Clarifying Lawful Overseas Use of Data (CLOUD) Act

De notre point de vue, les clients doivent garder le contrôle de leurs propres données. L’architecture d’AWS en fait l’infrastructure cloud mondiale la plus sûre pour créer, migrer et gérer des applications et des charges de travail, et notre engagement est de fournir à nos clients des protections de pointe en matière de sécurité et de protection de la vie privée lorsqu’ils utilisent nos services.

AWS a conçu des produits et services qui garantissent que personne, pas même les opérateurs AWS, ne peut accéder au contenu des clients. Nous ne pouvons répondre aux exigences légales en matière de données que si nous sommes techniquement en mesure de le faire. Les clients AWS disposent d’une série de moyens techniques et de contrôles opérationnels pour empêcher l’accès à leurs données. Par exemple, de nombreux systèmes et services AWS fondamentaux sont conçus selon le principe d’accès zéro pour les opérateurs, ce qui signifie que les services ne disposent d’aucun moyen technique permettant aux opérateurs AWS d’accéder aux données des clients.

La plateforme AWS Nitro System, qui constitue la base des services informatiques AWS, utilise du matériel et des logiciels spécialisés pour protéger les données contre tout accès extérieur pendant le traitement sur Amazon Elastic Compute Cloud (Amazon EC2). En fournissant une limite de sécurité physique et logique robuste, Nitro est conçu pour qu’aucune personne non autorisée, pas même les opérateurs AWS, ne puisse accéder aux charges de travail des clients sur EC2. La conception de sécurité de Nitro System a été validée par le NCC Group, une société indépendante spécialisée dans la cybersécurité. Les contrôles qui permettent d’empêcher l’accès des opérateurs sont si fondamentaux pour le Nitro System que nous les avons ajoutés à nos Conditions d’utilisation AWS afin de fournir une assurance contractuelle supplémentaire à tous nos clients.

Nous offrons également aux clients des fonctionnalités et des contrôles pour chiffrer les données, qu’elles soient en transit, au repos ou en mémoire. Tous les services AWS prennent déjà en charge le chiffrement, la plupart prenant également en charge le chiffrement à l’aide de clés gérées par le client et inaccessibles à AWS. Le contenu chiffré est inutile sans les clés de déchiffrement applicables.

Pour en savoir plus sur nos services prenant en charge l’accès zéro pour les opérateurs, consultez la section Accès des opérateurs sur AWS.

Le CLOUD Act a été promulgué en mars 2018 pour accélérer la capacité des forces de l’ordre à obtenir les informations électroniques détenues par les fournisseurs de services dans le cadre d’enquêtes sur des crimes graves allant du terrorisme et des crimes violents à l’exploitation sexuelle des enfants et à la cybercriminalité. (Consulter la page Ressources du CLOUD Act sur le site Web du département de la justice des États-Unis.) Selon les témoignages des représentants du département de la justice des États-Unis (DOJ) qui ont plaidé en faveur de cette législation, le CLOUD Act met l’accent sur la capacité des forces de l’ordre du monde entier à obtenir des données dans le cadre d’enquêtes transfrontalières portant sur des délits graves. (Consulter le Témoignage de Richard Downing, procureur général adjoint au DOJ, devant la Commission judiciaire de la Chambre des représentants le 15 juin 2017.)

Les forces de l’ordre américaines ne peuvent contraindre les fournisseurs de services à fournir des données de contenu qu’avec un mandat autorisé par un juge fédéral indépendant conformément aux procédures pénales américaines. Pour qu’un mandat soit délivré en vertu du droit américain, un juge américain doit être convaincu qu’il existe des raisons probables de croire qu’un crime a été commis et que des preuves de ce crime seront trouvées dans le lieu à perquisitionner, comme spécifié dans le mandat (c’est-à-dire les données d’un compte électronique spécifique tel qu’un compte de messagerie). Ce principe juridique doit reposer sur des faits précis et dignes de foi. Chaque mandat de perquisition doit répondre à cette stricte détermination des causes probables en ce qui concerne les faits crédibles, les particularités et la légalité, doit être approuvé par un juge indépendant et doit répondre aux exigences relatives à la portée et à la compétence.

Les gouvernements étrangers qui demandent des données conformément à un accord exécutif du CLOUD Act avec les États-Unis doivent répondre à des exigences similaires. Le département de la justice a expliqué que « les [o]rdonnances demandant des données en vertu du CLOUD Act doivent être obtenues légalement en vertu du système national du pays demandant les données ; elles doivent cibler des individus ou des comptes spécifiques ; elles doivent avoir une justification raisonnable basée sur des faits articulables et crédibles, la particularité, la légalité et la sévérité ; et elles doivent être soumises à l’examen ou à la surveillance d’une autorité indépendante, telle qu’un juge ou un magistrat. La collecte de données en masse n’est pas autorisée. »

Le département de la justice a également publié une politique en mai 2023 selon laquelle les procureurs devraient contacter l’Office of International Affairs (OIA) du département lorsqu’ils se rendent compte qu’ils ont besoin de preuves situées dans un autre pays. Cette politique exige que les procureurs qui recherchent des preuves dont on sait qu’elles se trouvent à l’étranger obtiennent l’approbation de l’OIA avant d’obtenir une ordonnance obligeant un fournisseur aux États-Unis à divulguer ces preuves. La politique du département de la justice en matière de preuves à l’étranger indique que chaque pays promulgue des lois pour protéger sa souveraineté ; l’OIA s’efforce de résoudre ces problèmes et aide les procureurs à sélectionner un mécanisme approprié pour obtenir des preuves.

