Extraterritorialité (CLOUD Act)

Deux textes structurent le sujet. Le CLOUD Act (2018) et le FISA Section 702, reconduit en 2024, qui fondent la capacité des autorités américaines à exiger des données auprès des opérateurs relevant de leur juridiction. La mécanique est simple à énoncer : une entreprise américaine, ou sous contrôle américain, reçoit un ordre légal des États-Unis et doit s’y conformer, même si les données sont stockées en Europe, et même si le droit européen le lui interdit.

Le conflit de lois qui en découle n’a rien d’hypothétique. Il s’est produit avec l’affaire Microsoft Ireland : Washington réclamait des courriels hébergés en Irlande, Microsoft refusait au nom du droit local, et la Cour suprême s’apprêtait à trancher quand le CLOUD Act a réglé le différend par la loi, en consacrant l’accès extraterritorial. Le cas montre que la localisation des serveurs ne tranche pas la question de l’accès.

Le RGPD a ses limites précises. Il protège contre les transferts non encadrés et impose des garanties à la sortie de l’Union, mais il ne neutralise pas un opérateur déjà soumis à une juridiction étrangère par son rattachement capitalistique. Aucune clause contractuelle ne fait disparaître une obligation légale qui pèse sur la maison mère. La seule protection effective, pour des données sensibles, est de ne pas confier ces données à un prestataire soumis à ces lois.