CLOUD Act, FISA et l'illusion du datacenter en France

Il y a une phrase que l'on entend régulièrement dans les réunions de direction informatique, prononcée avec une certaine satisfaction : « Nos données sont hébergées en France, nous sommes protégés. »
Cette affirmation est rassurante.
Elle est aussi, dans bien des cas, fausse.

Le lieu de stockage physique des données n'est pas le critère déterminant en droit américain.
Ce qui compte, c'est la nationalité du prestataire — ou plus précisément, la soumission de ce prestataire à la juridiction des États-Unis.
Et depuis 2018, une loi fédérale américaine, le CLOUD Act, a définitivement tranché la question : si votre fournisseur cloud est américain, vos données peuvent être atteintes par les autorités américaines, peu importe où elles se trouvent physiquement dans le monde.

Mais en avril 2026, un rapport du think-tank européen Future of Technology Institute (FOTI) a élargi le cadre d'un cran supplémentaire.
Ce n'est plus seulement la question de l'accès aux données qui est posée.
C'est celle de la continuité du service lui-même.

Selon ce rapport, plus des trois quarts des pays européens utilisent des services cloud américains pour des fonctions essentielles à leur sécurité nationale — et ces pays sont potentiellement exposés à un mécanisme de coupure à distance, un "kill switch", que Washington pourrait activer unilatéralement en cas de tensions géopolitiques.
Ce n'est plus une hypothèse théorique : l'administration Trump a déjà actionné ce levier, en coupant l'accès aux images satellites de Maxar à l'Ukraine, et en contraignant Microsoft à bloquer les comptes du procureur de la Cour Pénale Internationale.

En d'autres termes : dépendre d'un prestataire cloud américain, c'est s'exposer non seulement à ce qu'il livre vos données à des autorités étrangères, mais aussi à ce qu'il interrompe l'accès à ses services — y compris ses mises à jour de sécurité critiques — sur injonction ou pression politique de Washington.

L'aveu de Microsoft qui a tout changé

Lorsque le sénateur Simon Uzenat lui a demandé s'il pouvait garantir que les données des citoyens français ne seraient « jamais transmises, à la suite d'une injonction du gouvernement américain, sans l'accord explicite des autorités françaises », la réponse d'Anton Carniaux a été sans détour :

« Non, je ne peux pas le garantir. »

Il avait précisé un peu plus tôt : « Quand nous sommes obligés de les donner, nous les donnons. »

Ce témoignage a provoqué une onde de choc dans les milieux spécialisés, tout en confirmant ce que juristes et experts en cybersécurité répètent depuis des années.
Il n'est pas propre à Microsoft : les mêmes contraintes s'appliquent identiquement à Amazon Web Services et à Google Cloud.
La loi ne fait pas de distinction entre les acteurs américains du cloud — elle les concerne tous, sans exception.

✏️ Le CLOUD Act : texte, portée, mécanisme

Adopté par le Congrès américain le 23 mars 2018, le Clarifying Lawful Overseas Use of Data Act (CLOUD Act, H.R. 4943) modifie le Stored Communications Act de 1986 pour y ajouter une disposition explicite d'extraterritorialité.

Son mécanisme est simple : il autorise les autorités américaines — fédérales, locales, voire municipales — à contraindre, par mandat ou assignation judiciaire, tout fournisseur de services établi sur le territoire américain à produire les données de ses clients quel que soit le pays où ces données sont physiquement stockées.

Le CLOUD Act ne se limite pas aux entreprises américaines au sens strict.
Il vise également les filiales étrangères d'entreprises américaines, ainsi que — extension notable — certaines entreprises non américaines qui ciblent le marché américain via des filiales implantées aux États-Unis.

Un prestataire peut théoriquement contester une demande s'il estime qu'elle entre en conflit avec les lois du pays étranger concerné.
Mais cette procédure de contestation reste soumise aux tribunaux américains.
Et pour certains régimes légaux — notamment la section 702 du FISA — aucune contestation formelle n'est même prévue.

