En bref:
- Le Cloud Act américain permet aux autorités d'accéder aux données hébergées par des entreprises américaines, même si elles sont stockées en Suisse. La localisation physique des serveurs ne protège pas contre cette législation, seul le pays d'enregistrement de la maison mère compte. Choisir des prestataires suisses ou européens souverains est essentiel pour garantir la protection juridique des données.
Le Cloud Act américain autorise les autorités des États-Unis à accéder aux données hébergées par des fournisseurs cloud américains, quel que soit le pays où ces données sont physiquement stockées. Cette loi, adoptée en 2018, s'applique à toute entreprise de droit américain et à l'ensemble de ses filiales mondiales. Pour les professionnels et particuliers suisses, l'impact du Cloud Act sur les données suisses est direct : utiliser Microsoft, Amazon Web Services ou tout autre prestataire américain expose vos données à des demandes d'accès des autorités américaines, même si les serveurs se trouvent en Suisse.
Comment le Cloud Act fonctionne-t-il et pourquoi la localisation des données ne suffit pas ?
Le Cloud Act, dont le nom complet est Clarifying Lawful Overseas Use of Data Act, s'applique à toute entreprise de droit américain et à ses filiales mondiales. Une autorité américaine peut adresser une assignation directement au fournisseur, sans passer par les voies diplomatiques traditionnelles ni par les accords d'entraide judiciaire. Le fournisseur est alors légalement contraint de livrer les données demandées.

Le point le plus mal compris de cette loi concerne la localisation physique des serveurs. Beaucoup d'entreprises suisses pensent qu'héberger leurs données sur des serveurs situés en Suisse les protège automatiquement. Ce raisonnement est faux. La juridiction applicable est celle de la maison mère du prestataire, pas celle du datacenter.
Voici les situations concrètes où le Cloud Act s'applique à des données suisses :
- Une PME suisse utilise Microsoft 365 avec des données stockées dans un datacenter à Zurich. Microsoft étant une entreprise américaine, les autorités américaines peuvent exiger l'accès à ces données.
- Un cabinet d'avocats genevois stocke ses dossiers clients sur Amazon Web Services Europe. La maison mère étant américaine, le Cloud Act s'applique intégralement.
- Une administration cantonale utilise Google Workspace avec des serveurs en Europe. La juridiction américaine de Google rend ces données accessibles aux autorités américaines.
- Un particulier suisse utilise un service de stockage en ligne d'un prestataire américain. Ses documents personnels sont soumis aux mêmes règles.
La distinction entre localisation physique et juridiction du prestataire est le cœur du problème. Un datacenter en Suisse géré par une entreprise américaine n'offre aucune protection juridique contre le Cloud Act. La juridiction du prestataire est le seul critère qui compte pour évaluer votre exposition réelle.
Quelles sont les implications concrètes pour la souveraineté des données suisses ?

Les risques liés au Cloud Act pour les données suisses se déclinent sur trois niveaux : juridique, opérationnel et institutionnel.
Responsabilité juridique sous le nLPD et le RGPD
En cas de transmission de données à des autorités étrangères sans base légale conforme, l'entreprise suisse reste responsable devant la loi. La nouvelle loi sur la protection des données (nLPD), entrée en vigueur en septembre 2023, impose des obligations strictes sur les transferts transfrontaliers de données. Les sanctions financières peuvent atteindre 4% du chiffre d'affaires mondial ou 20 millions d'euros. Une entreprise suisse ne peut pas invoquer une contrainte légale américaine pour s'exonérer de ses obligations sous le droit suisse.
L'incident du DFAE : un cas concret en Suisse
L'administration fédérale suisse n'est pas épargnée. Des documents classés « internes » du Département fédéral des affaires étrangères (DFAE) ont été stockés involontairement dans le cloud américain de Microsoft. Un audit interne a identifié des mesures de sécurité insuffisantes. Cet incident illustre que même avec une formation du personnel, la dépendance structurelle aux fournisseurs américains conduit à des fuites de données sensibles.
La Suisse étudie actuellement la création d'un Swiss Government Cloud pour réduire cette dépendance aux prestataires américains, sans rupture totale avec les solutions cloud existantes. Cette démarche reconnaît implicitement que la situation actuelle n'est pas acceptable pour les données gouvernementales sensibles.
Le chiffrement ne protège pas contre le Cloud Act
Beaucoup d'organisations pensent que chiffrer leurs données les met à l'abri. L'ANSSI, l'agence française de cybersécurité, confirme que le chiffrement ne protège pas du Cloud Act. Un fournisseur américain peut être contraint de livrer les clés de déchiffrement aux autorités américaines. Si ces clés sont détenues par le prestataire, le chiffrement devient une protection illusoire.
