{"id":11340,"date":"2026-03-10T10:54:04","date_gmt":"2026-03-10T09:54:04","guid":{"rendered":"https:\/\/www.cfi.ch\/?p=11340"},"modified":"2026-03-10T13:10:06","modified_gmt":"2026-03-10T12:10:06","slug":"cloud-act-quels-criteres-prendre-en-compte-pour-choisir-son-cloud","status":"publish","type":"post","link":"https:\/\/cfi.ch\/en\/cloud-act-quels-criteres-prendre-en-compte-pour-choisir-son-cloud\/","title":{"rendered":"Cloud Act : quels crit\u00e8res prendre en compte pour choisir son cloud ?"},"content":{"rendered":"<p data-block-type=\"core\">Avec la croissance des services cloud et l\u2019augmentation des \u00e9changes de donn\u00e9es sensibles, la question de la souverainet\u00e9 et des l\u00e9gislations internationales revient souvent. Le <strong>Cloud Act<\/strong> am\u00e9ricain, qui permet aux autorit\u00e9s des \u00c9tats\u2011Unis de demander l\u2019acc\u00e8s \u00e0 des donn\u00e9es d\u00e9tenues par des fournisseurs soumis \u00e0 leur juridiction, m\u00eame lorsque les donn\u00e9es sont stock\u00e9es hors des \u00c9tats\u2011Unis suscite l\u00e9gitimement des interrogations.<\/p>\n\n\n\n<p data-block-type=\"core\"><\/p>\n\n\n\n<p data-block-type=\"core\">CFI a r\u00e9cemment \u00e9t\u00e9 confront\u00e9 \u00e0 ce sujet dans le cadre d\u2019un mandat visant \u00e0 s\u00e9lectionner une plateforme cloud capable d\u2019h\u00e9berger des informations particuli\u00e8rement sensibles. Cela pose une question centrale : <strong>comment choisir une solution cloud en tenant compte des obligations l\u00e9gales, des risques r\u00e9els et de la sensibilit\u00e9 des donn\u00e9es de l\u2019entreprise ?<\/strong><\/p>\n\n\n\n<div class=\"wp-block-stackable-subtitle stk-block-subtitle stk-block stk-836b4e6\" id=\"strong-juridiction-et-souverainete-des-donnees-strong\" data-block-id=\"836b4e6\"><style>.stk-836b4e6 {margin-bottom:12px !important;}<\/style><p class=\"stk-block-subtitle__text stk-subtitle\"><strong>Juridiction et souverainet\u00e9 des donn\u00e9es<\/strong><\/p><\/div>\n\n\n\n<p data-block-type=\"core\">Le crit\u00e8re le plus d\u00e9terminant concerne la juridiction \u00e0 laquelle est soumis le fournisseur. Une solution h\u00e9berg\u00e9e dans un datacenter europ\u00e9en mais exploit\u00e9e par une soci\u00e9t\u00e9 am\u00e9ricaine peut rester expos\u00e9e au Cloud Act. \u00c0 l\u2019inverse, un fournisseur suisse ou europ\u00e9en ind\u00e9pendant d\u2019acteurs am\u00e9ricains offre naturellement un niveau de souverainet\u00e9 plus \u00e9lev\u00e9, car il n\u2019est pas soumis \u00e0 des lois extraterritoriales. La question n\u2019est donc pas seulement <em>o\u00f9<\/em> les donn\u00e9es sont stock\u00e9es, mais <em>qui<\/em> contr\u00f4le r\u00e9ellement l\u2019infrastructure.<\/p>\n\n\n\n<div class=\"wp-block-stackable-subtitle stk-block-subtitle stk-block stk-70d84e6\" data-block-id=\"70d84e6\"><style>.stk-70d84e6 {margin-bottom:12px !important;}<\/style><p class=\"stk-block-subtitle__text stk-subtitle\"><strong>Compatibilit\u00e9 avec les lois suisses et europ\u00e9ennes<\/strong><\/p><\/div>\n\n\n\n<p data-block-type=\"core\">Le Cloud Act pr\u00e9voit un m\u00e9canisme permettant aux fournisseurs de contester une demande s\u2019il existe un conflit avec une loi \u00e9trang\u00e8re. Mais cette d\u00e9marche repose sur le <strong>fournisseur<\/strong>, pas sur le client. En parall\u00e8le, la <strong>LPD suisse<\/strong> impose des obligations strictes sur la gestion et le transfert des donn\u00e9es, que la solution cloud choisie doit imp\u00e9rativement respecter.