Le FISA : la surveillance sans mandat

Si le CLOUD Act est la loi la plus souvent citée dans le débat sur la souveraineté numérique, il ne représente qu'une partie du problème juridique.
L'autre pilier, souvent négligé dans les communications commerciales des hyperscalers, est le Foreign Intelligence Surveillance Act (FISA), et plus particulièrement sa section 702, introduite en 2008.

La différence entre les deux textes est fondamentale :

Le CLOUD Act opère dans un cadre judiciaire.
Il nécessite un mandat ou une assignation, dans le cadre d'une procédure pénale ou de sécurité nationale, et il vise des données spécifiques liées à une enquête précise.
Le prestataire est théoriquement informé et peut — rarement — contester.

La section 702 du FISA fonctionne autrement.
Elle autorise les agences de renseignement américaines — NSA en tête — à collecter, sans mandat individuel et de façon massive, les données numériques de personnes non américaines situées hors des États-Unis.
Elle s'applique dès lors que le traitement des données passe par un fournisseur de services de communication électronique soumis au droit américain.
Ce qui, compte tenu de la place des acteurs américains dans l'infrastructure internet mondiale, représente une part considérable du trafic numérique planétaire.

La section 702 du FISA autorise les agences de renseignement américaines à collecter, sans mandat et de façon massive, les données numériques des personnes non américaines, rappelle Henri d'Agrain, délégué général du Cigref, dans une réaction publiée par LeMagIT en avril 2024.
Il ajoutait, plus directement : « Les entreprises américaines disposent de guichets ouverts auprès des agences de renseignement pour déposer des demandes de recueil d'informations sensibles sur leurs concurrents non-US. »

La distinction cruciale que les hyperscalers brouillent

Face à ces réalités juridiques, les grands fournisseurs cloud américains ont développé un discours bien rodé, qui mêle des éléments vrais et des effets de cadrage trompeurs.

Henri d'Agrain du Cigref résume la confusion entretenue avec précision : il existe une confusion entre la cybersécurité des services cloud — qui permet de se protéger d'accès illégitimes et illégaux — et la protection contre les accès illégitimes, mais légaux des services de renseignements.

En d'autres termes : un service cloud américain peut être parfaitement sécurisé contre les hackers et les cybercriminels (accès illégitimes et illégaux) tout en restant vulnérable à une injonction gouvernementale américaine (accès légitimes — selon le droit américain — mais extraterritoriaux).
Les deux problèmes sont distincts et ne se traitent pas avec les mêmes outils.

Les arguments les plus souvent avancés par les hyperscalers méritent d'être examinés un à un.

Argument 1 : « Aucune donnée d'entreprise européenne n'a jamais été transmise. »

Microsoft, AWS et Google affirment régulièrement ne pas avoir transmis de données d'entreprises ou de gouvernements européens en vertu du CLOUD Act.
Anton Carniaux lui-même a précisé devant le Sénat : « Cela ne s'est encore jamais produit. »

C'est peut-être vrai.
Mais comme le soulève Korben.info, c'est exactement ce qu'on disait avant Snowden, avant PRISM, avant qu'on découvre l'ampleur de la surveillance américaine.
Le fait que cela ne se soit pas encore produit ne constitue pas une garantie juridique.
Il constitue une promesse, fondée sur la bonne foi d'un acteur commercial.

Argument 2 : « Nos données sont chiffrées, donc inaccessibles. »

Le chiffrement protège la confidentialité des données : des données chiffrées livrées à des autorités américaines sont difficilement exploitables sans les clés.
C'est une protection réelle, mais partielle.
Elle ne couvre pas deux autres dimensions du risque.

La première est juridique.
Si le prestataire détient ou peut techniquement accéder aux clés de chiffrement, une injonction légale peut contraindre leur divulgation, rendant le chiffrement inopérant.
Dans les architectures où les clés sont gérées par un tiers souverain externe, comme dans le modèle S3NS, le prestataire américain ne peut effectivement pas livrer les données en clair.
Mais cette architecture a une contrepartie opérationnelle : le CSP ne maîtrise plus l'intégralité de ses SLA, puisque toute opération de déchiffrement dépend de la disponibilité du tiers.
Si ce dernier ne répond pas dans les délais, le service sort des SLA — sans que ce soit la faute du CSP.

