Pendant des années, le monde a fonctionné sur une hypothèse simple : les données ont un lieu de résidence physique. Si elles se trouvaient sur un serveur à Dublin, elles relevaient du droit irlandais et européen. Cette hypothèse s’est effondrée en 2018, lorsque les États Unis ont adopté le CLOUD Act, une loi qui donne aux autorités américaines un accès aux données contrôlées par des entreprises américaines, peu importe où ces données sont physiquement stockées dans le monde. Plusieurs années plus tard, Bruxelles a répondu avec son propre dispositif de protection : le Data Act, désormais pleinement applicable, qui tente de limiter l’accès extraterritorial des autorités de pays tiers aux données détenues dans l’Union européenne.
Voici ce que prévoient réellement ces deux textes, où ils entrent en collision, et pourquoi la seule protection véritablement robuste face à ce conflit reste l’impossibilité technique d’accès.
Le CLOUD Act américain : un accès fondé sur le contrôle, pas sur la localisation
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act), adopté en mars 2018, a modifié le droit américain en y ajoutant l’article 18 U.S. Code § 2713. Ce texte impose à tout fournisseur de service de communication électronique ou de traitement informatique à distance de préserver, sauvegarder ou divulguer le contenu d’une communication ou tout enregistrement s’y rapportant, dès lors que ces données sont en sa possession, sous sa garde ou sous son contrôle, indépendamment du fait que ces données se trouvent à l’intérieur ou à l’extérieur des États Unis.
C’est précisément cette dernière clause qui change tout. Le critère retenu n’est plus la localisation physique du serveur, mais le contrôle exercé par la société mère sur ses filiales. Une entreprise américaine opérant des centres de données en Europe reste donc soumise aux réquisitions américaines, même pour des données stockées intégralement sur le sol européen.
Le Data Act européen : une barrière juridique à l’accès extraterritorial
Le Règlement (UE) 2023/2854, dit Data Act, est entré en vigueur le 11 janvier 2024 et s’applique pleinement depuis le 12 septembre 2025, certaines dispositions étant échelonnées jusqu’en 2026 et 2027. Son article 32 encadre directement la question de l’accès gouvernemental international aux données.
Le texte établit une règle claire : toute décision ou tout jugement d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un fournisseur de services de traitement de données qu’il transfère ou donne accès à des données non personnelles détenues dans l’Union européenne n’est reconnu et exécutoire que s’il repose sur un accord international, tel qu’un traité d’entraide judiciaire (MLA), en vigueur entre le pays demandeur et l’Union, ou entre ce pays et l’État membre concerné.
En l’absence d’un tel accord, l’article 32 prévoit une seconde voie, mais strictement encadrée : la décision étrangère ne peut être exécutée que si le système juridique du pays tiers exige que la demande soit motivée, proportionnée, et suffisamment spécifique, par exemple en établissant un lien clair avec des personnes ou des infractions précises, et si l’objection motivée du destinataire peut être soumise au contrôle d’une juridiction compétente de ce pays tiers.
Une collision juridique directe
Le problème est immédiat : le CLOUD Act exige une divulgation fondée sur le contrôle exercé par l’entreprise mère, sans condition de proportionnalité comparable à celle exigée par le droit européen. Le Data Act, à l’inverse, subordonne la reconnaissance d’une telle demande à l’existence d’un accord international ou à des garanties procédurales précises. Une entreprise américaine opérant en Europe, sommée par une autorité américaine de transmettre des données hébergées dans l’Union, se retrouve donc prise entre deux obligations légales contradictoires : se conformer au mandat américain en violant le droit de l’Union, ou respecter le Data Act en s’exposant aux conséquences d’un refus aux États Unis.
Cette tension n’est pas théorique. Elle a déjà été documentée par la Cour de justice de l’Union européenne (CJUE) dans deux décisions majeures, Schrems I (2015) et Schrems II (2020). Dans l’arrêt Schrems II, la CJUE a jugé que la surveillance américaine menée au titre de la Section 702 du FISA (Foreign Intelligence Surveillance Act) et de l’Executive Order 12333 ne respecte pas les garanties minimales exigées par le droit de l’Union au titre du principe de proportionnalité, et ne peut donc pas être considérée comme limitée à ce qui est strictement nécessaire. La Cour a également relevé l’absence de voie de recours juridictionnel effective pour les personnes concernées de l’Union, en violation de l’article 47 de la Charte des droits fondamentaux. Cette décision a invalidé le cadre du Privacy Shield, qui organisait jusque là les transferts de données entre l’UE et les États Unis.
