Bêta ouverte — Testez gratuitement avant le lancement.Rejoindre

Analyse juridique

Cloud Act et IA : pourquoi vos donnees sont exposees meme avec le chiffrement

Chaque requete envoyee a ChatGPT, Copilot ou Gemini transite par une infrastructure americaine soumise au Cloud Act. Le chiffrement ne protege pas contre un subpoena federal. Voici ce que cela signifie concretement pour votre entreprise.

Evaluer mon expositionVoir les alternatives conformes

Le Cloud Act en 3 points essentiels

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 18 U.S.C. §2703), adopte en mars 2018, autorise les autorites americaines a contraindre toute entreprise soumise a la juridiction americaine a produire les donnees qu'elle "possede, garde ou controle" — quel que soit le pays ou ces donnees sont physiquement stockees.

Portee extraterritoriale

Le Cloud Act s'applique meme si les serveurs sont en Europe. La localisation physique des donnees ne protege pas contre une injonction americaine.

Le chiffrement ne suffit pas

Si l'entreprise US detient les cles de chiffrement (cas de tous les services SaaS IA), elle peut etre contrainte de dechiffrer et produire les donnees.

Conflit avec le RGPD

Le RGPD interdit les transferts de donnees hors UE sans garanties adequates. Le Cloud Act cree un conflit direct que les clauses contractuelles ne resolvent pas.

Impact concret sur vos usages d'IA generative

Chaque prompt est une donnee transmise

Quand un collaborateur soumet un contrat, un email client, du code source ou une strategie commerciale a ChatGPT, ces donnees sont transmises a des serveurs Microsoft Azure. Elles sont "possedees, gardees ou controlees" par une entite americaine au sens du Cloud Act — et donc potentiellement accessibles aux autorites US.

"RGPD compliant" ne signifie pas "Cloud Act immune"

De nombreux fournisseurs d'IA se declarent conformes RGPD. C'est souvent vrai pour les aspects de traitement (base legale, information, droits des personnes). Mais la conformite RGPD ne protege pas contre l'extraterritorialite du Cloud Act. Ce sont deux cadres juridiques distincts, et le Cloud Act prevaut sur les engagements contractuels de l'editeur vis-a-vis du droit americain.

Les secteurs les plus exposes

Juridique

Secret professionnel absolu. Un prompt = une violation potentielle. En savoir plus

Sante

RGPD Art. 9 + HDS. Le Health Data Hub a du migrer. En savoir plus

Finance

DORA + NIS2 + secret bancaire. Obligations de localisation. En savoir plus

Les chiffres qui comptent

4,88M$

Cout moyen d'une fuite de donnees dans le monde (IBM Cost of a Data Breach Report 2024)

4%

du CA mondial : amende maximale prevue par le RGPD (Art. 83)

2018

Annee d'adoption du Cloud Act (18 U.S.C. §2703)

La solution : infrastructure hors juridiction US

La seule facon d'eliminer le risque Cloud Act pour l'IA est d'utiliser une infrastructure operee par une entite non-americaine, sur des serveurs physiquement situes en Europe.

OVHcloud France

Hebergeur francais, non soumis au Cloud Act. Serveurs physiquement en France.

Zero retention

Donnees en RAM uniquement. Meme en cas d'acces physique au serveur, aucune donnee n'est recuperable.

Open source

Modeles Mistral, Llama, Qwen — auditables et sans dependance a un editeur americain.

Voir la comparaison detaillee Exahia vs ChatGPT Enterprise Comprendre le Shadow AI

Questions frequentes — Cloud Act et IA

Qu'est-ce que le Cloud Act exactement ?
Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act), adopté en 2018 (18 U.S.C. §2703), autorise les autorités américaines à exiger la production de données stockées par des entreprises américaines, quel que soit le pays où ces données sont physiquement hébergées. Il s'applique à toute entreprise soumise à la juridiction américaine : Microsoft, Google, Amazon, OpenAI, etc.
Le chiffrement protège-t-il contre le Cloud Act ?
Non. Le Cloud Act s'applique aux données 'possédées, gardées ou contrôlées' par l'entité américaine. Si l'entreprise détient les clés de chiffrement (ce qui est le cas par défaut pour les services SaaS comme ChatGPT ou Azure), elle peut être contrainte de déchiffrer et produire les données. Le chiffrement côté client peut atténuer ce risque, mais il est rarement déployé dans les services IA.
ChatGPT Enterprise est-il conforme au RGPD malgré le Cloud Act ?
OpenAI affirme que ChatGPT Enterprise est conforme au RGPD pour le traitement des données. Mais la conformité RGPD (base légale, information, droits des personnes) et l'immunité au Cloud Act sont deux choses distinctes. L'infrastructure Azure sur laquelle tourne ChatGPT Enterprise reste soumise au Cloud Act, même si les serveurs sont en Europe.
Comment Exahia évite-t-il le Cloud Act ?
Exahia est hébergé exclusivement sur OVHcloud, un hébergeur français non soumis au Cloud Act. Les serveurs sont physiquement en France, opérés par une entité française. Aucune entreprise américaine n'a accès à l'infrastructure ou aux données, éliminant tout risque d'extraterritorialité.
Quelles sanctions risque mon entreprise en cas de non-conformité ?
Les amendes RGPD peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial. Au-delà des sanctions financières, une fuite de données via un outil IA non conforme expose l'entreprise à des actions en responsabilité civile, des dommages réputationnels et la perte de contrats (notamment dans les secteurs réglementés).

Sortez vos donnees de la juridiction americaine

Evaluez votre exposition au Cloud Act et decouvrez comment Exahia protege vos donnees sur une infrastructure 100% francaise.

Diagnostiquer mes risquesParler a un expert

Voir aussi : IA pour le juridique IA pour la sante IA pour la finance LLM auto-heberge RGPD et IA generative AI Act entreprise IA pour la defense Alternative a Copilot