La seconde dimension que le chiffrement ne couvre pas du tout est celle de la disponibilité et de l'intégrité du système.
Le rapport FOTI documente qu'un prestataire américain soumis à des sanctions peut être contraint de cesser de délivrer ses patches et correctifs de sécurité à certains clients ou pays.
Ce n'est pas un problème de confidentialité des données.
C'est un problème de maintien en condition de sécurité (MCS) de l'infrastructure logicielle.
Des binaires non patchés accumulent des vulnérabilités connues et exploitables, indépendamment de tout chiffrement.
Ces deux risques (interruption de service et suspension des mises à jour) relèvent du pilier Disponibilité du triptyque CIA (Confidentiality / Integrity / Availability), et non du pilier Confidentialité que le chiffrement adresse.

Argument 3 : « Nos serveurs sont en Europe, donc le droit européen s'applique. »

Contrairement à la croyance populaire, le lieu de stockage des données est secondaire aux yeux des juges américains.
L'élément déterminant est la notion de contrôle.
Si une entité américaine, qu'il s'agisse d'une maison mère ou d'une direction, a la capacité effective ou juridique d'influencer une filiale étrangère, elle est tenue de fournir les données réclamées par les autorités.

Argument 4 : « Nous ne couperons jamais l'accès à nos services. »

Cet argument n'est jamais formulé explicitement par les hyperscalers — il est implicite dans l'ensemble de leurs communications commerciales, qui insistent sur la continuité de service et la fiabilité opérationnelle.
Il mérite pourtant d'être examiné, parce que les précédents existent.

Le rapport FOTI du 17 avril 2026 en documente deux, actionnés par l'administration Trump.

Le premier est l'Ukraine.
En 2025, à la suite d'un échange tendu entre Donald Trump et Volodymyr Zelensky au Bureau ovale, les États-Unis ont privé l'Ukraine de l'accès aux images satellites de la société américaine Maxar — données critiques pour la conduite des opérations militaires ukrainiennes.
Il ne s'agissait pas d'un mandat judiciaire ni d'une procédure CLOUD Act.
C'était une décision politique unilatérale, actionnée en quelques heures.

Le second est la Cour Pénale Internationale.
L'administration américaine a utilisé des sanctions pour contraindre Microsoft à bloquer les comptes de son procureur.
Une entreprise privée américaine, sous pression gouvernementale, a coupé l'accès à ses services à une institution internationale — sans procédure judiciaire formelle.

Ces deux cas illustrent une réalité que les prestataires cloud américains ne peuvent pas nier : leur dépendance au droit et à la politique américaine n'est pas limitée aux procédures judiciaires.
Elle couvre aussi les décisions politiques exécutives, dont l'imprévisibilité est, par définition, non gérable contractuellement.

Argument 5 : « Nos "sovereign clouds" résolvent le problème. »

C'est la réponse commerciale la plus récente.
Elle mérite un examen particulier.

Zoom sur l'AWS European Sovereign Cloud : étanche techniquement, perméable juridiquement

Le 15 janvier 2026, Amazon Web Services a officiellement lancé son AWS European Sovereign Cloud (ESC), basé dans le Brandebourg en Allemagne.
L'annonce a été faite en grande pompe, avec 7,8 milliards d'euros d'investissement annoncés et seize ministres et hauts fonctionnaires européens mobilisés pour saluer « un jalon important ».
La France, fait notable, n'était pas représentée.

L'offre est techniquement sérieuse.
L'AWS European Sovereign Cloud est une partition entièrement dédiée, physiquement et logiquement séparée du reste de l'infrastructure AWS.
Basé dans le Brandebourg en Allemagne, il est établi sous une entité juridique européenne indépendante (AWS European Sovereign Cloud GmbH).
Les opérations sont 100 % européennes, exclusivement gérées par des citoyens de l'UE basés dans l'UE.
Identité et facturation sont séparées du reste d'AWS.

