Cloud Act 2026 : pourquoi votre hébergeur américain expose vos données

Le Cloud Act est une loi fédérale américaine adoptée le 23 mars 2018. Elle oblige toute société de droit américain à transmettre aux autorités fédérales US les données qu’elle contrôle, quel que soit le pays où ces données sont physiquement stockées. Si votre hébergeur est américain — AWS, GoDaddy, Cloudflare, ou tout prestataire dont la maison-mère est incorporée aux États-Unis — vos données clients sont potentiellement accessibles aux autorités américaines, même si les serveurs sont localisés en France ou en Europe. Cette situation crée un conflit direct, structurel et non résolu avec le RGPD.

Vous avez choisi un hébergeur affichant « serveurs en France » en pensant être protégé par le RGPD. C’est une erreur juridique fréquente — et en 2026, elle est de moins en moins tolérée. La CNIL a prononcé 486 millions d’euros d’amendes en 2025, soit neuf fois plus qu’en 2024, avec 67 sanctions sur 83 visant des PME via procédure simplifiée. En décembre 2025, un rapport juridique commandé par le ministère allemand de l’Intérieur a confirmé que le Cloud Act, combiné au FISA 702, permet aux agences américaines d’accéder à toute donnée contrôlée par une entreprise de droit américain, où qu’elle soit hébergée.

Cet article examine quels hébergeurs sont réellement concernés, pourquoi cette situation contredit le RGPD, et comment choisir — ou migrer vers — un hébergeur français non soumis à cette loi. Tarifs et certifications vérifiés en mai 2026.

Qu’est-ce que le Cloud Act — et ce qui a changé depuis 2018 ?

La loi de 2018 : un texte né d’un conflit Microsoft-FBI

Le Cloud Act — Clarifying Lawful Overseas Use of Data Act — est une loi fédérale américaine adoptée le 23 mars 2018. Elle est née d’un bras de fer entre le FBI et Microsoft.

En 2013, le FBI réclame à Microsoft des données stockées sur des serveurs situés en Irlande dans le cadre d’une enquête pour trafic de drogue. Microsoft refuse : les données sont en Europe, le droit américain ne s’applique pas. Cinq ans de procédure s’ensuivent. En 2016, Microsoft gagne en appel. Le gouvernement américain saisit la Cour suprême. Le Cloud Act tranche le débat avant même que la Cour suprême ne statue — en faveur du gouvernement américain.

Il pose deux règles que tout utilisateur d’hébergeur américain doit connaître :

• Accès extraterritorial obligatoire → toute entreprise de droit américain doit remettre aux autorités fédérales les données qu’elle contrôle, peu importe où elles sont stockées → ce que ça vous coûte concrètement : vos données clients hébergées « en France » chez AWS ou GoDaddy peuvent être transmises aux autorités américaines sans que vous en soyez informé
• Accords bilatéraux accélérés → les États-Unis peuvent signer des accords avec des pays étrangers pour court-circuiter les procédures d’entraide judiciaire internationale → ce que ça change pour vous : le mécanisme de protection juridique classique — long, incertain, souvent efficace — disparaît

En clair : avant le Cloud Act, un hébergeur américain pouvait résister à une demande de données étrangères en invoquant la localisation des serveurs. Depuis 2018, cette défense n’existe plus.

FISA 702 et rapport Cologne 2025 : l’arsenal s’est renforcé

Le Cloud Act n’est pas isolé. Il s’inscrit dans un ensemble législatif américain de surveillance des données qui s’est consolidé entre 2018 et 2026.

Le FISA 702 — section 702 du Foreign Intelligence Surveillance Act — autorise les agences de renseignement américaines (NSA, FBI, CIA) à collecter des communications électroniques de ressortissants étrangers stockées par des prestataires américains, sans mandat judiciaire individuel. Cette disposition a été prolongée jusqu’en avril 2026, puis potentiellement reconduite.

