Cloud Act and generative AI: who really decides where your data sleeps?
Vous collez un document confidentiel dans ChatGPT ou Copilot. Un projet de contrat, un tableau de marges, une note stratégique. Ce soir, ce document dort sur un serveur américain. Et la justice américaine peut y accéder, même s’il est physiquement stocké en Europe. Ça porte un nom : le Cloud Act.
J’ai vu des dirigeants découvrir cette réalité en pleine négociation. Trop tard pour poser la question de l’hébergement. La souveraineté des données n’est pas un sujet de DSI : c’est une décision de dirigeant, au même titre qu’un choix de banque ou d’assureur. Voici pourquoi, et surtout quoi faire.
Le Cloud Act, cette loi que personne ne lit avant de coller un document dans un chatbot
Key takeaways
- Le Cloud Act (2018) permet aux autorités américaines d’exiger les données détenues par tout fournisseur soumis au droit américain, même stockées en Europe, sans vous en informer. ChatGPT, Copilot, Gemini et Claude sont concernés.
- L’article 48 du RGPD s’oppose en principe à ces divulgations, mais c’est votre entreprise, responsable de traitement, qui répond des transferts illicites : jusqu’à 20 M€ ou 4 % du CA mondial.
- Le 17 avril 2026, la Commission européenne a attribué son marché de cloud souverain (180 M€, 6 ans) à quatre groupements européens — OVHcloud, Scaleway, STACKIT notamment — sur la base d’un référentiel de souveraineté (SEAL) réutilisable par toute entreprise.
- Le shadow AI est massif : 61 % des collaborateurs utilisent l’IA via des comptes personnels ; 54 % des outils non déclarés ont ingéré des données sensibles.
- Trois décisions de dirigeant : classifier les données par sensibilité, réserver le souverain ou le local aux données stratégiques (Mistral, hébergement SecNumCloud, déploiement on-premise), et garder l’arbitrage au Comex.
Ce que dit le texte, sans jargon
Le Clarifying Lawful Overseas Use of Data Act a été adopté le 23 mars 2018 par le Congrès américain. Il amende le Stored Communications Act de 1986 et règle une question qui empoisonnait le FBI : comment obtenir des données détenues à l’étranger par une entreprise américaine sans passer par les lentes procédures d’entraide judiciaire internationale.
La réponse tient en une phrase : les autorités américaines peuvent exiger d’un fournisseur soumis au droit américain qu’il remette les données qu’il détient ou contrôle, quel que soit le lieu où elles sont stockées. Serveur à Francfort, datacenter à Paris, région cloud « europe-west » : sans importance. Ce qui compte, c’est la nationalité juridique du fournisseur, pas la géographie des machines.
Deux précisions qui changent tout. D’abord, la procédure ne prévoit aucune information de l’entreprise concernée : vous ne saurez jamais que vos données ont été consultées. Ensuite, le champ est large : entreprises américaines, leurs filiales, et potentiellement toute société étrangère ayant une présence commerciale significative aux États-Unis.
ChatGPT, Copilot, Gemini, Claude : même régime
OpenAI, Microsoft, Google, Anthropic sont des sociétés de droit américain. Leurs assistants d’IA générative — ChatGPT, Copilot, Gemini, Claude — relèvent donc du Cloud Act, y compris lorsqu’ils proposent un hébergement européen. Un datacenter irlandais opéré par une entité américaine reste sous la juridiction du juge américain. C’est le principe même de l’extraterritorialité : la loi suit l’entreprise, pas le serveur.
Concrètement, chaque prompt contenant votre fichier clients, vos conditions tarifaires, vos travaux de R&D ou des données personnelles de vos salariés constitue un transfert de données vers un acteur soumis à un droit étranger. Vos données voyagent plus que vous. Et elles n’ont pas eu besoin de votre accord.
Le RGPD vous désigne responsable. Pas votre fournisseur.
L’article 48, un verrou plus théorique que pratique
Le droit européen n’a pas ignoré le problème. L’article 48 du RGPD dispose qu’une décision d’une autorité d’un pays tiers exigeant la divulgation de données personnelles ne peut être reconnue que si elle repose sur un accord international, typiquement un traité d’entraide judiciaire. Or le Cloud Act est une loi unilatérale américaine, pas un traité. Dès 2019, le Comité européen de la protection des données (EDPB) et le Contrôleur européen (EDPS) ont conclu dans leur analyse conjointe qu’une demande fondée sur le seul Cloud Act ne constitue pas une base valable de transfert de données.
Le fournisseur américain se retrouve donc face à deux ordres juridiques contradictoires : obéir au juge américain et violer le RGPD, ou refuser et s’exposer à des sanctions aux États-Unis. Devinez de quel côté penche une entreprise dont le siège, les dirigeants et l’essentiel du chiffre d’affaires sont américains.
