contester une demande s’il existe un conflit avec une loi étrangère. Mais cette démarche repose sur le fournisseur, pas sur le client. En parallèle, la LPD suisse impose des obligations strictes sur la gestion et le transfert des données, que la solution cloud choisie doit impérativement respecter.
Relativiser le risque pour les données peu sensibles
Il est essentiel de replacer les risques dans leur réalité. Microsoft par exemple, mentionne que les demandes américaines visant des données d’entreprises étrangères sont exceptionnellement rares. Ces demandes sont ciblées, validées par un juge et ne portent pas sur des données sans lien avec une enquête. Le CLOUD Act n’autorise PAS les États-Unis à mener de l’espionnage économique ni à accéder aux secrets commerciaux d’entreprises étrangères.
Pour une PME suisse manipulant des données importantes mais non réglementées (non médicales, non bancaires, non pénales), le risque concret de divulgation reste donc très faible, sans pour autant dispenser du respect des obligations légales suisses.
Évaluer les besoins réels
Le choix d’une solution cloud doit aussi tenir compte de critères pratiques : localisation des données, types de services utilisés, modèle de sécurité, gestion des clés de chiffrement et garanties contractuelles (SLA, clauses de transfert, etc.), coûts. Ces éléments permettent un équilibre entre risques, conformité et besoins opérationnels.
Pour terminer…
Choisir une solution cloud ne se résume ni à un critère technique ni à une contrainte juridique : c’est un équilibre entre exigences de sécurité, obligations légales, souveraineté des données et besoins opérationnels. Le Cloud Act doit être compris et pris en compte, mais il ne doit pas être l’unique facteur de décision. Le point central reste la nature des données et le niveau de maîtrise que l’entreprise souhaite conserver.
Pour beaucoup de PME suisses, un cloud international peut offrir un bon compromis entre performance, fiabilité et coûts, à condition de respecter la législation suisse et d’évaluer la sensibilité des informations concernées. Pour d’autres, notamment celles manipulant des données réellement sensibles ou réglementées, un fournisseur suisse ou européen souverain ou l’usage de protections techniques renforcées permettra de mieux garantir la confidentialité et la maîtrise.
En définitive, le choix d’un cloud s’inscrit dans une démarche globale de gestion des risques et de stratégie d’entreprise. L’important est d’adopter une approche éclairée, proportionnée et pragmatique, qui apporte le bon niveau de protection sans tomber dans la dramatisation ni la simplification excessive.
Sources
Rapport sur le US CLOUD Act (loi Cloud) – Département fédéral de justice et police DFJP
The CLOUD Act: What It Is –And What It Isn’t – Microsoft Corp
Loi fédérale sur la protection des données (LPD)