Les ordres de bâillon (gag orders)
Le Cloud Act autorise les autorités américaines à imposer un secret total sur leurs demandes d'accès. Ces gag orders privent les entreprises suisses de toute possibilité de réaction. Vous ne savez pas que vos données ont été saisies. Vous ne pouvez pas en informer vos clients. Vous ne pouvez pas contester la demande en temps utile. Cette opacité est particulièrement problématique pour les professions soumises au secret professionnel, comme les avocats, les médecins ou les fiduciaires.
Conseil de pro: Avant de signer un contrat avec un prestataire cloud, demandez explicitement si sa maison mère est soumise au droit américain. Un datacenter en Suisse géré par une filiale d'une entreprise américaine ne vous protège pas du Cloud Act.
Quelles stratégies adopter pour limiter les risques liés au Cloud Act en Suisse ?
Aucune mesure isolée ne garantit une protection totale. Une approche combinée alliant gouvernance juridique, sélection des prestataires et politique technique est nécessaire.
Étapes concrètes pour réduire votre exposition
- Cartographier vos données. Identifiez quelles données sont sensibles (données personnelles, secret professionnel, informations financières) et où elles sont actuellement hébergées.
- Vérifier la juridiction de chaque prestataire. La question n'est pas "où sont les serveurs ?" mais "où est enregistrée la maison mère ?". Un prestataire suisse ou européen sans actionnaire américain majoritaire offre une protection juridique réelle.
- Classer les données par niveau de sensibilité. Une classification rigoureuse permet d'utiliser des clouds internationaux pour les données non sensibles (documentation publique, fichiers marketing génériques) tout en réservant les infrastructures souveraines pour les données critiques.
- Adopter le chiffrement côté client avec des clés que vous contrôlez. Si les clés de déchiffrement ne sont jamais transmises au prestataire, le chiffrement offre une protection partielle. Attention : cette protection disparaît si le prestataire détient une copie des clés.
- Réviser les contrats avec vos prestataires. Exigez des clauses contractuelles précisant les obligations de notification en cas de demande d'accès, dans les limites du droit applicable.
- Former vos équipes. Les incidents comme celui du DFAE montrent que les erreurs humaines amplifient les risques techniques. La formation réduit les comportements à risque, mais ne remplace pas un choix de prestataire adapté.
Conseil de pro: Les offres de "sovereign cloud" proposées par des fournisseurs américains (comme les offres cloud gouvernementales de grands acteurs américains) apportent des garanties opérationnelles, mais ne suppriment pas l'exposition juridique tant que la maison mère reste américaine. Lisez les conditions générales avec attention.
Prestataires américains ou suisses : quelles différences concrètes ?
Le choix du prestataire cloud détermine directement votre niveau de protection. Ce tableau compare les deux options sur les critères qui comptent pour les professionnels suisses.
| Critère | Prestataire américain (serveurs en Suisse) | Prestataire suisse ou européen souverain |
|---|---|---|
| Exposition au Cloud Act | Totale, quelle que soit la localisation des serveurs | Nulle si la maison mère est hors juridiction américaine |
| Conformité nLPD | Risquée en cas de transmission forcée | Conforme par défaut |
| Gag orders possibles | Oui, sans notification possible | Non applicable |
| Chiffrement comme protection | Insuffisant si le prestataire détient les clés | Efficace si les clés restent sous contrôle suisse |
| Certification SecNumCloud ou équivalent | Non disponible pour les entités américaines | Disponible pour prestataires européens qualifiés |
| Risque pour le secret professionnel | Élevé (avocats, médecins, fiduciaires) | Faible avec un prestataire souverain |
La différence fondamentale n'est pas technique. Elle est juridique. Un prestataire suisse comme Infomaniak, ou une solution entièrement hébergée en Suisse comme Nectos, n'est pas soumis aux injonctions du Cloud Act. La souveraineté numérique repose sur cette indépendance juridique, pas sur la seule localisation géographique des serveurs.
Les prestataires américains offrent souvent des fonctionnalités avancées et des prix compétitifs. Pour les données non sensibles, leur utilisation peut rester justifiée. Pour les données personnelles, les informations couvertes par le secret professionnel ou les données stratégiques d'entreprise, le risque juridique dépasse largement les avantages opérationnels.
