# Immunité Cloud Act US — protection législation extraterritoriale

> Catégorie : **Souveraineté juridique** · Slug : `immunite-cloud-act` · Source canonique : <https://www.hebergeurs-de-donnees-de-sante.fr/criteres/immunite-cloud-act/>

**Définition courte** : Protection contractuelle ET capitalistique contre le US CLOUD Act de 2018, qui permet aux autorités américaines de réquisitionner des données détenues par des entreprises sous juridiction US.

## Statistiques sur les 404 hébergeurs HDS

- ✓ Vérifiés sur source publique : **0**
- ◆ Revendiqués sur source publique : **1**

## Définition

L'**immunité au CLOUD Act US** est la garantie qu'aucune autorité américaine ne peut, par voie légale extraterritoriale, exiger la communication de données détenues par l'hébergeur — même si ces données sont stockées physiquement en France.

Le **US CLOUD Act** (Clarifying Lawful Overseas Use of Data Act, Public Law 115-141, 2018) permet aux autorités fédérales US (FBI, DOJ, etc.) d'émettre une injonction de communication contre **toute entreprise soumise à la juridiction américaine**, indépendamment du lieu où les données sont physiquement stockées. Les hyperscalers américains (AWS, Microsoft, Google) entrent pleinement dans ce champ — y compris pour leurs filiales européennes.

L'immunité ne se déclare pas, **elle se prouve structurellement** par deux conditions cumulatives :

1. **Société sans rattachement à la juridiction US** : pas de société-mère US, pas de filiale US dans le groupe, pas de présence US significative.
2. **Données strictement localisées hors juridiction US** : datacenters en France métropolitaine, opérateurs sans rattachement US.

## Pourquoi c'est important pour un hébergeur HDS

Le risque CLOUD Act n'est pas théorique. Plusieurs précédents documentés :

- **2013-2018, Microsoft Ireland** : litige Microsoft vs DOJ sur la communication d'emails stockés en Irlande. Le CLOUD Act a été voté en 2018 pour clore le débat juridique en faveur des autorités US.
- **Rapport ANSSI 2022** : analyse explicite du risque CLOUD Act pour les SI sensibles français.
- **Avis CNIL 2020-201 sur Doctolib/AWS** : reconnaissance du risque pour les données de santé.

Pour les données de santé sensibles (génétiques, psychiatriques, recherche clinique nominative), l'exposition au CLOUD Act est juridiquement inacceptable pour de nombreux acheteurs publics et privés sensibles.

## Comment ce critère est attribué dans le comparateur

- **✓ Vérifié** : Pappers confirme un capital 100 % français + structure du groupe sans rattachement US identifié + datacenters France exclusivement.
- **◐ Revendiqué** : l'hébergeur affirme l'immunité Cloud Act sans qu'on puisse le confirmer par triple-source (capital + groupe + datacenters).
- **✗ Non** : structure du groupe identifie un rattachement US (maison-mère, filiale significative).
- **? Non documenté** : structure du groupe non vérifiée publiquement.

L'immunité Cloud Act est **dérivée** des critères [Capital 100 % français](/criteres/capital-francais/) + [Datacenters France exclusivement](/criteres/datacenters-france/). Un acteur qui valide ces deux critères valide mécaniquement celui-ci.

## Pour quel profil c'est critique

| Profil | Niveau d'exigence |
|---|---|
| Recherche clinique nominative non pseudonymisée | **Critique** |
| Données génétiques / biobanque | **Critique** |
| Données psychiatriques sensibles | **Critique** |
| Établissements publics (doctrine Cloud au Centre) | **Critique** |
| Hôpital militaire / santé classifiée Diffusion Restreinte | **Critique** (combiné avec SecNumCloud) |
| Données santé standard pseudonymisées | **Important** mais analyse cas par cas |

## Comment un hébergeur peut prouver l'immunité

Trois pièces structurelles :

1. **Capital social** : K-bis + Pappers + chaîne de bénéficiaires effectifs jusqu'au sommet du groupe.
2. **Datacenters** : liste exhaustive des sites physiques utilisés, certifications HDS activité 1 ou contrats de colocation chez des opérateurs certifiés, tous en France métropolitaine.
3. **Sous-traitance** : audit de la supply chain critique (opérateurs réseau, mainteneurs hardware, support, monitoring). Si un sous-traitant critique est sous juridiction US, l'immunité est compromise par capillarité.

Une simple mention « capital français » sur la page about ne suffit pas. La preuve doit être documentaire et reproductible.

## Plus-value vs coût

Pour un acteur déjà structuré ainsi, c'est gratuit — il s'agit de **documenter et communiquer** l'immunité plutôt que la construire.

Pour les clients, c'est un critère qui peut être éliminatoire selon le secteur. Sa vérification est gratuite et prend 30 minutes (Pappers + audit datacenters + audit supply chain critique).

## FAQ

**Le CLOUD Act peut-il vraiment toucher une filiale française d'AWS ?**
Oui, en droit US. La filiale française est juridiquement contrôlée par la maison-mère US, qui est elle soumise à la juridiction US. Une injonction CLOUD Act sur la maison-mère est de facto opposable à toutes les filiales du groupe. AWS, Microsoft, Google le reconnaissent eux-mêmes dans leurs FAQ légales.

**Les contrats Trusted Cloud / EU Cloud Pact protègent-ils ?**
Non, pas juridiquement. Les engagements contractuels d'un hyperscaler US ne lui permettent pas de refuser de se conformer à une loi fédérale américaine — ce serait une violation du droit US, sanctionnée pénalement.

**Et les nouvelles offres « SecNumCloud-compatible » des hyperscalers ?**
Tant qu'elles ne sont pas qualifiées par l'ANSSI au catalogue SecNumCloud, elles n'apportent pas l'immunité juridique. L'ANSSI a explicitement écarté les premières propositions des hyperscalers US sur ce point. À surveiller en 2026 avec l'évolution du référentiel SecNumCloud et l'arrivée d'EUCS au niveau européen.

**Quels acteurs apportent cette immunité de droit ?**
Les acteurs cloud français de souveraineté — typiquement ceux qualifiés SecNumCloud. La liste évolue : voir le catalogue officiel sur cyber.gouv.fr.

## Glossaire

- **CLOUD Act** : Clarifying Lawful Overseas Use of Data Act, Public Law US 115-141 (2018).
- **FISA 702** : section 702 du Foreign Intelligence Surveillance Act, autorise la surveillance de non-Américains.
- **Subpoena** : injonction de communication adressée à une entreprise.
- **Beneficial ownership** : bénéficiaire effectif ultime, à remonter pour vérifier l'exposition juridique.

## Hébergeurs satisfaisant ce critère

### ◆ Revendiqué sur source publique (1)

- [Guardis](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/guardis/)

## Méthodologie et limites

- ✓ **Vérifié** = source publique citée (registre officiel, verbatim site acteur).
- ◆ **Revendiqué** = mention déclarative non vérifiée indépendamment.
- ◐ **En cours** = démarche datée publiquement.
- — **Non documenté** = information non trouvée. **N'implique pas l'absence du service**.
- Méthodologie complète : <https://www.hebergeurs-de-donnees-de-sante.fr/verification/>
- Équité Guardis vs concurrents : <https://www.hebergeurs-de-donnees-de-sante.fr/equite-methodologique/>

---

_Comparateur édité par Hasgard SARL. Publication éditoriale indépendante. Licence CC BY-SA 4.0._
_Variante Markdown brut : ajoutez `.md` à l'URL de n'importe quelle page._