Les garanties opérationnelles sont réelles.
Mais la question juridique reste entière.
L'étanchéité opérationnelle ne constitue qu'une partie du problème : le contrôle capitalistique, lui, demeure entre les mains de la maison-mère américaine, maintenant une capacité théorique de réquisition ou d'injonction légale, indépendamment de la localisation effective des données.
En cas d'injonction judiciaire américaine — CLOUD Act, FISA — la gouvernance locale ne dispose d'aucun moyen juridique d'opposition.

Le diagnostic est confirmé par SoftwareSeni dans une analyse publiée en février 2026 : AWS ESC est opéré par une entité juridique allemande avec une véritable séparation opérationnelle, mais Amazon.com Inc. reste la maison-mère américaine.
Le CLOUD Act s'applique au niveau de la maison-mère, et l'indépendance opérationnelle de la filiale ne rompt pas l'obligation statutaire de la maison-mère de se conformer à un mandat américain.

✏️ AWS European Sovereign Cloud : ce qu'il fait, ce qu'il ne fait pas

Ce que l'ESC apporte réellement :

• Infrastructure physiquement et logiquement séparée des régions commerciales AWS mondiales
• Entité juridique de droit allemand, dirigée par des citoyens UE résidant dans l'UE
• Métadonnées (IAM, logs, facturation, configurations) stockées exclusivement en Europe
• Conformité C5 (équivalent allemand de SecNumCloud), ISO 27001, SOC 1/2/3
• Environ 90 services disponibles au lancement (contre 240+ en régions commerciales)
• Surcoût d'environ +15 % par rapport aux régions commerciales standard

Ce que l'ESC ne garantit pas :

• L'immunité vis-à-vis du CLOUD Act : la maison-mère reste Amazon.com Inc., société de droit américain
• L'immunité vis-à-vis de la section 702 du FISA
• La protection contre une décision politique américaine de suspension de service : si Amazon.com Inc. est soumise à des sanctions ou à une injonction exécutive américaine, l'isolation opérationnelle de la filiale allemande ne constitue pas une protection légale absolue
• La continuité des mises à jour de sécurité en cas de pression ou de sanctions américaines visant l'organisation cliente, son secteur ou son pays — un risque documenté par le rapport FOTI (avril 2026) avec les précédents Maxar/Ukraine et CPI/Microsoft
• La parité de services : au lancement, pas de CloudFront, pas d'instances GPU, la plupart des modèles Bedrock absents
• Trois zones de disponibilité : seulement deux à l'ouverture, en deçà du standard enterprise

Ces mêmes limites s'appliquent, de manière identique, à d'autres founisseurs dont les maisons-mères restent respectivement des sociétés de droit américain.

Le Data Privacy Framework : un accord fragile sur fondations instables

L'accord UE-États-Unis sur le transfert de données personnelles — le Data Privacy Framework (DPF), adopté en juillet 2023 pour succéder au Privacy Shield invalidé par la CJUE en 2020 — est censé apporter un cadre légal sécurisé pour les transferts transatlantiques.
Mais sa solidité est sérieusement questionnée.

Les choses se sont aggravées en janvier 2025.
Le gouvernement Trump a révoqué les membres du Privacy and Civil Liberties Oversight Board (PCLOB) — l'organe américain indépendant chargé de superviser les programmes FISA 702 — le laissant non fonctionnel.
La Commission européenne a cité le PCLOB 31 fois dans sa décision d'adéquation DPF.
Max Schrems a résumé la situation ainsi : « Cet accord a toujours reposé sur du sable. Au lieu de limitations légales stables, l'UE a accepté des promesses exécutives qui peuvent être renversées en quelques secondes. »

Le schéma est bien connu : Safe Harbor est tombé avec l'arrêt Schrems I en 2015 ; le Privacy Shield a suivi avec Schrems II en 2020.
Le DPF fait l'objet d'un recours — le « Latombe challenge » — porté devant la CJUE depuis le 31 octobre 2025.
Un potentiel Schrems III qui, s'il aboutit, fragiliserait à nouveau l'ensemble du cadre juridique des transferts de données vers les États-Unis.