En juin 2025, aucune requête de données adressée à AWS n’a donné lieu à la divulgation au gouvernement américain de données de contenu d’entreprise ou gouvernemental stockées en dehors des États-Unis depuis que nous avons commencé à publier cette statistique. Ce bilan reflète les solides protections juridiques prévues par la législation et les politiques américaines mises en œuvre par le département de la justice des États-Unis, en plus des garanties techniques proposées par AWS.

La Computer Crime and Intellectual Property Section du département de la justice a publié des directives en 2017 conseillant aux procureurs de rechercher des données auprès d’une entreprise, telle qu’une entreprise qui stocke des données auprès d’un fournisseur de cloud plutôt qu’auprès du fournisseur, sauf circonstances particulières. Ces directives fournissent des conseils importants aux procureurs pour obtenir des données directement auprès des entreprises. Lorsque nous recevons de telles requêtes concernant du contenu destiné aux entreprises, nous mettons tout en œuvre pour rediriger les forces de l’ordre vers le client et le notifier lorsque la loi l’autorise.

Non. Le CLOUD Act s’applique à tous les fournisseurs de services de communications électroniques ou de services informatiques à distance qui opèrent ou ont une présence légale aux États-Unis. Par exemple, le CLOUD Act s’applique également à un fournisseur de services cloud dont le siège social est situé dans l’UE et qui exerce ses activités aux États-Unis. OVHcloud, un fournisseur de services cloud dont le siège social est en France et qui opère aux États-Unis, indique dans ses questions fréquentes (FAQ) relatives au CLOUD Act que « OVHcloud se conformera aux requêtes légales des autorités publiques. En vertu du CLOUD Act, cela peut inclure des données stockées en dehors des États-Unis. »

En vertu de la législation américaine, les actions de l’exécutif ne peuvent pas créer de nouvelles lois ou contredire les lois existantes adoptées par le Congrès, telles que le CLOUD Act.

Non. De nombreux pays exigent la divulgation des données des clients, quel que soit l’endroit où elles sont stockées, dans le cadre d’une procédure judiciaire portant sur des délits graves. Ce concept est inscrit dans la Convention de Budapest sur la cybercriminalité, qui a été le premier traité international visant à améliorer la coopération dans les enquêtes sur les cybercrimes. Par exemple, la loi britannique sur la criminalité (Overseas Production Orders) permet aux forces de l’ordre du Royaume-Uni (Royaume-Uni) d’obtenir des données électroniques stockées en dehors du Royaume-Uni dans le cadre d’une enquête criminelle. Selon un dossier déposé en 2024 par le département de la justice des États-Unis, les lois de plusieurs États membres européens, dont la Belgique, le Danemark, la France, l’Irlande et l’Espagne, comportent des exigences similaires.

Nous disposons de procédures très détaillées pour traiter des requêtes des forces de l’ordre émanant de n’importe quel pays. Nous ne divulguons pas les données des clients en réponse aux requêtes des forces de l’ordre, sauf si nous y sommes obligés par une ordonnance juridiquement valable et contraignante, conformément à notre engagement public dans l’addendum supplémentaire à l’addendum sur le traitement des données d’AWS. Lorsque nous recevons une requête des forces de l’ordre, nous l’examinons attentivement afin d’en valider la légitimité et de vérifier qu’elle est conforme au droit applicable. Si AWS reçoit une requête juridiquement valide et contraignante concernant du contenu destiné à un client d’entreprise, AWS déploiera tous les efforts raisonnables pour rediriger les forces de l’ordre vers le client et en informera le client si la loi l’autorise. AWS contestera les requêtes qui sont contraires à la loi, qui ont une portée excessive ou qui sont autrement inappropriées, comme nous l’avons publiquement annoncé dans l’addendum supplémentaire à l’addendum sur le traitement des données AWS. Si AWS reste dans l’obligation de divulguer les données de ses clients après avoir épuisé ces démarches, et si nous avons les moyens techniques de le faire, nous ne divulguerons que le minimum nécessaire pour répondre à la requête. Pour plus d’informations sur notre approche des requêtes des forces de l’ordre, consultez notre page Law Enforcement Information Requests.

Non. Le CLOUD Act ne crée aucune nouvelle autorité permettant aux forces de l’ordre d’obliger les fournisseurs de services à déchiffrer les communications.

AWS offre aux clients des fonctionnalités et des contrôles pour chiffrer les données, qu’elles soient en transit, au repos ou en mémoire. Tous les services AWS prennent déjà en charge le chiffrement, la plupart prenant également en charge le chiffrement à l’aide de clés gérées par le client et inaccessibles à AWS. Le contenu chiffré est inutile sans les clés de déchiffrement applicables.

AWS s’engage contractuellement à respecter les lois applicables en matière de protection des données. De même, nous nous engageons à contester toute requête excessive ou inappropriée émanant d’un organe gouvernemental (y compris lorsqu’une telle requête est en contradiction avec les lois applicables de l’Union européenne ou celles d’un État membre).

Non, le CLOUD Act ne modifie pas les lois locales d’un autre pays. En fait, le CLOUD Act reconnaît aux prestataires de services le droit de contester les requêtes qui entrent en conflit avec les lois ou les intérêts nationaux d’un autre pays.