Points clés
Le Cloud Act expose toutes les données hébergées chez des prestataires américains à des demandes d'accès des autorités américaines, indépendamment de leur localisation physique, et seul le choix d'un prestataire souverain hors juridiction américaine garantit une protection juridique réelle en Suisse.
| Point | Détails |
|---|---|
| Juridiction prime sur localisation | La maison mère du prestataire détermine l'exposition au Cloud Act, pas l'adresse du datacenter. |
| Chiffrement insuffisant seul | Si le prestataire détient les clés, les autorités américaines peuvent les exiger légalement. |
| Risque juridique sous le nLPD | Une transmission forcée de données engage la responsabilité de l'entreprise suisse face au droit suisse. |
| Gag orders bloquent la réaction | Les ordres de bâillon empêchent toute notification ou contestation après une saisie de données. |
| Stratégie combinée nécessaire | Gouvernance juridique, classification des données et choix du prestataire doivent fonctionner ensemble. |
Ce que j'ai appris en travaillant sur la souveraineté des données en Suisse
La plupart des débats sur le Cloud Act se concentrent sur les grandes entreprises ou les administrations. C'est une erreur de perspective. Les PME suisses, les cabinets d'avocats de taille moyenne, les cabinets médicaux et même les indépendants sont tout autant exposés. Ils ont souvent moins de ressources pour analyser leurs contrats cloud et moins de visibilité sur la juridiction réelle de leurs prestataires.
Ce qui me frappe, c'est la persistance du mythe du datacenter suisse. Des décideurs bien informés continuent de croire qu'un serveur situé à Zurich les protège automatiquement. La réalité juridique est plus simple et plus sévère : si votre prestataire est américain, vos données sont accessibles aux autorités américaines. Point.
L'autre angle mort concerne le chiffrement. Beaucoup d'organisations investissent dans des solutions de chiffrement en pensant résoudre le problème. Mais si les clés sont gérées par le prestataire, le chiffrement ne change rien à l'exposition au Cloud Act. La protection technique doit s'accompagner d'une indépendance juridique réelle du prestataire.
La bonne nouvelle, c'est que la Suisse dispose d'un écosystème de prestataires souverains capables de répondre aux besoins des professionnels les plus exigeants. Choisir ces prestataires n'est pas un sacrifice fonctionnel. C'est une décision de gestion des risques que tout responsable sérieux devrait pouvoir justifier. Pour les conséquences juridiques concrètes d'un hébergement hors de Suisse, les enjeux en 2026 sont plus élevés que jamais.
— Nectos
Protégez vos données avec une solution souveraine suisse
Nectos est un espace de travail IA entièrement hébergé en Suisse, conçu pour les professionnels et les entreprises qui ne peuvent pas se permettre de voir leurs données transiter vers des serveurs américains. Toutes les données restent sur le territoire suisse, sous juridiction suisse, conformément au nLPD. Nectos n'utilise aucun modèle d'IA partagé avec des tiers américains. L'analyse de documents, les bases de connaissances privées et la transcription de réunions fonctionnent dans un environnement juridiquement protégé contre les injonctions du Cloud Act. Découvrez comment Nectos garantit votre souveraineté numérique au quotidien, ou consultez le Pack Sécurité & Conformité pour une protection adaptée aux exigences suisses.
Questions fréquentes
Qu'est-ce que le Cloud Act et à qui s'applique-t-il ?
Le Cloud Act est une loi américaine de 2018 qui autorise les autorités des États-Unis à accéder aux données détenues par des entreprises de droit américain, quelle que soit la localisation physique de ces données. Elle s'applique à toutes les filiales mondiales de ces entreprises.
Un datacenter en Suisse protège-t-il contre le Cloud Act ?
Non. La localisation physique des serveurs ne détermine pas la juridiction applicable. Si le prestataire est une entreprise américaine ou une filiale d'une entreprise américaine, le Cloud Act s'applique même si les serveurs sont en Suisse.
Le chiffrement des données suffit-il à se protéger du Cloud Act ?
Non. L'ANSSI confirme que le chiffrement ne protège pas du Cloud Act si le prestataire détient les clés de déchiffrement. Les autorités américaines peuvent contraindre le fournisseur à livrer ces clés.
Quels sont les risques juridiques pour une entreprise suisse ?
En cas de transmission de données à des autorités étrangères sans base légale conforme au nLPD, l'entreprise suisse engage sa responsabilité. Les sanctions peuvent atteindre 4% du chiffre d'affaires mondial ou 20 millions d'euros selon le régime applicable.
Comment choisir un prestataire cloud protégé du Cloud Act ?
Choisissez un prestataire dont la maison mère est enregistrée hors des États-Unis, sans actionnaire américain majoritaire. Les prestataires suisses ou européens souverains, sans lien capitalistique avec des entreprises américaines, offrent la seule protection juridique réelle contre les injonctions du Cloud Act.