Ce que le RGPD dit — et ce que le CLOUD Act en fait

L'article 48 du RGPD est explicite : une décision d'une juridiction étrangère exigeant le transfert de données personnelles vers ce pays ne peut être reconnue ou exécutoire en Europe que si elle est fondée sur un accord international en vigueur entre ce pays et l'Union européenne.
Un mandat émis dans le cadre du CLOUD Act n'est pas fondé sur un tel accord.
C'est un instrument unilatéral américain.

Le résultat est un conflit de normes structurel : les entreprises européennes utilisant des services cloud américains se retrouvent potentiellement exposées à une double injonction contradictoire.
Le CLOUD Act peut leur imposer de livrer des données.
Le RGPD peut leur interdire de le faire sans une base légale reconnue.
Ce dilemme n'a pas de résolution juridique satisfaisante dans le droit actuel.

✏️ Le « dilemme français » : Health Data Hub et Microsoft

L'affaire du Health Data Hub illustre parfaitement la tension entre impératifs opérationnels et souveraineté juridique — et son coût réel, humain et financier.

Créée en 2019 pour centraliser les données de santé des Français (SNDS), la Plateforme des données de santé a été confiée à Microsoft Azure dès le départ.
L'ancienne ministre de la Santé Agnès Buzyn l'a admis devant la commission d'enquête parlementaire : « Aucune des notes qui me sont remontées de mes services n'a à aucun moment mis en balance le fait que l'on avait d'autres possibilités. »
La question de la souveraineté juridique ne semble tout simplement pas avoir été posée au moment du choix.

Six ans plus tard, la Cour des comptes a livré un bilan accablant devant la même commission, le 17 mars 2026 : la plateforme a coûté 200 millions d'euros pour un retour sur investissement réel chiffré à 500 000 euros — contre les 54 millions initialement attendus.
Les magistrats ont explicitement désigné la "défiance" générée par l'hébergement chez Microsoft Azure comme facteur direct de sous-utilisation de la plateforme.
Une défiance qui n'est pas irrationnelle : elle est la conséquence logique, par les utilisateurs eux-mêmes, de l'exposition juridique documentée dans cet article.

Les parlementaires ont également mis au jour une "opacité" autour de la procédure initiale de sélection, allant jusqu'à s'interroger sur l'égalité de traitement des candidats lors de l'appel d'offres original.

En avril 2026, la Plateforme des données de santé a finalement annoncé sa migration vers Scaleway — opérateur français, de droit européen — après un processus de sélection imposant 350 exigences techniques, lancé via le marché UGAP "Nuage public".
Une migration opérationnelle attendue "fin 2026, début 2027", selon le directeur par intérim Laurent Vilboeuf.
Soit plus de sept ans après un choix initial qui n'aurait jamais dû être fait sans que la question juridique soit posée.

Que reste-t-il comme protection réelle ?

La qualification SecNumCloud 3.2, délivrée par l'ANSSI, reste à ce jour le seul référentiel européen qui impose explicitement l'immunité vis-à-vis des lois extraterritoriales non européennes.
Son article 19.6 exige que le prestataire soit soumis exclusivement au droit européen, avec un contrôle majoritaire européen du capital et de la gouvernance.
Elle ne concerne pas les offres commerciales des hyperscalers américains — par construction.

Cette protection a cependant un prix.
La Cour des comptes l'a documenté devant la commission d'enquête de l'Assemblée nationale en mars 2026 : recourir à une solution qualifiée SecNumCloud représente un surcoût de 25 à 40 % par rapport à une offre cloud classique.
Dans un contexte de contrainte budgétaire forte sur les administrations publiques, cet écart est un frein réel à l'adoption — et il explique en partie pourquoi le cadre protecteur existe sans être massivement utilisé.
C'est le paradoxe central de la souveraineté numérique française : les outils existent, les textes existent, mais le prix de la protection décourage ceux qui en auraient le plus besoin.

La loi SREN (Sécurisation et Régulation de l'Espace Numérique), adoptée en mai 2024 et codifiée à l'article 31 de la loi n°2024-449, ancre SecNumCloud dans le droit positif français pour les données les plus sensibles des administrations.
Elle impose le respect du référentiel pour tout hébergement cloud de données sensibles de l'État.
Mais son application reste dépendante des arbitrages budgétaires et de la volonté politique de faire respecter l'obligation en pratique.