Schrems II, Meta : l’addition est déjà tombée pour d’autres
Cette tension n’est pas restée académique. Le 16 juillet 2020, l’arrêt Schrems II de la Cour de justice de l’Union européenne a invalidé le Privacy Shield, au motif que les programmes de surveillance américains ne garantissent pas une protection équivalente au droit européen. En mai 2023, l’autorité irlandaise a infligé 1,2 milliard d’euros d’amende à Meta pour transferts illégaux de données personnelles vers les États-Unis. La CNIL, elle, a mis en demeure des organismes français utilisant Google Analytics pour les mêmes raisons.
Et voici le point que beaucoup de dirigeants sous-estiment : en tant que responsable de traitement, c’est votre entreprise qui répond de la licéité des transferts, pas OpenAI ni Microsoft. Les recommandations 01/2020 de l’EDPB vous imposent d’évaluer l’exposition de vos sous-traitants aux législations extraterritoriales et de documenter des mesures complémentaires — chiffrement avec clés hors de portée du fournisseur, notamment. À défaut, les sanctions prévues à l’article 83 du RGPD peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Le fournisseur encaisse vos abonnements ; vous encaissez le risque.
Avril 2026 : l’Europe a voté avec son portefeuille
Ce n’est plus un débat d’experts. Le 17 avril 2026, la Commission européenne a notifié l’attribution de son marché-cadre de cloud souverain — 180 millions d’euros sur six ans, dans le cadre du dispositif Cloud III — à quatre groupements exclusivement européens : Post Telecom avec OVHcloud et CleverCloud, l’Allemand STACKIT, le Français Scaleway, et Proximus associé à S3NS, Clarence et Mistral. AWS, Microsoft Azure et Google Cloud, qui dominaient jusqu’ici les contrats des institutions, ne figurent pas parmi les titulaires directs.
Pour sélectionner, Bruxelles a créé un outil inédit : le Cloud Sovereignty Framework, qui note la souveraineté sur une échelle SEAL de 0 à 4. Le niveau SEAL-3, atteint par trois des quatre lauréats, exige qu’aucune entité non européenne ne dispose d’un droit de veto, d’une clause d’accès aux données ou d’une capacité technique à couper le service. Autrement dit : l’immunité au Cloud Act est devenue un critère d’achat public, mesurable et opposable. Ce référentiel est public — rien ne vous empêche de l’utiliser dans vos propres appels d’offres. La France suit la même pente : la doctrine « cloud de l’État », révisée en mars 2026, impose l’hébergement des données sensibles des administrations sur des infrastructures qualifiées SecNumCloud par l’ANSSI.
Quand la Commission européenne, la BCE et une cinquantaine d’agences refusent de confier leurs charges de travail à des fournisseurs exposés au droit américain, la question mérite au moins d’être posée dans votre comité de direction.
Pendant ce temps, dans vos bureaux : le shadow AI
Pendant que l’Europe organise sa souveraineté numérique, que se passe-t-il chez vous ? Selon l’étude YouGov pour Microsoft France (janvier 2026, 657 cadres et dirigeants), 80 % des dirigeants utilisent l’IA générative au moins une fois par semaine — et 61 % des collaborateurs y accèdent via des comptes personnels, hors de tout cadre IT, dont 38 % quotidiennement. Plus de sept cadres sur dix n’ont reçu aucune formation.
C’est ce qu’on appelle le shadow AI, et il adore vos données sensibles. Le rapport Netwrix 2026 estime que 54 % des outils d’IA non déclarés détectés en entreprise avaient ingéré des données sensibles : code source, fichiers clients, documents réglementés. Netskope mesure en moyenne 223 incidents mensuels d’envoi de données sensibles vers des outils d’IA générative par entreprise. Et le Baromètre Privacy 2026 d’EQS Group enfonce le clou : 80 % des organisations n’ont pas de vision claire de leurs usages d’IA, et seules 32 % de celles qui mènent des projets d’IA ont réalisé une AIPD.
Faites le calcul pour votre propre organisation. Si vos équipes ressemblent à la moyenne française, des extraits de vos contrats, de vos données RH et de votre R&D sont déjà partis sur des serveurs soumis au Cloud Act. Sans décision. Sans trace dans votre treatment register. Sans que votre DPO en soit informé.
Vous voulez savoir ce qui sort réellement de votre entreprise ? Les experts Viqtor® vous aident à cartographier vos usages d’IA et vos transferts de données.
Trois décisions à prendre — et à garder au niveau de la direction
1. Triez vos données par sensibilité
Tout ne se vaut pas. Une brochure produit peut transiter par n’importe quel outil ; votre fichier clients, vos marges, votre pipeline commercial et vos travaux de R&D, non. Établissez une classification simple — trois niveaux suffisent : public, interne, stratégique/réglementé — et adossez-la à une vraie data governance : qui peut envoyer quoi, dans quel outil, avec quelle validation. Sans cette cartographie, toute politique d’IA reste un vœu pieux.
