LegacyShield
Back to blog
·5 min read·LegacyShield Team

Le CLOUD Act : Pourquoi la 'Région UE' d'AWS ne protège pas vos données

Le CLOUD Act américain permet au gouvernement US d'exiger des données d'entreprises américaines — même stockées en Europe. Ce que cela signifie pour vos documents les plus sensibles.

CLOUD Act données UEserveurs US RGPDsouveraineté des données Europe

Vos Données Sont à Francfort. Mais Elles Obéissent à Washington.

Vous avez tout bien fait. Un hébergeur cloud avec une "région UE." Vos fichiers reposent sur un serveur à Francfort, Dublin ou Amsterdam. Sol européen, électricité européenne, personnel européen.

Mais l'entreprise qui gère ce serveur ? Américaine. Et ce seul fait annule tout.

Ce Que Dit le CLOUD Act

En mars 2018, les États-Unis ont adopté le Clarifying Lawful Overseas Use of Data Act — le CLOUD Act. Enfoui dans un projet de loi budgétaire de 2 232 pages, signé quasiment sans débat public.

En clair : toute entreprise américaine doit remettre les données clients aux autorités américaines, peu importe où ces données sont physiquement stockées.

Pas "les données aux États-Unis." Toutes les données. Partout dans le monde.

Vous stockez votre testament, votre contrat d'assurance-vie ou vos relevés financiers sur AWS, Google Cloud ou Dropbox ? Si le gouvernement américain émet un mandat, cette entreprise est légalement obligée de tout transmettre. Même si le serveur est dans l'UE. Même si vous êtes citoyen européen.

"Mais le RGPD Me Protège"

Le RGPD interdit le transfert de données personnelles de résidents européens hors de l'UE sans protections adéquates. Le CLOUD Act exige que les entreprises américaines transmettent les données, peu importe leur localisation.

Ces deux lois se contredisent frontalement.

En pratique, les entreprises américaines obéissent d'abord au droit américain. Microsoft a livré cette bataille devant les tribunaux dans United States v. Microsoft Corp. (2018), arguant qu'ils ne devraient pas avoir à livrer des e-mails stockés en Irlande. L'affaire est montée jusqu'à la Cour Suprême — puis le Congrès a adopté le CLOUD Act. Problème réglé. Pour le gouvernement américain, en tout cas.

L'Arnaque Marketing de la "Région UE"

Chaque grand fournisseur cloud américain propose des "régions UE." AWS a des centres de données à Francfort, Dublin, Paris. Ils vendent ça comme une garantie de confidentialité : "Vos données restent en Europe."

Techniquement vrai. Concrètement sans valeur.

Imaginez : vous louez un coffre-fort dans une banque à Paris. Le coffre est là. La clé est là. Mais la banque appartient à une société américaine basée à Seattle. Quand le gouvernement US frappe à la porte, il ne va pas à Paris. Il va à Seattle et dit : "Ouvrez."

La France et la Souveraineté Numérique

La France n'est pas étrangère à ce débat. Le gouvernement français a lancé la doctrine "Cloud de confiance" en 2021, exigeant que les services cloud pour l'administration soient immunisés contre les lois extraterritoriales étrangères.

La CNIL a d'ailleurs émis des avertissements répétés sur l'utilisation de services cloud américains pour les données sensibles. En 2022, elle a estimé que Google Analytics violait le RGPD précisément en raison des risques de transfert vers les États-Unis.

Si l'État français considère que les clouds américains ne sont pas sûrs pour ses propres données, peut-être devriez-vous en faire autant pour votre testament et vos contrats d'assurance.

Ce Que "Infrastructure Européenne" Signifie Vraiment

Il y a une différence cruciale entre "hébergé en Europe" et "propriété d'une entreprise européenne."

  • AWS Francfort → Entreprise américaine, juridiction US, CLOUD Act s'applique
  • Hetzner (Allemagne) → Entreprise allemande, juridiction UE, CLOUD Act ne s'applique pas

Même continent. Réalité juridique complètement différente.

L'Approche LegacyShield

LegacyShield fonctionne entièrement sur une infrastructure européenne, propriété européenne — Hetzner, dont le siège est en Allemagne. Pas de maison-mère américaine. Pas d'investisseurs américains. Aucune juridiction CLOUD Act.

Vos documents sont chiffrés en AES-256-GCM avant de quitter votre navigateur. Nous ne détenons pas les clés. Nous ne pouvons pas lire vos fichiers — et aucun gouvernement ne peut nous contraindre à remettre des clés que nous n'avons pas.

Ce Que Vous Devriez Faire Aujourd'hui

Étape 1 : Vérifiez où se trouvent réellement vos documents importants. Google Drive ? Dropbox ? iCloud ? Toutes des entreprises américaines, toutes soumises au CLOUD Act.

Étape 2 : Demandez-vous — êtes-vous à l'aise avec le fait que le gouvernement américain ait un accès juridique à votre testament ? Vos directives anticipées ? Vos documents financiers ?

Étape 3 : Si non, déplacez vos documents les plus sensibles vers une infrastructure structurellement hors de portée. Pas des promesses. De l'architecture.

Prêt à reprendre le contrôle de vos documents ? Créez votre compte LegacyShield gratuit — propriété européenne, chiffrement zero-knowledge, conçu pour les documents qui comptent vraiment.

Secure your documents for free

Start with LegacyShield today. Zero-knowledge encryption, emergency access for your loved ones, and always free to use.

Get Started Free