CLOUD Act : pourquoi vos données suisses ne le sont peut-être pas.

Beaucoup d'entreprises genevoises pensent leurs données protégées parce qu'elles sont « hébergées en Europe ». La réalité juridique est plus subtile et elle mérite d'être comprise, surtout quand on manipule des données sensibles.

Vous avez choisi un prestataire sérieux. Vos serveurs sont dans un datacenter européen, peut-être même suisse. Sur le papier, vos données ne quittent pas le continent. Et pourtant, selon qui opère réellement ces serveurs, elles peuvent rester accessibles à une autorité étrangère. C'est tout le paradoxe du CLOUD Act, une loi américaine encore mal connue de ce côté de l'Atlantique.

Ce que dit réellement le CLOUD Act

Adopté aux États-Unis en 2018, le Clarifying Lawful Overseas Use of Data Act autorise les autorités américaines à exiger d'une entreprise soumise au droit américain qu'elle leur transmette les données qu'elle détient ; quel que soit le pays où ces données sont physiquement stockées.

Autrement dit : si vos fichiers sont hébergés par un grand fournisseur américain, le fait que les serveurs soient à Francfort, à Dublin ou à Genève ne change rien. L'entreprise reste tenue de répondre à une requête émise sous l'autorité américaine. La localisation géographique du datacenter, argument commercial fréquent, ne constitue donc pas une protection juridique réelle.

Choisir un datacenter européen ne suffit pas : ce qui compte, c'est qui détient juridiquement la clé.

Pourquoi cela concerne aussi les PME suisses

On imagine souvent que ces questions ne touchent que les multinationales. C'est faux. Un cabinet d'avocats genevois qui stocke des dossiers clients, un cabinet médical qui conserve des données de santé, une fiduciaire qui gère des informations financières : tous manipulent des données dont la confidentialité est non seulement attendue, mais souvent légalement exigée.

Pour ces métiers, la question n'est pas théorique. Confier ces informations à une infrastructure soumise à une juridiction étrangère, c'est accepter une zone de flou qu'un client averti ou une autorité de contrôle ; pourrait un jour vous reprocher.

En juin 2025, une confirmation publique

Longtemps, ce risque a été présenté comme purement hypothétique. Puis, devant le Sénat français, un dirigeant de Microsoft France a reconnu publiquement ne pas pouvoir garantir que les données de clients européens échapperaient à une requête des autorités américaines. Une déclaration qui a fait grand bruit, parce qu'elle confirmait noir sur blanc ce que les juristes répétaient depuis des années.

Ce n'était pas un aveu de mauvaise volonté de la part de l'entreprise : c'est une simple conséquence du droit. Tant qu'un fournisseur dépend de la juridiction américaine, il ne peut pas promettre l'inverse de ce que la loi lui impose.

Ce que signifie une souveraineté réelle

La souveraineté des données ne se résume pas à une adresse postale de datacenter. Elle dépend de trois conditions cumulatives :

• La localisation : les données sont physiquement en Suisse.
• La juridiction : l'entreprise qui les opère relève uniquement du droit suisse, sans lien capitalistique ou contractuel avec une société soumise au droit américain.
• La maîtrise de bout en bout : aucun sous-traitant étranger n'intervient discrètement dans la chaîne d'hébergement ou de maintenance.

C'est cette combinaison qui fait la différence entre une souveraineté affichée et une souveraineté tenue. Chez F6, nous opérons notre propre infrastructure dans un datacenter genevois, sans intermédiaire soumis à une loi étrangère. Vos données restent sous la seule juridiction suisse ; non pas comme une promesse marketing, mais comme une conséquence directe de notre structure.

Que faire concrètement ?

La première étape est simple : savoir où sont réellement vos données et qui peut y accéder. Beaucoup de dirigeants découvrent, en posant la question, que leur prestataire s'appuie lui-même sur un fournisseur américain. Ce n'est pas nécessairement un problème pour toutes les données mais cela doit être un choix conscient, pas un angle mort.

Pour les informations sensibles, la bascule vers une infrastructure réellement souveraine est souvent plus simple et moins coûteuse qu'on ne le craint. Elle commence toujours par un état des lieux honnête de votre situation actuelle.