Guide

Cloud Act vs RGPD : quelles protections pour vos données PME ?

05/01/2026 - 9 min
Dirigeant de PME / DAF / Responsable IT
PME : Cloud Act vs RGPD, extraterritorialité américaine, choix des prestataires… Découvrez les actions concrètes pour sécuriser durablement vos données.

Vous avez lu sur votre contrat cloud : « Vos données restent stockées en Europe, conformité RGPD garantie. » Rassurant. Sauf qu’il existe une distinction entre la localisation géographique des serveurs et la souveraineté juridique qui les gouverne. Et c’est exactement là où le Cloud Act américain crée un vrai problème pour votre PME. L’assurance qu’on vous donne et la réalité légale ne coïncident pas toujours. Cet article vous aide à comprendre ce décalage, à évaluer votre exposition et à mettre en place les bonnes protections.

Sommaire :

Pourquoi le Cloud Act vs RGPD vous concerne

Vous pensez probablement que si vos données sont stockées en France ou en Europe, elles sont protégées par le RGPD et inaccessibles aux autorités étrangères. C’est un réflexe naturel. Mais le Cloud Act américain opère différemment : il s’intéresse à la nationalité juridique du prestataire, pas à la localisation des serveurs. Si vous utilisez Microsoft 365, AWS ou Google Workspace (toutes des entreprises américaines) vos données peuvent être exigées par les autorités américaines, même si elles sont physiquement en France.

Les conséquences sont doubles. D’abord, le risque légal : si une autorité américaine demande l’accès et que votre prestataire obéit, vous êtes techniquement en infraction RGPD face à la CNIL, risquant jusqu’à 4 % de votre chiffre d’affaires en amende. Ensuite, le risque commercial : vos données clients, contrats, propriété intellectuelle pourraient être accessibles à des concurrents, des États étrangers, ou des acteurs malveillants ayant un accès aux autorités.

Signes que vous êtes exposé à ce risque

  • Vos données sensibles (clients, paie, contrats, R&D) sont stockées chez un prestataire américain (Microsoft, Google, Amazon, Salesforce, etc.)
  • Vous n’avez jamais vérifié la nationalité juridique de vos prestataires cloud
  • Vous supposez que « data center en Europe = protection RGPD complète »
  • Vous ne chiffrez pas vos données ou le prestataire gère les clés
  • Vous n’avez pas de contrat spécifique encadrant les transferts de données hors UE

Diagnostic structuré : le Cloud Act, le RGPD, et la réalité

Le Cloud Act (« Clarifying Lawful Overseas Use of Data Act ») est une loi fédérale américaine de 2018. Elle autorise les autorités américaines (police, justice, agences fédérales) à exiger l’accès à toutes les données détenues par une entreprise soumise au droit américain, peu importe où ces données sont stockées physiquement. C’est ça qui la rend extraterritoriale.

Le RGPD, lui, stipule (article 48) que les transferts de données personnelles en dehors de l’UE ne peuvent avoir lieu que s’il existe un accord international adéquat. Après l’arrêt Schrems II de 2020, la Cour de Justice de l’UE a estimé que le droit américain n’offrait pas une protection équivalente au RGPD. Résultat : conflit direct entre les deux textes, sans solution parfaite.

Les trois critères clés pour évaluer votre exposition

CritèreCloud américainCloud souverain UEÀ considérer pour vous
Souveraineté légaleEntreprise US soumise au Cloud ActEntreprise UE, pas Cloud ActQui détient votre prestataire ? USA ou UE ?
Contrôle des donnéesPrestataire gère tout (données + clés)Vous gardez les clés (chiffrement côté client)Êtes-vous vraiment maître de vos données ?
Risque d’expositionÉlevé : transfert possible en cas de demande USRéduit : protection RGPD complèteAvez-vous des données vraiment sensibles ?
Conformité RGPDProblématique après Schrems IIConformeÊtes-vous concerné par le RGPD ?
Coût de migrationImportant (effort, temps, formation)Important (mêmes enjeux)Avez-vous les ressources pour changer ?

Incertain sur la conformité RGPD de votre cloud ?

30 minutes pour auditer votre infrastructure actuelle et vos risques.

Évaluer mon exposition

Diagnostic personnel : est-ce vraiment un risque pour votre PME ?

Maintenant, la vraie question : cette exposition vous concerne-t-elle vraiment ? Tout dépend des données que vous stockez et de votre profil business.

Mini checklist de décision

  • Stockez-vous des données personnelles (clients, prospects, salariés, RIB) ? Si oui, vous êtes soumis au RGPD.
  • Utilisez-vous principalement des services américains (Microsoft 365, Google Workspace, Salesforce, AWS) ? Si oui, vous êtes exposé au Cloud Act.
  • Avez-vous des contrats avec des obligations légales strictes (clients publics, secteur régulé) ? Si oui, le risque est amplifié.
  • Aviez-vous connaissance du Cloud Act et de Schrems II avant aujourd’hui ? Si non, vous n’avez probablement rien fait pour vous protéger.

Si vous avez répondu OUI à au moins 3 questions, vous êtes exposé et vous devriez agir . Si vous avez répondu OUI à 1-2, le risque existe mais peut être cloisonné.