<\/p>\n\n\n\n<div class=\"wp-block-stackable-subtitle stk-block-subtitle stk-block stk-ff836bc\" data-block-id=\"ff836bc\"><style>.stk-ff836bc {margin-bottom:12px !important;}<\/style><p class=\"stk-block-subtitle__text stk-subtitle\"><strong>Relativiser le risque pour les donn\u00e9es peu sensibles<\/strong><\/p><\/div>\n\n\n\n<p data-block-type=\"core\">Il est essentiel de replacer les risques dans leur r\u00e9alit\u00e9. Microsoft par exemple, mentionne que les demandes am\u00e9ricaines visant des donn\u00e9es d\u2019entreprises \u00e9trang\u00e8res sont <strong>exceptionnellement rares<\/strong>. Ces demandes sont cibl\u00e9es, valid\u00e9es par un juge et ne portent pas sur des donn\u00e9es sans lien avec une enqu\u00eate. Le CLOUD Act n\u2019autorise PAS les \u00c9tats-Unis \u00e0 mener de l\u2019espionnage \u00e9conomique ni \u00e0 acc\u00e9der aux secrets commerciaux d\u2019entreprises \u00e9trang\u00e8res.<\/p>\n\n\n\n<p data-block-type=\"core\">Pour une PME suisse manipulant des donn\u00e9es importantes mais non r\u00e9glement\u00e9es (non m\u00e9dicales, non bancaires, non p\u00e9nales), le risque concret de divulgation reste donc <strong>tr\u00e8s faible<\/strong>, sans pour autant dispenser du respect des obligations l\u00e9gales suisses.<\/p>\n\n\n\n<div class=\"wp-block-stackable-subtitle stk-block-subtitle stk-block stk-6c326d2\" data-block-id=\"6c326d2\"><style>.stk-6c326d2 {margin-bottom:12px !important;}<\/style><p class=\"stk-block-subtitle__text stk-subtitle\"><strong>\u00c9valuer les besoins r\u00e9els<\/strong><\/p><\/div>\n\n\n\n<p data-block-type=\"core\">Le choix d\u2019une solution cloud doit aussi tenir compte de crit\u00e8res pratiques : localisation des donn\u00e9es, types de services utilis\u00e9s, mod\u00e8le de s\u00e9curit\u00e9, gestion des cl\u00e9s de chiffrement et garanties contractuelles (SLA, clauses de transfert, etc.), co\u00fbts. Ces \u00e9l\u00e9ments permettent un \u00e9quilibre entre risques, conformit\u00e9 et besoins op\u00e9rationnels.<\/p>\n\n\n\n<div class=\"wp-block-stackable-subtitle stk-block-subtitle stk-block stk-330c5ea\" data-block-id=\"330c5ea\"><style>.stk-330c5ea {margin-bottom:12px !important;}<\/style><p class=\"stk-block-subtitle__text stk-subtitle\"><strong>Pour terminer\u2026<\/strong><\/p><\/div>\n\n\n\n<p data-block-type=\"core\">Choisir une solution cloud ne se r\u00e9sume ni \u00e0 un crit\u00e8re technique ni \u00e0 une contrainte juridique : c\u2019est un \u00e9quilibre entre exigences de s\u00e9curit\u00e9, obligations l\u00e9gales, souverainet\u00e9 des donn\u00e9es et besoins op\u00e9rationnels. Le Cloud Act doit \u00eatre compris et pris en compte, mais il ne doit pas \u00eatre l\u2019unique facteur de d\u00e9cision. Le point central reste la <strong>nature des donn\u00e9es<\/strong> et le <strong>niveau de ma\u00eetrise<\/strong> que l\u2019entreprise souhaite conserver.<\/p>\n\n\n\n<p data-block-type=\"core\">Pour beaucoup de PME suisses, un cloud international peut offrir un bon compromis entre performance, fiabilit\u00e9 et co\u00fbts, \u00e0 condition de respecter la l\u00e9gislation suisse et d\u2019\u00e9valuer la sensibilit\u00e9 des informations concern\u00e9es. Pour d\u2019autres, notamment celles manipulant des donn\u00e9es r\u00e9ellement sensibles ou r\u00e9glement\u00e9es, un fournisseur suisse ou europ\u00e9en souverain ou l\u2019usage de protections techniques renforc\u00e9es permettra de mieux garantir la confidentialit\u00e9 et la ma\u00eetrise.