Guerres du cloud souverain : les mandats de localisation des données face au CLOUD Act américain

La trajectoire de collision

Deux cadres juridiques irréconciliables convergent en 2026, et les plus grandes entreprises technologiques du monde sont prises en étau. D’un côté, les initiatives de souveraineté cloud de l’Union européenne et un nombre croissant de mandats nationaux de localisation des données exigent que certaines catégories de données soient stockées et traitées dans des juridictions spécifiques, hors de portée de tout accès gouvernemental étranger. De l’autre, le CLOUD Act américain affirme que les entreprises technologiques américaines doivent fournir aux forces de l’ordre américaines un accès aux données qu’elles contrôlent, indépendamment du lieu de stockage physique de ces données.

Ces deux régimes juridiques ne peuvent être respectés simultanément dans leur intégralité. Une entreprise européenne utilisant un fournisseur cloud américain se trouve dans un scénario où le fournisseur est simultanément obligé par le droit européen de maintenir les données au sein de la juridiction de l’UE et hors de portée du gouvernement américain, et obligé par le droit américain de produire les données aux autorités américaines sur réception d’une procédure judiciaire valide. Ce n’est pas un conflit hypothétique — c’est une contradiction juridique concrète que les entreprises gèrent au quotidien.

Les enjeux ont considérablement augmenté en février 2026, lorsqu’un câble du State Department daté du 18 février et signé par le secrétaire d’État Marco Rubio a ordonné aux diplomates américains dans le monde de s’opposer aux exigences étrangères de localisation des données. Le câble appelait à « une politique internationale des données plus assertive » et exhortait les diplomates à « contrer les réglementations inutilement contraignantes, telles que les mandats de localisation des données », les caractérisant comme des mesures qui entraveraient la libre circulation des données, augmenteraient les coûts et les risques cybersécuritaires, restreindraient les services d’IA et de cloud, et étendraient le contrôle gouvernemental.

La divulgation du câble a enflammé le débat. Les responsables européens ont répondu en accélérant leurs initiatives de cloud souverain. Plusieurs gouvernements asiatiques et moyen-orientaux ont cité le câble comme preuve que leurs préoccupations en matière de localisation des données étaient fondées. La collision qui se préparait depuis des années est devenue pleinement visible.

L’offensive européenne pour la souveraineté cloud

L’approche de l’UE en matière de souveraineté cloud a évolué d’un concept aspirationnel vers un cadre réglementaire de plus en plus détaillé, bien que des éléments clés restent en débat.

Le European Cloud Services Certification Scheme (EUCS), développé par l’ENISA dans le cadre du Cybersecurity Act de l’UE, établit un système de classification par niveaux pour les services cloud. Les versions antérieures de l’EUCS incluaient des restrictions d’éligibilité explicites fondées sur la souveraineté — telles que la localisation du siège social et les exclusions juridictionnelles pour les fournisseurs non-UE — bien que ces exigences aient été supprimées dans les révisions récentes au milieu d’un débat intense entre les États membres favorisant l’autonomie numérique et ceux privilégiant les marchés ouverts. Le Cadre de Souveraineté Cloud de la Commission européenne, actuellement appliqué comme procédure d’approvisionnement interne à la Commission, devrait être élevé au rang de norme juridique pour tous les acheteurs publics dans le cadre de la révision du Cybersecurity Act en 2026.

Les exigences de souveraineté au niveau le plus élevé imposerait que les données soient stockées exclusivement sur le territoire de l’UE, que l’infrastructure cloud soit détenue et exploitée par des entités non soumises à la juridiction d’un gouvernement non-UE, que les clés de chiffrement soient gérées au sein de l’UE par des entités européennes, et qu’aucun gouvernement non-UE ne puisse contraindre l’accès aux données par quelque mécanisme juridique que ce soit.

Cette dernière exigence est le coeur du conflit. En vertu du CLOUD Act américain, les fournisseurs cloud américains — dont AWS, Microsoft Azure et Google Cloud, qui représentent ensemble environ 70 % du marché européen du cloud selon Synergy Research Group — peuvent être contraints par les tribunaux américains de produire des données indépendamment de leur localisation physique. Les initiatives européennes de cloud souverain sont explicitement conçues pour empêcher cet accès extraterritorial, ce qui signifie que les fournisseurs cloud américains seraient structurellement exclus de l’offre de services au niveau souverain à moins de créer des entités européennes juridiquement indépendantes.

