Cloud Act et Patriot Act : ce que toute PME française doit savoir

Beaucoup de DSI ignorent encore la portée réelle du Cloud Act. Ce texte voté en 2018 oblige tout fournisseur SaaS américain à livrer aux autorités US les données de ses clients, y compris s'ils sont européens et même si l'infrastructure est physiquement en Allemagne ou en Irlande.

Cloud Act : le texte clé

Le Clarifying Lawful Overseas Use of Data Act autorise les autorités fédérales américaines à demander à un opérateur US l'accès à toute donnée détenue, stockée ou traitée, indépendamment de sa localisation. Aucune notification n'est obligatoire pour la cible.

Patriot Act et FISA 702

Section 702 du FISA : surveillance de masse autorisée sur les données de personnes "non-américaines" sans mandat individuel. Combiné au Cloud Act, n'importe quelle donnée hébergée chez Microsoft, Google ou AWS peut être collectée à grande échelle.

Pourquoi le chiffrement ne suffit pas

Si votre fournisseur gère les clés (cas le plus courant : "encryption at rest" managé), il peut être contraint de les remettre. Seul le BYOK avec gestion locale des clés (HSM, vault EU) ou le chiffrement de bout en bout contrôlé client offre une vraie garantie.

Conséquences concrètes pour une PME

Un cabinet d'avocats utilisant Otter expose ses notes d'audience. Un cabinet de conseil utilisant Fireflies expose ses analyses concurrentielles. Un médecin utilisant Zoom AI Companion expose des données de santé. Dans tous les cas : risque RGPD (CNIL), perte de confidentialité, et risque de fuite vers un concurrent américain.

L'alternative souveraine

Hébergement France + LLM France + clés client = Cloud Act inopérant. C'est exactement la promesse de Tensha : OVH France (Roubaix), Mistral Paris, et BYOK pour les Pro+.