Le risque structurel : Harvest Now, Decrypt Later
Au delà du conflit de juridictions, une menace plus insidieuse pèse sur les données hébergées dans des infrastructures soumises au droit américain : la stratégie dite Harvest Now, Decrypt Later (HNDL). Le principe consiste, pour un service de renseignement ou un acteur étatique hostile, à intercepter et stocker dès aujourd’hui des données chiffrées, dans l’attente de capacités de calcul quantique suffisantes pour les déchiffrer dans le futur.
Cette stratégie transforme toute dépendance prolongée envers une infrastructure cloud américaine en une dette de sécurité différée : ce qui est confidentiel aujourd’hui peut devenir lisible dans dix ou quinze ans, sans qu’aucune action supplémentaire ne soit nécessaire de la part de l’attaquant, seulement le temps et la patience.
Pourquoi seule l’impossibilité technique constitue une vraie garantie
L’analyse juridique converge vers un constat partagé par de nombreux experts en conformité : aussi solide soit le cadre légal du Data Act, il reste un texte que les rapports de force géopolitiques et les pressions diplomatiques peuvent contourner, retarder ou réinterpréter. La seule protection qui ne dépend d’aucune négociation future est l’impossibilité technique d’exécution.
Une architecture zero knowledge, où le prestataire ne détient ni la possession ni la garde des clés de déchiffrement, rend une réquisition matériellement inopérante. On ne peut pas être contraint de remettre ce que l’on ne possède jamais.
C’est la logique qui structure des écosystèmes comme Arpokrat :
- Neutralisation juridictionnelle : l’infrastructure est hébergée en Suisse, sous le régime de la loi fédérale sur la protection des données (LPD/FADP), hors du champ d’application directe de l’extraterritorialité du CLOUD Act
- Absence de garde : l’architecture zero knowledge prive le prestataire de toute capacité à remettre des clés ou des contenus qu’il ne détient jamais
- Réduction de l’empreinte identitaire : en supprimant l’obligation d’inscription par numéro de téléphone ou adresse e-mail, des identifiants que la surveillance fondée sur la Section 702 du FISA peut suivre aisément, l’utilisateur cesse d’être un abonné identifiable pour devenir une clé cryptographique anonyme
La chaîne de garde ne s’arrête pas au chiffrement des messages
Un point souvent sous-estimé dans les analyses de conformité : il ne suffit pas de chiffrer le contenu d’une communication si le système d’exploitation sous jacent, qu’il s’agisse d’Android ou d’iOS, continue de capturer des métadonnées ou de la télémétrie au niveau du noyau, à destination de serveurs relevant de la juridiction américaine. La protection du secret exige une fermeture complète de la chaîne de garde, du contenu jusqu’à l’infrastructure matérielle elle même.
C’est pour cette raison que la souveraineté numérique implique aussi une réflexion sur le système d’exploitation utilisé, pas seulement sur les applications de messagerie. Des systèmes dégooglisés, où des modules comme le Bluetooth ou la géolocalisation GNSS peuvent être désactivés directement au niveau du noyau, éliminent des vecteurs d’attaque physiques qu’aucun chiffrement applicatif ne peut compenser.
La cryptographie post quantique, un horizon déjà engagé
Face à la menace que représente la stratégie HNDL, l’adoption de standards de cryptographie post quantique (PQC) devient une nécessité pour quiconque souhaite garantir la confidentialité de données sensibles sur le long terme, qu’il s’agisse de secrets d’affaires, de correspondances professionnelles ou de données de santé. Un chiffrement jugé robuste aujourd’hui selon les standards classiques ne garantit pas qu’il résistera aux capacités de calcul quantique attendues dans les quinze prochaines années.
Le conflit entre le Data Act et le CLOUD Act illustre une réalité plus large : la souveraineté numérique ne peut plus se construire uniquement sur des textes de loi, aussi solides soient ils. Elle exige une fermeture de la chaîne de garde à chaque niveau, du protocole de chiffrement jusqu’à la juridiction d’hébergement, en passant par le système d’exploitation lui même. C’est cette approche par couches, plutôt qu’une confiance reposant sur un seul cadre réglementaire, qui définit aujourd’hui une véritable souveraineté numérique par conception.
