Souveraineté numérique et Cloud Act : ce que risquent les professionnels de l’informatique

Article rédigé en collaboration avec Bisatel Telecom

Le Cloud Act, une loi à portée mondiale

Adopté aux États-Unis en 2018, le Clarifying Lawful Overseas Use of Data Act autorise les autorités fédérales américaines à contraindre tout fournisseur de services numériques de droit américain à transmettre des données. Cette obligation s’applique quelle que soit la localisation géographique des serveurs. Une entreprise française qui héberge ses données dans un datacenter parisien géré par Microsoft ou Amazon reste juridiquement exposée aux injonctions de Washington.

Le principe d’extraterritorialité n’est pas nouveau. Mais le Cloud Act l’a systématisé pour les données numériques. Une audition au Sénat français, en 2025, a produit un constat retentissant dans les cercles politiques européens : même avec une résidence des données en Europe, un fournisseur dont le siège est aux États-Unis ne peut pas garantir que les autorités américaines n’accéderont jamais aux données de ses clients. Le RGPD encadre le traitement des données personnelles. Il ne bloque pas une injonction judiciaire émise depuis Washington.

Ce point est essentiel. De nombreuses entreprises françaises croient que le choix d’un datacenter localisé en France suffit à les mettre à l’abri. C’est une erreur d’appréciation fréquente. Ce qui compte, c’est la nationalité juridique du fournisseur, pas la géographie du serveur. Un cabinet médical, un bureau d’études industriel ou une PME de services informatiques qui utilise Azure, Google Workspace ou AWS s’expose à ce risque structurel, en toute ignorance dans bien des cas.

Les professionnels de l’informatique en première ligne

Les techniciens de maintenance, les intégrateurs et les gérants de boutiques sont souvent les interlocuteurs de proximité des PME sur ces questions. Leurs clients leur font confiance pour configurer les infrastructures, choisir les solutions de stockage et déployer les équipements connectés. Cette position de confiance crée une responsabilité directe.

Un intégrateur qui installe une solution IoT industrielle ou un système de gestion pour une PME doit désormais inclure la question de la souveraineté des données dans son diagnostic. Les données produites par les équipements connectés transitent souvent vers des plateformes cloud américaines. Les contrats de maintenance et les offres de connectivité sont rarement analysés sous cet angle. Ce sont pourtant des points de vulnérabilité réels, documentés et de plus en plus scrutés par les donneurs d’ordre publics.

La CNIL a déjà mis en demeure des entreprises françaises bien connues, dont Microsoft et Google, pour risque d’accès illégal aux données. Ces décisions ont un effet pédagogique. Elles montrent que la conformité réglementaire ne se limite plus à la gestion des accès et à la mise à jour des systèmes. Elle s’étend à la chaîne complète de traitement des données : stockage, transit, connectivité, accès tiers.

Les revendeurs et les techniciens qui accompagnent leurs clients vers des solutions conformes se positionnent comme des partenaires stratégiques. Ceux qui ignorent cette dimension s’exposent à des questions difficiles lors des audits de sécurité ou des incidents de conformité. La directive NIS2, en cours de transposition en droit français, élargit ces obligations à environ 15 000 entités : le sujet descend désormais jusqu’aux PME et aux ETI.

L’Europe reprend la main : du CADA au cloud souverain

La réponse européenne prend de l’ampleur. Le 3 juin 2026, la Commission européenne a présenté le Cloud and AI Development Act. Ce texte dote les acheteurs publics d’un cadre à quatre niveaux de souveraineté, de la simple localisation européenne des infrastructures jusqu’au contrôle capitalistique européen du fournisseur et à l’absence d’ingérence d’un État tiers. Le signal politique est fort : Bruxelles entend créer des alternatives crédibles aux hyperscalers américains dans les secteurs sensibles.

En France, la dynamique est déjà engagée. Le gouvernement a ordonné à 2,5 millions de fonctionnaires de migrer vers des outils souverains, en remplacement de Zoom et Microsoft Teams. Cette décision, pilotée par la DINUM, doit être effective d’ici 2027. Elle s’appuie sur le label « Cloud de confiance », renforcé en 2025-2026. Ce label exclut désormais les clouds non souverains de tous les traitements de données sensibles de l’État. Les fournisseurs doivent démontrer que leurs infrastructures sont hébergées en France et opérées par des entités de droit français.

Le décret d’application de la loi SREN, publié le 16 avril 2026, va dans le même sens. Il impose aux administrations d’héberger leurs données sensibles chez des prestataires conformes au référentiel de l’ANSSI. Ces textes créent une demande nouvelle pour les acteurs capables de justifier d’une chaîne numérique souveraine.

Repenser la chaîne numérique de bout en bout

La souveraineté numérique ne se limite pas au choix du prestataire cloud. Elle concerne l’ensemble de la chaîne : les applications, les données, mais aussi les couches de connectivité. Un équipement IoT qui remonte ses données via un réseau mobile dépendant d’une infrastructure extraterritoriale pose les mêmes questions de fond qu’un fichier hébergé sur un serveur américain. Le tuyau compte autant que le stockage.

Les professionnels de l’informatique ont un rôle à jouer à chaque niveau de cette chaîne. Ils peuvent orienter leurs clients vers des solutions d’hébergement souverain, des architectures de chiffrement zero-trust et des opérateurs de connectivité de droit français. Cette approche globale est cohérente avec les exigences réglementaires en cours de durcissement.

Des acteurs comme Bisatel Telecom proposent des solutions de connectivité mobile, SIM, eSIM et IoT dans le cadre d’une offre MVNO à marque blanche. Pour les intégrateurs et les revendeurs, ce type de partenariat local permet d’élargir leur catalogue tout en répondant aux attentes croissantes de leurs clients en matière de maîtrise des données et d’indépendance vis-à-vis des grandes plateformes américaines.

Le Cloud Act a rendu visible un problème structurel que beaucoup ignoraient. La réglementation européenne en cours d’adoption le transforme en obligation de conformité. Pour les professionnels de l’informatique de proximité, c’est une opportunité de repositionnement. Proposer une infrastructure souveraine de bout en bout, de la connectivité jusqu’au stockage, devient un argument différenciant. À condition de disposer des bons partenaires.