En décembre 2025, un rapport juridique commandé par le ministère allemand de l’Intérieur — rédigé par l’université de Cologne, maintenu confidentiel avant d’être rendu public — apporte une confirmation officielle : Cloud Act et FISA 702 combinés permettent aux agences américaines d’accéder à toute donnée hébergée hors des États-Unis dès lors qu’elle est contrôlée par une entité de droit américain.

Ce que ce rapport signifie pour vous :

• Vous utilisez AWS, Google Cloud ou Azure → vos données sont potentiellement accessibles aux agences américaines, même si vos serveurs sont à Paris ou Francfort → risque de violation RGPD sans que vous ayez commis la moindre erreur de configuration
• Vous utilisez un hébergeur dont vous ne connaissez pas la nationalité juridique → vous ignorez peut-être que vous êtes dans ce cas → 10 minutes de vérification dans les CGU de votre hébergeur peuvent changer votre exposition juridique
• Vous pensez que « ça n’arrive qu’aux grandes entreprises » → les 67 sanctions CNIL sur 83 prononcées en 2025 via procédure simplifiée visaient des structures de taille modeste → la taille de votre entreprise ne vous protège pas

Quels hébergeurs sont concrètement soumis au Cloud Act ?

La règle clé : nationalité juridique, pas localisation des serveurs

C’est l’erreur de raisonnement la plus répandue — et la plus coûteuse. Beaucoup d’utilisateurs choisissent un hébergeur en vérifiant la localisation des datacenters : « serveurs en France », « datacenter Paris », « hébergement Europe ». Cette information est réelle. Elle est aussi juridiquement insuffisante.

Ce qui détermine l’applicabilité du Cloud Act, c’est la nationalité juridique de l’entreprise qui opère vos données — pas la carte où sont physiquement installés ses serveurs.

• Votre hébergeur a son siège aux États-Unis → Cloud Act applicable → vos données peuvent être réquisitionnées par les autorités fédérales américaines, quel que soit le pays du datacenter → vous ne contrôlez plus qui accède aux données de vos clients
• Votre hébergeur est une filiale d’un groupe américain → même conséquence → un contrat stipulant « données hébergées en Europe » ne change pas la juridiction applicable → vos clauses contractuelles ne valent rien face à une ordonnance fédérale américaine
• Votre hébergeur est une société de droit européen, sans actionnaire majoritaire américain → Cloud Act non applicable → vos données restent sous juridiction européenne et sous protection RGPD

AWS, GoDaddy, Cloudflare, Azure — le cas des géants américains

Hostinger, SiteGround, Bluehost — le cas des hébergeurs « européens »

Hostinger est une société de droit lituanien dont le siège social est à Vilnius — État membre de l’Union européenne. En tant que société incorporée en Lituanie, elle n’est pas directement soumise au Cloud Act au sens strict. C’est une distinction importante que de nombreux articles omettent. Deux points de vigilance subsistent : la structure actionnariale exacte d’Hostinger International Ltd. mérite vérification, et certains sous-traitants technologiques peuvent être de droit américain — à vérifier dans leur DPA.

Pourquoi le Cloud Act contredit directement le RGPD ?

Un conflit de lois sans solution intermédiaire

Le problème n’est pas une zone grise juridique. C’est une contradiction frontale entre deux systèmes législatifs qui s’appliquent simultanément au même hébergeur.

• Le RGPD (articles 44 à 49) interdit tout transfert de données personnelles de citoyens européens vers un pays tiers sans garanties adéquates. Vous devez pouvoir démontrer que vos données ne quittent pas un cadre juridique protecteur.
• Le Cloud Act oblige ce même hébergeur à transmettre les données aux autorités américaines sur ordonnance d’un tribunal fédéral — sans nécessairement en informer le client, et sans attendre l’aval d’une juridiction européenne.

Le résultat est ce que les juristes qualifient d’impossibilité juridique : l’hébergeur ne peut pas simultanément respecter les deux lois. S’il obéit au Cloud Act, il viole potentiellement le RGPD. S’il résiste au Cloud Act, il viole la loi américaine.

