Publié le 13 juillet 2026 · Souveraineté & conformité
CLOUD Act et FISA 702 : ce que ça change pour vos données de sécurité
Deux textes américains reviennent systématiquement dans les débats sur la souveraineté des données cloud : le CLOUD Act (2018) et la Section 702 du FISA. Tous deux ont une portée extraterritoriale : ils peuvent atteindre des données situées hors des États-Unis dès lors que l’entité qui les contrôle relève du droit américain. Pour une organisation européenne, la question n’est donc pas seulement « où sont mes données ? » mais « à quel droit est soumise l’entreprise qui les traite ? ».
Cet enjeu devient critique pour un type de données particulier : celles produites par un outil de sécurité. Un CNAPP cartographie l’intégralité de votre surface d’attaque. Confier cette cartographie à un éditeur soumis à une législation extraterritoriale, c’est un angle mort rarement évalué au moment du choix. Cet article explique factuellement ce que ces lois permettent, pourquoi les données d’un CNAPP sont sensibles, et ce que devraient exiger les organisations régulées.
Le CLOUD Act : le contrôle prime sur la localisation
Le Clarifying Lawful Overseas Use of Data Act, adopté aux États-Unis en 2018, a clarifié une question longtemps débattue : une autorité américaine peut-elle exiger d’un fournisseur des données stockées à l’étranger ? Le texte répond par l’affirmative. Un fournisseur de services de communication ou de cloud soumis à la juridiction américaine doit communiquer, sur réquisition légale valide, les données qu’il possède, détient ou contrôle, indépendamment du lieu où elles sont physiquement stockées.
Le critère déterminant est donc le contrôle, pas la localisation. Des données hébergées dans un centre de données situé en Union européenne peuvent rester dans le champ d’une demande si l’entité qui les contrôle relève du droit américain — par exemple une société américaine, ou une filiale européenne détenue par un groupe américain. Autrement dit, héberger « en Europe » ne suffit pas à écarter l’exposition : encore faut-il que l’entreprise qui traite la donnée ne soit pas, elle-même, dans le périmètre du droit extraterritorial américain.
Le CLOUD Act prévoit certes des garde-fous — possibilité pour le fournisseur de contester une demande, mécanisme d’accords bilatéraux entre gouvernements — mais ces protections restent encadrées par le droit américain et n’effacent pas le principe de base : le contrôle emporte l’obligation, où que soit la donnée.
La Section 702 du FISA : la surveillance à visée étrangère
La Section 702 du Foreign Intelligence Surveillance Act relève d’une logique différente. Là où le CLOUD Act encadre des réquisitions ciblées, généralement dans un cadre pénal, la Section 702 organise un programme de renseignement : elle autorise les agences américaines à collecter des communications de personnes non américaines situées hors des États-Unis à des fins de renseignement extérieur, en contraignant les fournisseurs de services de communication électronique établis aux États-Unis à y coopérer.
Pour une organisation européenne, la Section 702 est doublement préoccupante. D’abord parce qu’elle vise précisément les personnes et entités non américaines — c’est-à-dire vous. Ensuite parce qu’elle s’exerce dans un cadre de renseignement, avec moins de transparence individuelle qu’une réquisition judiciaire classique. C’est cette section qui a nourri, au fil des années, les décisions européennes successives sur l’encadrement des transferts de données transatlantiques et les garanties jugées nécessaires face aux programmes de surveillance américains.
Ensemble, ces deux textes dessinent une réalité simple : une entreprise soumise au droit américain peut être contrainte de communiquer des données, dans un cadre pénal (CLOUD Act) comme dans un cadre de renseignement (FISA 702), y compris pour des données détenues hors des États-Unis et concernant des ressortissants européens.
Pourquoi les données d’un CNAPP sont particulièrement sensibles
Toutes les données ne se valent pas. Un fichier bureautique ou une base clients sont sensibles, mais restent des données métier. Un CNAPP produit une catégorie à part : la cartographie complète de votre surface d’attaque. Pour fonctionner, il inventorie en continu vos ressources cloud, lit vos configurations, calcule les permissions effectives de vos identités, recense vos vulnérabilités, et surtout reconstruit les chemins d’attaque exploitables vers vos actifs les plus critiques.
Autrement dit, un CNAPP concentre en un seul endroit la vue la plus offensive qui soit de votre système d’information : où sont vos données sensibles, quelles machines sont exposées à Internet, quelles CVE sont exploitables, quels rôles permettent une escalade de privilèges, et par quel enchaînement une combinaison toxique mène de l’extérieur jusqu’à vos données. C’est, littéralement, le plan que rêverait d’obtenir un attaquant.
Exposer cette cartographie à une juridiction étrangère — ou à un éditeur soumis à des obligations de divulgation extraterritoriales — revient à concentrer un risque à l’endroit précis où l’on déploie un outil censé le réduire. La logique de réduction du risque voudrait au contraire que la vue la plus sensible de votre SI reste dans un périmètre juridique que vous maîtrisez.
La nuance SecNumCloud : elle qualifie l’hébergeur, pas l’outil
Beaucoup d’organisations pensent régler la question en exigeant un hébergement SecNumCloud. Le référentiel de l’ANSSI comporte effectivement des exigences d’immunité vis-à-vis des législations extraterritoriales, et il constitue un marqueur solide de cloud souverain. Mais il faut être précis sur son périmètre : SecNumCloud qualifie les hébergeurs et fournisseurs d’infrastructure cloud — pas les outils de sécurité qui s’exécutent au-dessus.
