LuxOps Sovereign IT Operator
Accueil Infrastructure Souveraineté Sécurité Infogérance IA souveraine Applications Actualités Le groupe Indépendance Contact Espace client ·
← Toutes les actualités
Souveraineté

CLOUD Act : pourquoi un cloud « souverain » ne suffit pas toujours

Une filiale européenne d'un groupe américain reste atteignable. La distinction entre souveraineté juridique, opérationnelle et technologique — et ce que l'on peut réellement garantir.

Le CLOUD ActClarifying Lawful Overseas Use of Data Act, adopté aux États-Unis en 2018 — permet aux autorités américaines d'exiger d'un fournisseur soumis à la juridiction des États-Unis qu'il produise des données qu'il détient ou contrôle, quel que soit le lieu où ces données sont stockées. Y compris en Europe. Y compris chez une filiale.

C'est la raison pour laquelle « hébergé au Luxembourg » et « souverain » ne sont pas synonymes. On peut stocker une donnée à Bettembourg et rester atteignable depuis un tribunal américain, si l'entité qui l'exploite dépend d'un groupe soumis à cette juridiction. La localisation du serveur ne dit rien de la chaîne de contrôle.

Trois souverainetés, pas une

Pour raisonner clairement, il faut distinguer trois niveaux, qui ne se valent pas.

  • La souveraineté juridique — de quelle juridiction relève l'entité qui exploite vos données. Une société de droit luxembourgeois, dont la maison mère n'est pas soumise au CLOUD Act, n'est pas dans la même situation qu'une filiale européenne d'un groupe américain.
  • La souveraineté opérationnelle — qui administre concrètement les systèmes, depuis où, avec quels accès. Une infrastructure de droit européen mais administrée par des équipes soumises à une injonction étrangère reste exposée.
  • La souveraineté technologique — de quelles technologies vous dépendez, et si vous pourriez vous en passer. C'est le niveau le plus exigeant, et le seul que personne ne peut garantir intégralement aujourd'hui.

Ce qu'une filiale européenne ne résout pas

Créer une filiale européenne, chiffrer les données, obtenir des certifications : ces mesures réduisent le risque, elles ne l'annulent pas. Tant que la clé de contrôle — technique ou capitalistique — remonte vers une entité soumise à une juridiction extraterritoriale, la garantie reste conditionnelle. Un RSSI qui ouvre le dossier le verra. Mieux vaut le lui dire avant qu'il ne le découvre.

Ce que l'on peut réellement garantir

La souveraineté juridique et opérationnelle sont atteignables, et démontrables : entité de droit luxembourgeois, administration depuis le territoire, contrats de droit local, absence de dépendance capitalistique extra-européenne. Nous les garantissons et nous acceptons de le prouver.

La limite que nous n'effaçons pas. La souveraineté technologique intégrale — un parc où aucune brique ne dépend d'une technologie soumise à une juridiction étrangère — est un objectif, pas un état acquis. Certaines couches (processeurs, firmwares, quelques logiciels sans équivalent mature) n'ont pas encore d'alternative pleinement souveraine. Nous retirons les dépendances non européennes pièce par pièce, à mesure que des solutions crédibles existent, et nous documentons ce qu'il reste. Un prestataire qui vous promet une souveraineté technologique totale, aujourd'hui, vous vend une affirmation invérifiable.

Une question que cela soulève chez vous ? Parlez à l'ingénieur qui concevra votre architecture — pas à une équipe commerciale.

Parler à un ingénieur →
Signaler un problème sur ce site