<\/p>\n\n\n\n<p data-block-type=\"core\">En d\u00e9finitive, le choix d\u2019un cloud s\u2019inscrit dans une d\u00e9marche globale de gestion des risques et de strat\u00e9gie d\u2019entreprise. L\u2019important est d\u2019adopter une approche <strong>\u00e9clair\u00e9e, proportionn\u00e9e et pragmatique<\/strong>, qui apporte le bon niveau de protection sans tomber dans la dramatisation ni la simplification excessive.<\/p>\n\n\n\n<div class=\"wp-block-stackable-subtitle stk-block-subtitle stk-block stk-35eadc5\" data-block-id=\"35eadc5\"><style>.stk-35eadc5 {margin-bottom:12px !important;}<\/style><p class=\"stk-block-subtitle__text stk-subtitle\"><strong>Sources<\/strong><\/p><\/div>\n\n\n\n<p data-block-type=\"core\"><a href=\"https:\/\/www.bj.admin.ch\/dam\/bj\/fr\/data\/publiservice\/publikationen\/berichte-gutachten\/gutachten\/2021-09-17-us-cloud-act.pdf.download.pdf\/2021-09-17-us-cloud-act-f.pdf\">Rapport sur le US CLOUD Act (loi Cloud) &#8211; D\u00e9partement f\u00e9d\u00e9ral de justice et police DFJP<\/a><br><a href=\"https:\/\/cdn-dynmedia-1.microsoft.com\/is\/content\/microsoftcorp\/microsoft\/msc\/documents\/presentations\/CSR\/CLOUD-Act-What-it-is-and-is-not.pdf\">The CLOUD Act: What It Is \u2013And What It Isn\u2019t &#8211; Microsoft Corp<\/a><br><a href=\"https:\/\/www.fedlex.admin.ch\/eli\/oc\/2022\/491\/fr\">Loi f\u00e9d\u00e9rale sur la protection des donn\u00e9es (LPD)<\/a><\/p>","protected":false},"excerpt":{"rendered":"<p>Avec la croissance des services cloud et l\u2019augmentation des \u00e9changes de donn\u00e9es sensibles, la question de la souverainet\u00e9 et des l\u00e9gislations internationales revient souvent. Le Cloud Act am\u00e9ricain, qui permet aux autorit\u00e9s des \u00c9tats\u2011Unis de demander l\u2019acc\u00e8s \u00e0 des donn\u00e9es d\u00e9tenues par des fournisseurs soumis \u00e0 leur juridiction, m\u00eame lorsque les donn\u00e9es sont stock\u00e9es hors des \u00c9tats\u2011Unis suscite l\u00e9gitimement des interrogations. CFI a r\u00e9cemment \u00e9t\u00e9 confront\u00e9 \u00e0 ce sujet dans le cadre d\u2019un mandat visant \u00e0 s\u00e9lectionner une plateforme cloud capable d\u2019h\u00e9berger des informations particuli\u00e8rement sensibles. Cela pose une question centrale : comment choisir une solution cloud en tenant compte\u2026<\/p>","protected":false},"author":4,"featured_media":11349,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1],"tags":[138,153],"class_list":["post-11340","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-classe","tag-developpement","tag-microsoft-365"],"blocksy_meta":"","acf":[],"_links":{"self":[{"href":"https:\/\/cfi.ch\/en\/wp-json\/wp\/v2\/posts\/11340","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cfi.ch\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cfi.ch\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cfi.ch\/en\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cfi.ch\/en\/wp-json\/wp\/v2\/comments?post=11340"}],"version-history":[{"count":20,"href":"https:\/\/cfi.ch\/en\/wp-json\/wp\/v2\/posts\/11340\/revisions"}],"predecessor-version":[{"id":11408,"href":"https:\/\/cfi.ch\/en\/wp-json\/wp\/v2\/posts\/11340\/revisions\/11408"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cfi.ch\/en\/wp-json\/wp\/v2\/media\/11349"}],"wp:attachment":[{"href":"https:\/\/cfi.ch\/en\/wp-json\/wp\/v2\/media?parent=11340"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cfi.ch\/en\/wp-json\/wp\/v2\/categories?post=11340"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cfi.ch\/en\/wp-json\/wp\/v2\/tags?post=11340"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}