L'EUCS (European Union Cybersecurity Certification Scheme for Cloud Services), le pendant européen de SecNumCloud en cours d'élaboration par l'ENISA, fait l'objet d'un débat politique intense.
Une version préliminaire discutée en avril 2024 avait supprimé les exigences de protection contre l'extraterritorialité pour ses niveaux les plus élevés, suscitant une vive réaction de l'ANSSI et du Cigref.
La version finale, attendue pour 2026, déterminera si l'Europe se dote d'un cadre commun crédible — ou si elle laisse chaque État membre naviguer seul.

Enfin, le signal politique le plus fort de cette période est peut-être institutionnel.
En janvier 2026, l'Assemblée nationale a créé une commission d'enquête — et non un simple rapport d'information — sur les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique.

Ce choix n'est pas anodin : une commission d'enquête dispose de pouvoirs d'investigation renforcés, peut contraindre des témoins à comparaître, et ses conclusions ont un poids politique différent d'un rapport parlementaire ordinaire.

Le fait que trente députés de tous bords y consacrent six mois de travaux intensifs — avec des auditions allant de la Cour des comptes à la CNIL, en passant par Thierry Breton, la directrice générale d'Orange et le général chargé de la transformation numérique de l'OTAN — dit quelque chose d'essentiel sur la gravité avec laquelle la représentation nationale considère désormais ce sujet.
Son rapport final, attendu à l'été 2026, sera probablement la référence législative et politique sur ces questions pour les années à venir.

Ce que cela signifie concrètement pour les organisations

La réalité juridique et opérationnelle décrite dans cet article n'implique pas nécessairement de migrer immédiatement toutes les données vers des prestataires européens.
Elle implique de faire des choix éclairés, fondés sur une analyse honnête du risque qui couvre désormais trois dimensions : l'accès aux données, l'interruption de service, et la suspension des mises à jour de sécurité.

Quatre questions permettent de structurer cette réflexion.

1. Quelle est la sensibilité réelle des données hébergées ?

Pour des données publiques ou non stratégiques, la question de l'extraterritorialité est secondaire.
Pour des données de santé, des secrets d'affaires, des données réglementées (défense, judiciaire, propriété intellectuelle stratégique), le risque est concret et documenté.

2. Quelle est votre dépendance opérationnelle au prestataire ?

Cette question dépasse celle des données.
Si votre organisation ne peut pas fonctionner — même temporairement — sans les services d'un prestataire américain, vous êtes exposé au risque de kill switch documenté par le rapport FOTI.
Une organisation dont la messagerie, les outils collaboratifs, le CRM, l'ERP et les outils de développement sont tous chez le même prestataire américain a une exposition opérationnelle très différente de celle qui n'y héberge qu'une partie de ses données.

3. Quel est votre niveau d'exposition au risque géopolitique ?

Le rapport FOTI identifie 23 pays européens exposés au risque de kill switch pour leurs fonctions de défense et de sécurité nationale.
Mais les entreprises et organisations qui travaillent dans des secteurs stratégiques — défense, énergie, santé, finance, infrastructures critiques — ont un profil de risque différent du reste de l'économie.
La probabilité qu'une tension géopolitique affecte leurs prestataires n'est pas nulle, et la conséquence d'une interruption peut être irréversible.

4. Existe-t-il une alternative opérationnelle crédible ?

La réponse est de plus en plus souvent oui — même si les offres européennes ne couvrent pas encore l'intégralité des services disponibles chez les hyperscalers américains.
Le marché cloud de 180 millions d'euros attribué par la Commission européenne en mars 2026 à des acteurs européens exclusivement en est la démonstration opérationnelle la plus récente.
C'est précisément ce qu'un prochain article de cette série explorera, en dressant un panorama des acteurs et des offres disponibles en France et en Europe.

