Définition
CLOUD Act
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) est une loi fédérale US qui contraint les prestataires basés aux US à divulguer les données qu'ils détiennent ou traitent, peu importe où dans le monde les données sont physiquement stockées.
Pour les acheteurs européens, le CLOUD Act crée un conflit direct avec l'article 48 RGPD : l'UE interdit les transferts vers une autorité non-UE sans accord international, tandis que le CLOUD Act exige la divulgation. Même une filiale européenne ou un déploiement région UE d'un service domicilié US ne résout pas le problème — la maison-mère est tout de même contrainte.
Pourquoi cela compte
- ✓Pour les organisations françaises régulées par l'ANSSI, les banques sous EBA, les entités essentielles NIS2 et les hébergeurs santé HDS, l'exposition CLOUD Act est un critère bloquant à l'achat.
- ✓Le SEAL-3 a été largement créé en réponse à ce conflit.
Questions fréquentes
FISA 702 a-t-il le même effet ?
Oui, en pratique. La section 702 de FISA autorise la surveillance massive des personnes non-US par les agences de renseignement US et lie similairement les prestataires domiciliés US. C'est le levier secondaire que les autorités de protection européennes citent dans leurs décisions sur les clauses contractuelles types.