Un CNAPP n’est donc jamais « SecNumCloud » en tant que tel : l’expression n’a pas de sens au regard du référentiel. Vous pouvez déployer un outil de sécurité sur une infrastructure parfaitement qualifiée et, malgré tout, confier vos données à un éditeur soumis au droit américain. La souveraineté de l’hébergement et celle de l’outillage sont deux couches distinctes, et la première ne couvre pas la seconde. Nous détaillons cette distinction dans notre page CNAPP souverain.
Ce que devraient exiger les organisations européennes et régulées
Pour un outil de sécurité, la souveraineté se vérifie sur des critères concrets, indépendamment du label d’hébergement. Trois exigences structurent le choix.
Des données maîtrisées en Union européenne. Non seulement stockées, mais traitées dans l’UE — car le traitement (analyse, corrélation, enrichissement) manipule lui aussi la cartographie sensible. Demandez où s’exécutent concrètement les traitements, pas seulement où reposent les sauvegardes.
Un éditeur non soumis au droit extraterritorial américain. C’est le critère décisif, et le plus souvent négligé. La localisation d’un centre de données ne change rien si l’entité qui contrôle la donnée relève du CLOUD Act ou du FISA 702. Vérifiez la chaîne de contrôle capitalistique : un éditeur européen indépendant, sans maison mère ni actionnaire de contrôle extra-européen, n’entre pas dans le champ de ces textes.
La réversibilité. La capacité de récupérer vos données dans un format exploitable et de quitter la solution sans dépendance technique, contractuellement garantie. La réversibilité est le corollaire pratique de la souveraineté : sans elle, l’indépendance affichée reste théorique. Ces exigences recoupent celles portées par des cadres réglementaires comme DORA pour le secteur financier, en vigueur depuis le 17 janvier 2025.
La question a d’ailleurs gagné en acuité avec la consolidation du marché : depuis la finalisation du rachat de Wiz par Google le 11 mars 2026, le principal CNAPP jusque-là indépendant appartient à un hyperscaler américain. Nous revenons sur ses implications et sur les alternatives européennes dans un article dédié.
L’approche Cyvex
Cyvex est un éditeur français indépendant, sans maison mère ni actionnaire de contrôle extra-européen. Les données que nous traitons restent en Union européenne, et nous sommes soumis au droit français et européen, non aux législations extraterritoriales américaines. C’est cette couche — la souveraineté de l’outillage de sécurité — que nous adressons, en complément d’un hébergement souverain que vous choisissez par ailleurs. Pour approfondir ce positionnement, consultez notre page CNAPP souverain.
Questions fréquentes
Le CLOUD Act s’applique-t-il aux données stockées en Europe ?
Oui. Le CLOUD Act repose sur un critère de contrôle, pas de localisation : une entreprise soumise à la juridiction américaine peut être contrainte de communiquer des données qu’elle possède, détient ou contrôle, où qu’elles soient stockées physiquement, y compris dans un centre de données situé en Union européenne. Le simple fait d’héberger la donnée en Europe ne la met donc pas hors de portée si l’entité qui la contrôle relève du droit américain.
Une filiale européenne d’un éditeur américain échappe-t-elle au droit US ?
Pas nécessairement. Le critère déterminant est le contrôle exercé sur la donnée. Si une filiale établie dans l’UE est détenue ou contrôlée par une société mère américaine, la donnée qu’elle traite peut rester dans le champ d’une demande fondée sur le CLOUD Act adressée au groupe. La localisation du siège de la filiale et l’hébergement en UE ne suffisent pas à eux seuls à écarter l’exposition au droit extraterritorial américain : c’est la chaîne de contrôle capitalistique et juridique qui compte.
Pourquoi les données d’un CNAPP sont-elles particulièrement sensibles ?
Un CNAPP cartographie l’ensemble de votre surface d’attaque : inventaire des ressources, configurations, identités et permissions, vulnérabilités, et chemins d’attaque exploitables vers vos données sensibles. C’est la vue la plus complète et la plus offensive de votre système d’information — précisément celle qu’un attaquant chercherait à obtenir. Exposer cette cartographie à une juridiction étrangère revient à concentrer un risque là où l’on installe un outil censé le réduire.
SecNumCloud protège-t-il contre le CLOUD Act ?
SecNumCloud, le référentiel de l’ANSSI, inclut des exigences d’immunité face aux législations extraterritoriales, mais il qualifie les hébergeurs et fournisseurs d’infrastructure cloud — pas les outils de sécurité qui s’exécutent au-dessus. Un CNAPP n’est donc jamais « SecNumCloud » en tant que tel. Pour l’outillage de sécurité, la protection se joue sur d’autres critères : un éditeur non soumis au droit extraterritorial américain, des données traitées en UE, et une réversibilité contractuelle. Les deux couches sont complémentaires.
Vous évaluez l’exposition juridique de votre outillage de sécurité cloud ? Parlons de votre contexte — secteur, contraintes de conformité, périmètre multicloud — et voyons ce qu’un CNAPP souverain, dont les données restent en Union européenne, changerait concrètement pour votre organisation.
Échanger avec un expert Cyvex →