Risque juridique · Cloud Act & IA

Cloud Act et IA en entreprise : ce que vos outils IA exposent vraiment

Chaque prompt envoyé à ChatGPT Enterprise, GitHub Copilot ou Claude Code transite vers des serveurs américains soumis au Cloud Act. Vos secrets industriels, votre code propriétaire et vos données métier sont potentiellement accessibles aux autorités américaines, même si les serveurs sont en France.

Publié le 10 mai 2026 · Mis à jour le 29 mai 2026 · Équipe Souver

En résumé : le Cloud Act (loi américaine de 2018) permet aux autorités US d'exiger les données détenues par toute société de droit américain, où que soient les serveurs. Le RGPD ne prime pas dessus. Un LLM opéré par OpenAI, Anthropic, Google ou Microsoft y est donc soumis même hébergé en France. La seule protection est une chaîne 100 % hors juridiction américaine. C'est l'architecture de Souver, dont l'inférence s'exécute sur GPU 3DS Outscale qualifiés SecNumCloud par l'ANSSI.

Évaluer votre exposition · appel DSI / RSSIComprendre le risque
  • Inférence 100 % sur sol français
  • GPU SecNumCloud 3DS Outscale
  • Zéro transit vers des serveurs US
  • Hors juridiction Cloud Act & FISA

Qu'est-ce que le Cloud Act ?

Le Clarifying Lawful Overseas Use of Data Act (Cloud Act), promulgué aux États-Unis en 2018, autorise les autorités américaines à exiger d'une entreprise soumise au droit américain qu'elle transmette des données stockées sur ses serveurs, quelle que soit leur localisation géographique. Un simple datacenter en France ne suffit pas : si l'opérateur est une société américaine ou contrôlée par des intérêts américains, le Cloud Act s'applique.

Ce que le Cloud Act permet concrètement

Les autorités américaines (FBI, DOJ, agences de renseignement) peuvent émettre une National Security Letter ou un mandat FISA contraignant Microsoft, Google, Amazon, OpenAI ou Anthropic à livrer les données de vos utilisateurs sans vous en informer préalablement. Cette obligation prévaut sur les contrats privés et sur le RGPD.

Pourquoi le RGPD ne suffit pas

Le RGPD est une réglementation européenne de droit civil. Le Cloud Act est une loi fédérale américaine de droit pénal. En cas de conflit, la loi pénale américaine prime sur les contrats de droit civil européens. Les clauses contractuelles types (CCT) et les engagements de confidentialité de vos fournisseurs US ne vous protègent pas contre une injonction Cloud Act.

Pourquoi le Cloud Act concerne spécifiquement vos outils IA

L'IA générative crée un vecteur d'exposition inédit : vous envoyez activement vos données les plus sensibles vers des serveurs tiers à chaque utilisation.

1

Les prompts contiennent vos données les plus sensibles

Un développeur qui utilise GitHub Copilot ou Claude Code envoie son code propriétaire, ses architectures système et ses secrets de configuration vers des serveurs Anthropic ou Microsoft soumis au Cloud Act. Un analyste financier qui interroge ChatGPT Enterprise expose ses modèles de valorisation et ses données clients.

2

Les LLMs US sont structurellement soumis au Cloud Act

OpenAI (Microsoft), Anthropic, Google DeepMind, tous sont constitués en droit américain. Même si leur inférence est parfois déployée en Europe, la société opératrice reste soumise au Cloud Act. Un datacenter en Irlande ne change rien à la juridiction applicable sur les données traitées.

3

Le risque est opérationnel, pas seulement théorique

Les secteurs réglementés (finance, santé, défense, secteur public) font face à des audits de conformité de plus en plus précis sur la gestion des risques tiers liés à l'IA. DORA exige la cartographie et la maîtrise de tous les prestataires IT critiques. Un LLM soumis au Cloud Act constitue un risque tiers non maîtrisé documentable dans un rapport d'audit.

Secteurs les plus exposés

Ces secteurs combinent des obligations réglementaires fortes et des données à très haute valeur stratégique, les deux critères qui rendent le risque Cloud Act IA concret et documentable.

