Pourquoi AWS entraîne OVHcloud dans sa défense du CLOUD Act… à tort

Le billet de blog publié par Amazon Web Services (AWS), la filiale cloud d'Amazon, poursuit un objectif clair : rassurer les clients et partenaires internationaux sur les implications du CLOUD Act. Cette loi américaine, promulguée en 2018, permet aux autorités américaines d'exiger l'accès à des données stockées à l'étranger si elles sont détenues par une entreprise établie sur le sol américain, dont les fournisseurs de cloud. 

Aucun cas de transmission de données

AWS insiste : les autorités n'ont pas d'accès illimité, les procédures sont strictes, et aucun cas de transmission de données d'entreprise ou de gouvernement n'aurait été constaté depuis 2020. Mais au coeur de cet argumentaire, une mention interpelle, comme l'a repéré le média Next : AWS cite OVHcloud pour démontrer que tous les fournisseurs opérant aux Etats-Unis, même non américains, sont soumis au même régime juridique. 

Mais cette inclusion de la société roubaisienne est tout sauf neutre. Elle s'inscrit dans une stratégie rhétorique visant à relativiser les risques associés au CLOUD Act. En mettant OVHcloud "dans le même sac", AWS procède à une tentative de normalisation d'une vulnérabilité structurelle. 

Or, cette comparaison ne résiste pas à l'analyse. OVHcloud a bâti sa stratégie sur la non-exposition à ce type de législation extraterritoriale. Dans sa foire aux questions sur l'application de cette réglementation, l'entreprise rappelle que le CLOUD Act ne s'applique qu'aux entités américaines et à leurs filiales. C'est ainsi qu'OVHcloud France et OVHcloud Canada ne sont pas concernées. De plus, sa filiale américaine, juridiquement indépendante, n'a pas accès aux données des autres entités. 

Par ailleurs, toute demande d'accès aux données par les autorités américaines devrait passer par un accord judiciaire international (Mutual legal assistance treaty) si elle vise OVHcloud Europe ou Canada. 

Brouiller les frontières

En citant l'entreprise française, Amazon cherche à brouiller la frontière entre les fournisseurs américains et les autres. Cette confusion sert plusieurs objectifs : désamorcer les critiques des clients européens, en laissant penser que le problème est généralisé, se repositionner dans le débat sur la souveraineté numérique en diluant la spécificité américaine de son exposition juridique, ainsi que neutraliser la concurrence de fournisseurs européens qui se positionnent précisément sur l'absence d'extraterritorialité. 

Pour se protéger de toutes critiques, AWS met également en avant une série de protections mises en place pour empêcher les autorités américaines d'accéder aux données de ses clients. Mais rappelons que ces protections n'ont pas force de loi. Si un juge américain ordonne l'accès, AWS devra coopérer. 

Malgré sa position ultra-dominante sur le marché mondial du cloud, avec une part estimée à plus de 30% selon Synergy Research, AWS semble redouter l’impact commercial du débat sur la souveraineté numérique. Le fait même que l’entreprise consacre un long billet de blog à expliquer, justifier et nuancer les effets du CLOUD Act témoigne d’une certaine nervosité. Sa stratégie de communication, en citant notamment OVHcloud, suggère que l’argument de la souveraineté pourrait rebattre les cartes.

Le CLOUD Act, beaucoup de bruit pour pas grand-chose

Paradoxalement, le CLOUD Act reste une loi "niche" : il ne s’applique qu’à des enquêtes pénales graves, encadrées par des mandats judiciaires stricts. AWS affirme d’ailleurs n’avoir jamais été contraint de livrer des données client hors États-Unis depuis 2020. Il est donc légitime de se demander si le débat autour du CLOUD Act n’est pas surdimensionné, et s’il ne devient pas un argument commercial plus qu’un risque réel pour la majorité des entreprises. 

Derrière les enjeux juridiques et techniques, le débat autour du CLOUD Act est avant tout politique. Il s’inscrit dans une dynamique plus large de souveraineté numérique, poussée par les États européens, en particulier par la France qui a récemment relancé le chantier du "cloud souverain". Le récent échange entre Clara Chappaz, la ministre déléguée chargée de l'IA et du numérique, et Brad Smith, président de Microsoft, illustre cette tension ambivalente.

L'enjeu central : la dépendance technologique

Cette posture souligne que la souveraineté n’est pas qu’un argument marketing, mais un marqueur idéologique. Elle devient une lutte d’influence, où chaque événement compte pour renforcer ou affaiblir la position des acteurs en présence. En citant OVHcloud dans son argumentaire, AWS tente de sortir de ce cadre trop politique en simulant une neutralité juridique. En attendant, l'enjeu central reste de faire un choix entre dépendance technologique et autonomie stratégique.