2. Pour le sensible, exigez le souverain ou le local
Des alternatives crédibles existent désormais. Mistral AI, entreprise française, traite les données sur des serveurs européens, hors de portée du Cloud Act, avec des offres entreprise pouvant s’appuyer sur des infrastructures qualifiées SecNumCloud — et le ministère des Armées lui a confié en janvier 2026 le déploiement de l’IA générative au sein des forces françaises. Ses modèles open-weight peuvent même être déployés sur vos propres serveurs : la donnée ne sort plus de votre infrastructure. Côté hébergement, OVHcloud, Scaleway ou Outscale offrent un hébergement européen immunisé contre l’extraterritorialité américaine. Une IA souveraine légèrement moins brillante vaut mieux qu’une IA de pointe qui expose votre actif le plus précieux. Pour les usages non sensibles, les outils américains restent utilisables — à condition que ce soit un choix documenté, encadré par un contrat de sous-traitant conforme à l’article 28.
3. Gardez l’arbitrage au Comex
Où vont vos données, ce n’est pas une question technique. Un DSI optimise des coûts et des performances ; un prestataire vend son catalogue. Ni l’un ni l’autre ne portera la responsabilité devant la CNIL, vos actionnaires ou vos clients en cas de violation de données ou de transfert illicite. Vous, si. L’arbitrage entre puissance des outils et maîtrise du patrimoine informationnel relève de la direction générale, appuyée sur un GDPR audit sérieux, une évaluation continue de vos sous-traitants et partenaires et des processus RGPD documentés — AIPD comprise pour les usages d’IA à risque.
L’IA la plus puissante ne vaut rien si elle vous fait perdre le contrôle de ce qui fait votre valeur : vos données. La vraie question, ce soir, est simple. Vos données les plus sensibles, elles sont chez vous — ou chez quelqu’un d’autre ?
Viqtor® vous accompagne pour reprendre la main : cartographie des traitements, évaluation des fournisseurs d’IA, conformité RGPD pilotée depuis une plateforme 100 % souveraine.
FAQ — Your questions about the GDPR audit
Le Cloud Act s'applique-t-il même si les serveurs sont en Europe ?
Oui. Le critère du Cloud Act est la nationalité juridique du fournisseur, pas la localisation des serveurs. Un datacenter parisien opéré par une société américaine ou sa filiale reste soumis aux injonctions américaines. Seul un fournisseur juridiquement européen, sans lien de contrôle américain, échappe structurellement à cette extraterritorialité.
Utiliser ChatGPT ou Copilot est-il illégal au regard du RGPD ?
Non, pas en soi. Mais y traiter des données personnelles suppose un contrat de sous-traitant conforme à l’article 28, une évaluation des risques de transfert (post-Schrems II), des mesures complémentaires si nécessaire, et une AIPD pour les usages à risque. C’est l’usage non encadré — le shadow AI — qui crée l’infraction, pas l’outil.
Qui est responsable en cas de transfert illicite : mon entreprise ou le fournisseur d'IA ?
Votre entreprise, en tant que responsable de traitement. C’est elle qui choisit ses sous-traitants et répond de la licéité des transferts devant la CNIL. Le fournisseur a ses propres obligations, mais elles ne vous exonèrent pas : les sanctions de l’article 83 du RGPD visent d’abord celui qui décide des finalités et des moyens du traitement.
Qu'est-ce qu'une IA souveraine, concrètement ?
Une IA dont le fournisseur, l’hébergement et la gouvernance relèvent exclusivement du droit européen : entreprise européenne, serveurs dans l’UE, aucune entité non européenne disposant d’un accès aux données. Mistral AI en est l’exemple français le plus abouti. Le niveau supérieur consiste à déployer un modèle open-weight sur votre propre infrastructure : les données ne quittent alors jamais votre périmètre.
Le chiffrement suffit-il à me protéger du Cloud Act ?
Il aide, à une condition stricte : que les clés de chiffrement restent hors de portée du fournisseur. C’est la principale mesure technique reconnue par les recommandations 01/2020 de l’EDPB. Mais avec l’IA générative, cette protection tombe : pour traiter votre prompt, le modèle doit lire vos données en clair. Le chiffrement protège le stockage, pas l’inférence.
Par où commencer pour encadrer l'usage de l'IA générative dans mon entreprise ?
Par un état des lieux : quels outils sont réellement utilisés, par qui, avec quelles données. Puis une classification par sensibilité, une charte d’usage, le choix d’outils validés (souverains pour le sensible), la mise à jour du registre de traitement et une AIPD pour les cas à risque. Un audit RGPD outillé par une plateforme comme Viqtor® couvre ces étapes sans mobiliser des mois de ressources internes.