  • Finance (DORA)

    DORA impose de documenter et maîtriser toute la chaîne de sous-traitance IT. Un LLM soumis au Cloud Act constitue un risque tiers non contrôlé.

  • Santé (HDS)

    Données patients, diagnostics assistés par IA : leur transmission à un LLM US expose l'établissement à un risque juridique majeur et à la perte de la certification HDS.

  • Défense & BITD

    Secrets industriels, spécifications techniques, code embarqué : le moindre prompt envoyé à Claude Code ou GitHub Copilot peut exposer des données sensibles aux autorités américaines.

  • Secteur public

    La doctrine Cloud de l'État impose de n'utiliser que des solutions immunisées contre les lois extraterritoriales pour les données sensibles ou de souveraineté.

  • Énergie & NIS2

    Opérateurs soumis à NIS2 : la cartographie des actifs et les données d'exploitation envoyées à un LLM US créent une exposition documentée dans les rapports d'audit.

Comment se protéger du Cloud Act pour l'IA

La seule protection réelle contre le Cloud Act pour vos outils IA est une rupture complète avec toute chaîne comportant une entité de droit américain. Souver a été conçu pour répondre exactement à cette exigence. Pourquoi cette souveraineté est devenue un enjeu stratégique, à la lumière de l'audition d'Arthur Mensch à l'Assemblée nationale.

Inférence souveraine

GPU 3DS Outscale · SecNumCloud

L'inférence IA de Souver s'exécute sur des GPU 3DS Outscale, filiale de Dassault Systèmes, qualifiée SecNumCloud par l'ANSSI. Société française, sans actionnaire américain. Hors juridiction Cloud Act.

Localisation des données

100 % France, 0 sortie UE

Vos prompts, vos résultats et vos données métier ne transitent jamais vers des serveurs américains. Chaque requête reste sur le territoire français, dans une infrastructure auditée par l'ANSSI.

Chaîne juridique

Immunité extraterritoriale complète

Ni Souver ni 3DS Outscale ne sont soumis au Cloud Act, au FISA ou à toute injonction d'une juridiction étrangère. La chaîne de confiance est documentée et opposable dans vos audits de conformité DORA, HDS ou NIS2.

Alternative souveraine à

Claude Code · ChatGPT · Copilot

Souver offre les mêmes capacités d'assistant IA développeur et métier, sans la dépendance à Anthropic, OpenAI ou Microsoft. Même performance, zéro exposition Cloud Act.

Questions fréquentes

Le RGPD protège-t-il contre le Cloud Act ?
Non. Le RGPD encadre les données personnelles au sein de l'UE, mais il ne prime pas sur le Cloud Act américain. Un fournisseur de droit américain peut être contraint de livrer vos données aux autorités US, même si les serveurs sont en France. Le Cloud Act s'applique dès qu'une société est constituée sous droit américain.
Un LLM hébergé en France est-il soumis au Cloud Act ?
Pas nécessairement : cela dépend de la nationalité juridique du fournisseur, pas de la localisation physique des serveurs. Si le modèle est opéré par une société américaine (OpenAI, Anthropic, Google, Microsoft), le Cloud Act s'applique même si les GPU sont en France.
Quels secteurs sont les plus exposés au risque Cloud Act IA ?
Finance (DORA), santé (HDS), défense et BITD, secteur public et toute entreprise manipulant des secrets industriels ou des données stratégiques. Dans ces secteurs, l'IA soumise au Cloud Act crée un risque de conformité réel et documentable.
Comment Souver garantit-il l'immunité au Cloud Act ?
Souver opère sur des GPU 3DS Outscale qualifiés SecNumCloud. 3DS Outscale est une société française (filiale Dassault Systèmes), sans actionnaire américain. Ni Souver ni son infrastructure ne sont soumis au Cloud Act. Aucune donnée ne transite vers des serveurs américains.

Sources

Votre organisation utilise des outils IA soumis au Cloud Act ?

Un appel de 30 min avec notre équipe technique permet d'évaluer précisément votre exposition, d'identifier les flux à risque et de définir une migration vers une infrastructure souveraine. Sans engagement.

Planifier un appel → cal.com/souver

Inférence 100 % France · SecNumCloud 3DS Outscale · Hors juridiction Cloud Act