Le règlement e-evidence de l’UE (Règlement 2023/1543), qui entre en vigueur le 18 août 2026, ajoute une couche supplémentaire. Il établit un cadre pour l’accès transfrontalier aux preuves électroniques au sein de l’UE à travers les European Production Orders et Preservation Orders, créant une alternative européenne aux traités d’entraide judiciaire qui régissent actuellement les demandes transfrontalières de données. Le règlement est conçu pour démontrer que l’UE peut faciliter l’accès légitime des forces de l’ordre aux données sans recourir à des mécanismes extraterritoriaux comme le CLOUD Act.

Le CLOUD Act et la riposte du State Department

Le Clarifying Lawful Overseas Use of Data (CLOUD) Act, promulgué le 23 mars 2018, était la réponse américaine au vide juridique créé par l’affaire Microsoft Ireland. Dans cette affaire, Microsoft avait contesté un mandat du FBI de produire des courriels stockés sur des serveurs en Irlande, arguant que le Stored Communications Act ne s’étendait pas aux données détenues à l’étranger. Le Congrès a rendu l’affaire caduque devant la Cour suprême en adoptant le CLOUD Act, qui autorise explicitement les forces de l’ordre américaines à contraindre la production de données auprès de fournisseurs basés aux États-Unis, indépendamment du lieu de stockage des données.

Le CLOUD Act inclut un mécanisme de résolution des conflits avec le droit étranger. Il permet aux fournisseurs américains de contester un ordre de production de données si la conformité violerait les lois d’un « gouvernement étranger qualifié » — un gouvernement ayant conclu un accord exécutif avec les États-Unis prévoyant un accès mutuel aux données. Les États-Unis et le Royaume-Uni ont signé le premier accord de ce type en 2019 (entré en vigueur le 3 octobre 2022), et les États-Unis négocieraient avec l’Australie et le Canada. Cependant, aucun accord CLOUD Act entre les États-Unis et l’UE n’a été finalisé — l’UE et les États-Unis ont convenu de négocier un accord unique plutôt que des accords bilatéraux avec chaque État membre, mais les progrès ont été lents.

Le câble du State Department de février 2026 représente une escalade significative. Auparavant, la position du gouvernement américain sur la localisation des données avait été articulée par les canaux de politique commerciale — dans les négociations commerciales bilatérales, à l’Organisation mondiale du commerce et dans les rapports annuels du US Trade Representative sur les barrières commerciales. Le câble a transféré la contestation dans les canaux diplomatiques, ordonnant aux ambassadeurs et diplomates de haut rang de soulever la question directement avec les ministres des gouvernements étrangers. Les missions diplomatiques ont reçu instruction de contester les réglementations proposées, de surveiller les initiatives émergentes de souveraineté des données et de promouvoir les cadres internationaux tels que le Global Cross-Border Privacy Rules Forum.

La fuite du câble a fourni aux partisans de la souveraineté des données ce qu’ils qualifient de preuve documentaire que le gouvernement américain considère la localisation des données comme une menace pour les intérêts commerciaux américains et travaille activement à saper les initiatives de gouvernance souveraine des données dans le monde entier.

Comment les multinationales réagissent

Prises entre des régimes juridiques incompatibles, les entreprises technologiques multinationales poursuivent plusieurs stratégies, chacune avec des limitations significatives.

La stratégie dominante parmi les grands fournisseurs cloud est la séparation structurelle. AWS a lancé son European Sovereign Cloud en décembre 2025, avec une disponibilité générale annoncée en janvier 2026. Soutenue par un investissement de 7,8 milliards d’euros, l’infrastructure est entièrement située au sein de l’UE, physiquement et logiquement séparée des autres régions AWS, gérée par des entités juridiques européennes dédiées établies en droit allemand, et exploitée exclusivement par des employés résidents de l’UE. AWS s’est engagé à zéro contrôle opérationnel depuis l’extérieur des frontières de l’UE, avec la première région dans le Brandenburg en Allemagne et une expansion prévue en Belgique, aux Pays-Bas et au Portugal.

Microsoft a poursuivi une approche partenariale, travaillant avec Bleu (une coentreprise entre Orange et Capgemini) en France et Delos Cloud (une filiale de SAP) en Allemagne pour créer des offres de cloud souverain conçues pour satisfaire les exigences de certification de sécurité nationale (SecNumCloud en France, Cloud Platform Requirements en Allemagne). Google Cloud a lancé des solutions souveraines incluant Google Cloud Dedicated (exploité avec les partenaires Thales en France et T-Systems en Allemagne) et a établi un Sovereign Cloud Hub à Munich en novembre 2025.