📌 En conclusion

Héberger ses données en France ou en Europe chez un prestataire américain ne protège pas contre le CLOUD Act ni contre la section 702 du FISA.

Le critère déterminant en droit américain est la nationalité du prestataire — ou plus précisément, sa soumission à la juridiction américaine — et non la localisation physique des serveurs.

Cette réalité a été confirmée sous serment devant le Sénat français par Microsoft en juin 2025.
Elle s'applique de manière identique à AWS et à Google Cloud, pour ne citer que les 3 leaders américains.

Les offres de « sovereign cloud » des hyperscalers américains apportent des garanties opérationnelles réelles mais ne résolvent pas l'exposition juridique fondamentale, tant que la maison-mère reste une société de droit américain.

La seule protection juridique robuste disponible aujourd'hui, en France, est la qualification SecNumCloud 3.2 de l'ANSSI, qui impose l'immunité vis-à-vis des lois extraterritoriales et un contrôle capitalistique européen.

Références

1. Usine Digitale, « Oui, Microsoft peut transmettre les données des Français aux États-Unis — et ce n'est pas nouveau », juillet 2025. usine-digitale.fr
2. Clubic / Mathieu Grumiaux, « Microsoft face au Sénat : l'aveu qui fait vaciller la souveraineté numérique française », juillet 2025. clubic.com
3. Techniques de l'Ingénieur, « Microsoft avoue ne pas garantir la confidentialité des données », août 2025. techniques-ingenieur.fr
4. Wikipedia FR, « CLOUD Act ». fr.wikipedia.org
5. Wikipedia FR, « Foreign Intelligence Surveillance Act ». fr.wikipedia.org
6. CLUSIF, « Guides pratiques — RGPD transfert de données vers les États-Unis », mars 2024. clusif.fr
7. LeMagIT / Bertrand Lemaire, « Espionnage économique par l'IT : les États-Unis renforcent FISA, l'Europe réagira-t-elle ? », avril 2024. lemagit.fr
8. Assemblée nationale, Question écrite n°482, renouvellement du FISA section 702, 2024. questions.assemblee-nationale.fr
9. Oodrive, « Prolongement de la loi FISA : une menace pour nos données », décembre 2024. oodrive.com
10. SoftwareSeni, « How the US CLOUD Act and FISA 702 Create Legal Exposure for EU Cloud Data », février 2026. softwareseni.com
11. IT Social, « AWS European Sovereign Cloud : étanche technologiquement, perméable juridiquement », janvier 2026. itsocial.fr
12. Cloudvisor, « Sovereignty as a Service: The AWS European Sovereign Cloud is Live », avril 2026. cloudvisor.co
13. AWS Blog, « Opening the AWS European Sovereign Cloud », janvier 2026. aws.amazon.com
14. Journal du Net, « AWS lance sa version du cloud souverain mais doit encore convaincre », janvier 2026. journaldunet.com
15. Cafétech, « Amazon lance un cloud "souverain" en Europe », janvier 2026. cafetech.fr
16. BILAN.ch, « Cloud Act : les données en Europe restent accessibles aux USA », décembre 2025. bilan.ch
17. Silicon.fr, « AWS EU Sovereign Cloud : gouvernance et engagements juridiques », janvier 2026. silicon.fr
18. Health Data Hub, communiqué de presse « La Plateforme des données de santé engage sa migration vers un cloud souverain avec Scaleway », avril 2026.
19. ANSSI, SecNumCloud — Référentiel d'exigences, version 3.2, mars 2022. cyber.gouv.fr
20. Loi n°2024-449 du 21 mai 2024, « visant à sécuriser et réguler l'espace numérique » (SREN), article 31.
21. Escaramozzino Legal, « Cybersécurité dans le cloud : certification européenne — LSREN vs EUCS », avril 2024. escaramozzino.legal
22. InfoQ, « AWS Launches European Sovereign Cloud amid Questions about U.S. Legal Jurisdiction », janvier 2026. infoq.com
23. Commission d'enquête de l'Assemblée nationale sur les dépendances numériques
24. Future of Technology Institute (FOTI), rapport du 17 avril 2026, relayé par BFM TV, Reuters.