Cas type 1 : PME classique avec données clients en cloud américain

Vous êtes une PME de services (conseil, marketing, comptabilité). Vous utilisez Google Workspace pour l’email et le stockage, Salesforce pour le CRM, et vous avez un site e-commerce avec données clients. Vous avez des données personnelles soumises au RGPD (clients, prospects, contrats), mais vous pensez être en ordre parce que vos données sont « logiquement » en UE. Vous êtes en réalité exposé : Microsoft, Google, Salesforce sont des entreprises américaines. Une demande des autorités fédérales américaines peut exiger vos données. Solution : chiffrement côté client ou migration vers un cloud européen pour vos données sensibles.

Cas type 2 : PME industrielle avec propriété intellectuelle critique

Vous êtes une PME de manufacturing avec des plans de produits, des calculs de coûts, des contrats fournisseurs ultra-sensibles. Vous les stockez chez AWS pour l’accessibilité. Le risque ici n’est pas tant la CNIL (quoique) : c’est l’espionnage industriel. Si une puissance étrangère, un concurrent ou même une administration américaine accède à ces données, vous perdez votre avantage concurrentiel. Solution : chiffrement asymétrique strict, clés gérées localement ou hébergement sur infrastructure française ou UE.

Besoin de clarifier votre exposition au Cloud Act ?

Évaluez en moins de 10 minutes les angles morts de votre infrastructure.

Auto-diagnostic

Comment Oguhnas accompagne les PME sur la conformité cloud

Vous avez cerné le risque. Par où commencer pour vous protéger sans paralyser votre activité ?

Notre approche : 4 étapes concrètes

Nous intervenons en quatre étapes.

Cartographie de votre infrastructure cloud actuelle : on recense tous vos prestataires (email, CRM, stockage, outils d’analyse, etc.), leur nationalité juridique et quelles données ils stockent. L’inventaire révèle souvent ce qu’on pensait avoir cloisonné.

Classification de vos données : vos données n’ont pas toutes le même poids. On identifie celles vraiment sensibles (clients, paie, R&D, contrats) par rapport aux données banales (calendriers, documents partagés). C’est ça qui guide la stratégie.

Évaluation de vos contrats : on examine les clauses contractuelles types (CCT) que proposent vos prestataires. Certains offrent des garanties améliorées post-Schrems II. On vous montre ce que vous avez et ce qu’il faudrait négocier.

Plan d’action progressif : on ne vous demande pas de tout changer demain. On propose une feuille de route : d’abord protéger les données critiques (chiffrement, ségrégation), puis progressivement migrer ou sécuriser le reste. La première protection est de ne pas laisser vos accès clients stockés chez Amazon ou Microsoft sans contrôle. Un gestionnaire de mots de passe open source en auto-hébergement est l’étape zéro : avoir accès à vos identifiants, c’est avoir accès à tout.

Prêt à structurer votre sécurité cloud ?

Aide à la mise en place d'une stratégie cloud conforme et pragmatique.

Définir un plan d'action

Les pièges à éviter et exemple concret

4 erreurs typiques des PME sur le Cloud Act

Première erreur : croire que « données en Europe = protégées ». C’est le piège le plus courant. Si le prestataire est américain, il peut être forcé de remettre vos données. La localisation du serveur n’est pas ce qui compte ; c’est la nationalité de l’entreprise.

Deuxième erreur : confondre RGPD et conformité cloud. Le RGPD protège contre les transferts non autorisés, mais il ne protège pas contre le Cloud Act. Ce sont deux problèmes différents. Être conforme RGPD ne vous rend pas automatiquement protégé du Cloud Act.

Troisième erreur : ignorer le coût humain de la non-conformité. « Aucune autorité ne viendra nous contrôler ». Peut-être. Mais si vous avez un incident (fuite de donnée, demande américaine publiée), vous serez responsable. La CNIL peut auditer et les amendes peuvent être lourdes pour une PME.

Quatrième erreur : supposer que chiffrement = sécurité complète. Le chiffrement est une protection mais seulement si vous gérez les clés. Si le prestataire gère tout (données et clés), vous restez exposé.

Cas concret : une PME de conseil finalement protégée

Une PME de 15 personnes en stratégie digitale utilisait Google Workspace, Salesforce et AWS. Après audit, on a découvert que leurs données clients (stratégies concurrentielles, budgets marketing) étaient stockées sans chiffrement chez Google et Salesforce. Risque réel.

Solution mise en place : garder Google Workspace pour l’email (données non sensibles), mais migrer le CRM vers une solution open source sur un serveur français chiffré ; migrer les documents confidentiels (plans, budgets, analyses) vers un serveur de fichiers français avec chiffrement asymétrique ; maintenir AWS pour les outils d’analyse non sensibles.

Résultat : coûts maîtrisés (migration progressive, pas de refonte totale), conformité RGPD assurée, données critiques protégées contre le Cloud Act. Aucune perte de productivité.

La souveraineté des données, c’est votre responsabilité

Le Cloud Act ne disparaîtra pas. Le RGPD non plus. Et tant que les deux existent, vous avez une tension à gérer. Ce n’est pas un problème insoluble. C’est une question de connaissance de son infrastructure et de choix d’architecture cloud.

Vous n’avez pas besoin d’être absolument souverain sur toutes vos données. Vous devez savoir exactement ce qui est stocké où, chez qui, sous quel régime juridique, et comment c’est protégé. Si votre infrastructure actuelle vous expose (dépendance, inquiétude légale, coûts de conformité), poser ces questions est la première étape.

Faire auditer votre conformité RGPD

Évaluation rapide de votre exposition et de vos options, sans engagement.

Demander un audit