La question cruciale est de savoir si ces séparations structurelles atteignent réellement l’indépendance juridique vis-à-vis du CLOUD Act. Les juristes sont divisés. Certains soutiennent qu’une maison mère américaine peut être contrainte d’ordonner à ses filiales étrangères de produire des données, rendant la structure de filiale inefficace. D’autres soutiennent qu’une filiale indépendante correctement structurée — avec son propre conseil d’administration, sa propre direction et des limitations contractuelles sur le contrôle de la société mère — pourrait résister avec succès à un ordre du CLOUD Act. La question n’a été définitivement tranchée par aucun tribunal.

IBM a adopté une approche différente avec sa plateforme Sovereign Core, annoncée en janvier 2026, qui donne aux clients un contrôle complet sur les clés de chiffrement, les permissions d’accès et la localisation des données. La technologie Keep Your Own Key (KYOK) d’IBM utilise du matériel certifié FIPS 140-2 Niveau 4 pour garantir que même IBM elle-même ne peut accéder aux données des clients. La théorie est que si IBM ne peut pas accéder aux données, un ordre du CLOUD Act dirigé vers IBM ne peut pas contraindre la production de données qu’elle ne peut atteindre.

Les fournisseurs cloud européens — dont OVHcloud, Deutsche Telekom et Scaleway — se positionnent comme des alternatives souveraines intrinsèquement immunisées contre la juridiction du CLOUD Act. Ces fournisseurs ne sont pas soumis au droit américain et ne peuvent être contraints par les tribunaux américains de produire des données. Cependant, les fournisseurs cloud européens ne détiennent collectivement qu’environ 15 % de leur marché domestique, SAP et Deutsche Telekom en tête avec environ 2 % chacun. Malgré un soutien gouvernemental substantiel — incluant plus de 3 milliards d’euros via le programme IPCEI-CIS — ils font face à des défis significatifs pour égaler l’échelle, les capacités et la fiabilité des hyperscalers américains.

Développements en Asie-Pacifique et au Moyen-Orient

La tendance du cloud souverain s’étend bien au-delà de l’Europe. Plusieurs juridictions d’Asie-Pacifique et du Moyen-Orient mettent en oeuvre des exigences de localisation des données qui créent des tensions similaires.

Le Government Regulation No. 71 (GR71) de l’Indonésie exige que les opérateurs de systèmes électroniques publics placent leurs systèmes et données sur le territoire indonésien. Les opérateurs privés disposent de plus de flexibilité mais font face à des exigences d’enregistrement et de supervision. L’application a commencé en octobre 2024, avec des sanctions pouvant atteindre 2 % du chiffre d’affaires annuel pour non-conformité. La réglementation établit un cadre de « données électroniques stratégiques » devant être protégées, couvrant des secteurs incluant le gouvernement, les services financiers et la santé.

Le Vietnam possède l’un des régimes de localisation les plus stricts de l’ASEAN. La Cybersecurity Law et le Décret 53/2022 exigent que les fournisseurs étrangers de télécommunications, de réseaux sociaux, de commerce électronique et de services de paiement stockent localement des données utilisateur spécifiques sur demande du gouvernement. La Law on Data de 2024 (effective en juillet 2025) a étendu la réglementation à toutes les données numériques, introduisant des catégories de « données importantes » et de « données essentielles » soumises à des restrictions de transfert. Une nouvelle Personal Data Protection Law (effective en janvier 2026) introduit des sanctions basées sur le chiffre d’affaires pouvant atteindre 5 % du revenu annuel pour les violations de transfert transfrontalier.

La Personal Data Protection Law (PDPL) de l’Arabie saoudite, en pleine application depuis le 14 septembre 2024, exige que les entreprises stockent les données sensibles et personnellement identifiables en Arabie saoudite sauf si des exemptions spécifiques sont accordées. Les Cloud Computing Services Provisioning Regulations imposent en outre qu’aucune donnée du secteur public ne soit transférée hors du territoire saoudien. Le Royaume a massivement investi dans les infrastructures cloud nationales dans le cadre de Vision 2030, incluant des partenariats avec des fournisseurs américains pour établir des régions cloud basées en Arabie saoudite.