Ce conflit a des conséquences directes pour vous :

• Vous ne pouvez pas garantir à vos clients que leurs données ne seront pas transmises à des tiers → or le RGPD vous impose exactement cette garantie → risque de violation de vos obligations contractuelles et réglementaires
• En cas de réquisition Cloud Act, vous n’êtes pas nécessairement informé → vous ne pouvez ni alerter vos clients ni exercer vos droits → perte totale de contrôle sur vos données, sans possibilité de réaction
• Le juge américain ne tient pas compte du RGPD → il applique la loi américaine → vos clauses contractuelles « conformes RGPD » avec votre hébergeur ne valent rien face à une ordonnance fédérale américaine

Le Data Privacy Framework (2023) ne règle pas le problème

En juillet 2023, la Commission européenne a adopté le Data Privacy Framework (DPF) — le successeur du Privacy Shield, invalidé par la Cour de justice de l’UE en juillet 2020 (arrêt Schrems II). Le DPF tente de créer un cadre permettant les transferts commerciaux de données personnelles entre l’UE et les États-Unis.

Dans la pratique, deux limites majeures subsistent :

• Le DPF encadre les transferts commerciaux — il ne suspend pas le Cloud Act. Une ordonnance d’un tribunal fédéral américain prime sur tout accord commercial entre l’UE et les États-Unis.
• La solidité juridique du DPF est contestée. De nombreux juristes européens estiment qu’un « Schrems III » est probable. Si la Cour de justice invalide à nouveau le cadre de transfert UE-États-Unis, toute entreprise qui s’appuyait sur le DPF se retrouverait en violation du RGPD du jour au lendemain.

Cas concrets — réquisitions et sanctions 2024-2026

Le rapport Cologne de décembre 2025

En décembre 2025, un rapport juridique commandé par le ministère fédéral allemand de l’Intérieur est rendu public après avoir été maintenu confidentiel. Son auteur : l’université de Cologne. Sa conclusion est sans ambiguïté : le Stored Communications Act, renforcé par le Cloud Act, combiné à la section 702 du FISA prolongée jusqu’en avril 2026, permet aux agences américaines d’accéder à toute donnée hébergée hors des États-Unis dès lors qu’elle est contrôlée par une entité de droit américain.

• Ce rapport est officiel, commandé par un gouvernement européen → son poids juridique et politique est significatif — ce n’est pas une analyse partisane
• Il confirme que FISA 702 + Cloud Act forment un arsenal cumulatif → deux vecteurs d’accès à vos données, pas un seul
• Il a été maintenu confidentiel avant publication → ce qui indique la sensibilité politique du sujet au sein même des gouvernements européens

CNIL 2025 : 486 M€ d’amendes, les PME dans le viseur

En 2025, la CNIL a prononcé 486 millions d’euros d’amendes — soit neuf fois plus qu’en 2024. Mais c’est la structure de ces sanctions qui doit retenir l’attention des TPE et PME :

• 67 sanctions sur 83 ont été prononcées via procédure simplifiée → ce mécanisme est précisément conçu pour traiter rapidement les dossiers impliquant des structures de taille modeste → la CNIL ne cible plus uniquement les grands groupes
• L’utilisation de services cloud américains figure parmi les vecteurs de non-conformité identifiés → Google Analytics, outils de tracking, hébergement de formulaires chez des prestataires américains → des pratiques courantes chez les petites structures sont dans le champ des contrôles
• La procédure simplifiée réduit les délais et les recours → une PME peut recevoir une sanction CNIL sans les années de procédure qui précèdent les grandes affaires → la rapidité d’exécution change le niveau de risque réel

Quelle est la solution — les hébergeurs français non soumis au Cloud Act ?

Ce qu’il faut vérifier avant de choisir un hébergeur

• Nationalité juridique de la société → cherchez le siège social dans les mentions légales ou les CGU → une société incorporée en France ou dans un État membre de l’UE est a priori hors du champ du Cloud Act
• Localisation des datacenters → critère secondaire mais utile — couplé à une nationalité juridique française, il garantit que vos données ne quittent pas le territoire national
• Certifications → ISO 27001 : standard international de sécurité des systèmes d’information → SecNumCloud (ANSSI) : qualification française de plus haut niveau → HDS : obligatoire pour les données de santé
• DPA disponible → le Data Processing Agreement doit préciser la localisation des données, les sous-traitants utilisés et leurs nationalités → un hébergeur qui ne propose pas de DPA clair est un signal d’alerte

Top 5 hébergeurs français conformes en 2026

Comment migrer depuis un hébergeur américain — les étapes clés ?