Les Émirats arabes unis ont adopté une approche multicouche, avec la Personal Data Protection Law fédérale (Decree Law No. 45 de 2021) autorisant les transferts transfrontaliers vers les juridictions offrant une protection des données adéquate, tandis que les zones franches comme DIFC et ADGM maintiennent leurs propres cadres avec des listes d’adéquation distinctes. Les EAU permettent les flux de données plus librement que beaucoup de leurs pairs régionaux mais conservent l’autorité juridique de les restreindre.

Le Digital Personal Data Protection Act (2023) de l’Inde, dont les règles provisoires ont été publiées en janvier 2025, a établi un modèle de « liste noire » où les données personnelles peuvent circuler vers n’importe quel pays sauf ceux spécifiquement restreints par le gouvernement central. Bien que le gouvernement n’ait pas encore exercé largement son pouvoir de restriction, le cadre fournit un mécanisme de localisation des données qui pourrait être activé à tout moment, et les fiduciaires de données significatifs font face à des restrictions de transfert supplémentaires.

La trajectoire à long terme

Le conflit du cloud souverain ne se dirige pas vers une résolution — il s’intensifie. Trois facteurs structurels garantissent une escalade continue.

Premièrement, le conflit juridique sous-jacent entre le CLOUD Act et les mandats de souveraineté des données n’a aucune solution diplomatique en vue. Les négociations CLOUD Act entre les États-Unis et l’UE sont en cours depuis 2020 sans produire d’accord. Le désaccord fondamental — la question de savoir si les forces de l’ordre américaines devraient avoir un accès extraterritorial aux données détenues par des entreprises américaines — reflète des visions de la souveraineté véritablement incompatibles qui ne peuvent être facilement conciliées.

Deuxièmement, les enjeux commerciaux sont énormes. Le marché mondial des services d’infrastructure cloud a dépassé les 400 milliards de dollars de dépenses annuelles en 2025, les entreprises américaines détenant la part dominante (AWS à 30 %, Microsoft Azure à 20 %, Google Cloud à 13 % au T2 2025). Les exigences de localisation des données menacent de fragmenter ce marché selon des lignes nationales. À l’inverse, l’absence d’exigences de localisation laisse les gouvernements et entreprises non américains dépendants d’une infrastructure contrôlée par des entités soumises à la juridiction américaine — une dépendance que de nombreux gouvernements considèrent comme un risque de souveraineté inacceptable.

Troisièmement, le nombre de juridictions mettant en oeuvre des exigences de localisation des données augmente. Début 2023, l’OCDE avait identifié 100 mesures de localisation des données dans 40 pays, dont plus de la moitié apparues au cours de la décennie précédente. Plus des deux tiers combinaient des exigences de stockage local avec une interdiction de transfert — la forme la plus restrictive. Ce décompte a continué d’augmenter depuis, chaque nouvelle disposition ajoutant de la complexité au paysage mondial de conformité cloud.

Le résultat le plus probable à moyen terme est une fragmentation continue. Les fournisseurs cloud maintiendront de multiples entités juridiquement séparées et des piles d’infrastructure pour servir différentes zones réglementaires. Les clients feront face à des coûts plus élevés à mesure que les efficiences de l’infrastructure cloud mondiale seront sacrifiées aux exigences de souveraineté. Et les gouvernements continueront d’affirmer leur autorité sur les données générées et traitées sur leur territoire, même si ces données deviennent de plus en plus centrales à une activité économique intrinsèquement mondiale.

Pour les leaders technologiques et les décideurs politiques, les guerres du cloud souverain ne sont pas un problème à résoudre mais une condition à gérer. La tension entre souveraineté des données et commerce numérique mondial est une caractéristique permanente du paysage technologique moderne, et les stratégies doivent être conçues pour naviguer indéfiniment dans cette tension plutôt que pour la résoudre.

Sources et lectures complémentaires

• US Tells Diplomats to Lobby Against Foreign Data Sovereignty Laws — TechCrunch
• Opening the AWS European Sovereign Cloud — Amazon Web Services
• E-Evidence Regulation: New Obligations for Service Providers from 2026 — Heuking
• European Cloud Providers’ Local Market Share Holds Steady at 15% — Synergy Research Group
• Landmark US-UK Data Access Agreement Enters into Force — US Department of Justice
• IBM Introduces New Software to Address Growing Digital Sovereignty Imperative — IBM Newsroom
• The Nature, Evolution and Potential Implications of Data Localisation Measures — OECD
• Cloud Sovereignty Framework — European Commission