La migration d’hébergeur est souvent perçue comme un projet long et risqué. Dans la majorité des cas — site WordPress standard, e-commerce PrestaShop ou WooCommerce de taille modeste — elle est réalisable en 24 à 48 heures, sans interruption de service visible pour vos visiteurs.

• Inventaire complet → nombre de sites, bases de données, adresses email, certificats SSL, applications installées et leurs versions, accès FTP/SFTP actifs
• Sauvegarde intégrale → fichiers du site (FTP/SFTP), base de données complète (export SQL via phpMyAdmin), emails si vous souhaitez conserver l’historique → conserver en local ET sur un stockage externe distinct
• Relevé des paramètres DNS actuels → enregistrements A, MX, CNAME → réduire le TTL à 300 secondes 24h avant la migration pour accélérer la propagation
• Souscription chez le nouvel hébergeur → LWS, o2switch ou OVHcloud selon votre profil → contacter le support avant de commencer : LWS propose une assistance à la migration gratuite

Les 7 étapes de la migration sans interruption de service

1. Import des fichiers sur le nouvel hébergeur via FTP/SFTP ou plugin de migration WordPress (Duplicator, All-in-One WP Migration)
2. Import de la base de données via phpMyAdmin → mise à jour du fichier wp-config.php avec les nouveaux identifiants
3. Tests complets sur URL temporaire → affichage des pages, formulaires, administration, médias, panier e-commerce → ne passez à l’étape suivante que lorsque tout est validé
4. Migration des emails → création des adresses sur le nouvel hébergeur → transfert de l’historique via client mail (IMAP) avant modification des enregistrements MX
5. Modification des enregistrements DNS → mise à jour de l’enregistrement A + MX → avec un TTL de 300 secondes, la propagation est effective en 5 à 30 minutes
6. Activation du certificat SSL → Let’s Encrypt inclus chez LWS et o2switch, activable en un clic depuis le panneau de contrôle → vérifier l’affichage HTTPS après propagation
7. Vérification finale et résiliation → attendre 48 à 72h après modification DNS → valider le site, les emails et les formulaires → résilier l’ancien hébergement seulement ensuite

Conclusion

Le Cloud Act n’est pas une menace abstraite réservée aux grandes entreprises. C’est une loi en vigueur, renforcée par le FISA 702, dont l’application a été confirmée en décembre 2025 par un rapport officiel commandé par le ministère allemand de l’Intérieur. Si votre hébergeur est une société de droit américain, vos données clients sont potentiellement accessibles aux autorités fédérales américaines — sans que vous en soyez informé, sans que le RGPD puisse s’y opposer, et sans que la localisation de vos serveurs en France ne change quoi que ce soit à cette réalité juridique.

La bonne nouvelle : la solution existe, elle est accessible et ne nécessite pas un budget important. Des hébergeurs français certifiés ISO 27001, avec des datacenters 100 % en France, proposent des offres compétitives à partir de 1,49 €/mois. La migration depuis un hébergeur américain est réalisable en 24 à 48 heures pour un site WordPress standard — souvent avec une assistance gratuite.

En 2026, choisir un hébergeur n’est plus seulement une décision technique. C’est une décision juridique. Et cette décision, vous pouvez la prendre aujourd’hui.

FAQ — Questions fréquentes sur le Cloud Act et l’hébergement

Articles similaires :

Workspace Infomaniak vs Google Workspace vs LWS Mail : comparatif 2026 Email pro français vs Google Workspace : quelle messagerie choisir en 2026 ? Webmail Infomaniak vs Gmail : Lequel choisir pour une messagerie efficace ?