La véritable  souveraineté européenne

La localisation des serveurs n'est pas le sujet. La vraie souveraineté exige un hébergeur européen. 

Un cabinet d'avocats munichois télécharge des fichiers dans un data center de Francfort. Une banque d'investissement parisienne stocke des documents de M&A sur des serveurs à Amsterdam. Les deux supposent que leurs données restent européennes. Pourtant, les deux restent exposées aux lois de surveillance américaines.

Le piège de la géographie

Le "Sovereignty washing"

La réponse technique des hyperscalers américains était prévisible. Microsoft, Amazon et Google commercialisent désormais des solutions de "cloud souverain" avec des data centers européens et des partenariats locaux.

Les critiques appellent cela du "sovereignty washing". Comme l'expliquait Cristina Caffarra, économiste de la concurrence basée à Bruxelles, à The Register : "Une entreprise soumise aux lois extraterritoriales des États-Unis ne peut pas être considérée comme souveraine pour l'Europe. Ça ne fonctionne tout simplement pas." Le domicile américain de la société mère assure le maintien de la juridiction du CLOUD Act, quelles que soient les structures de filiales ou les promesses contractuelles.

La véritable souveraineté exige une propriété européenne, pas simplement un hébergement européen. Le fournisseur de cloud français Scaleway opère selon ce principe, avec des data centers à Paris, Amsterdam et Varsovie contrôlés entièrement par la société mère française Iliad Group. Pas de société mère américaine signifie aucune exposition au CLOUD Act. La distinction compte opérationnellement.

Quand Entropia, un fournisseur de data room virtuelle construit par d'anciens ingénieurs Google, a évalué des partenaires d'infrastructure pour sa plateforme M&A, la structure de détention a déterminé la short list.

Le marché répond

Le changement est palpable. Le Land de Schleswig-Holstein en Allemagne a achevé la migration de 24 000 fonctionnaires des produits Microsoft vers des alternatives open-source en 2024. La Cour pénale internationale est passée aux outils de collaboration européens après que le procureur en chef Karim Khan a été temporairement bloqué de son compte Outlook. France TV, GENCI et le Centre national de la recherche scientifique français ont signé des partenariats avec Scaleway plutôt qu'avec les hyperscalers pour des infrastructures nécessitant un contrôle souverain complet. Les départements juridiques des entreprises rapportent des schémas similaires.

Le renouvellement de la Section 702 de FISA en avril 2024 a aiguisé ces inquiétudes. La loi couvre désormais "toute entreprise avec une infrastructure connectée à internet", élargissant la portée de la surveillance au-delà des fournisseurs de communications traditionnels pour englober les services cloud et les data centers. L'expansion s'est faite malgré les avertissements du Comité européen de la protection des données selon lesquels les lois de surveillance américaines existantes ne satisfaisaient déjà pas aux normes d'adéquation du RGPD. Les défenseurs de la vie privée s'attendent à ce que le cadre de confidentialité des données UE-États-Unis, qui a remplacé l'accord Privacy Shield invalidé, fasse l'objet d'un recours judiciaire dans les deux ans.

Implications pratiques pour le M&A

Pour les praticiens du M&A, les implications sont directes. Les matériaux de diligence, les projections financières et les structures de transaction constituent précisément les informations commerciales sensibles que les agences de renseignement étrangères ciblent pour obtenir un avantage économique.

Le risque théorique d'accès via le CLOUD Act pendant une transaction peut être faible, mais les conséquences d'une exposition sont catastrophiques. Les alternatives européennes éliminent entièrement la possibilité en supprimant la vulnérabilité juridique à sa source.

Cela ne signifie pas que les entreprises européennes doivent abandonner tous les services cloud américains. Les stratégies hybrides fonctionnent pour de nombreuses organisations, utilisant des plateformes globales pour l'informatique générale tout en routant les transactions sensibles via une infrastructure souveraine. La clé est de comprendre quels travaux exigent un contrôle juridique. Les documents M&A, les référentiels de propriété intellectuelle et les données financières réglementées appartiennent à une infrastructure qui répond exclusivement au droit européen. Les outils de collaboration génériques et les environnements de développement peuvent tolérer une exposition plus large.

Le marché des data rooms virtuelles n'échappent pas à ces calculs. Les revenus des VDR européens ont atteint 860 millions de dollars en 2024 et devraient augmenter d'ici 2033, portés par la conformité réglementaire et la complexité des transactions transfrontalières. Les fournisseurs mettant l'accent sur la propriété européenne et la certification ISO 27001 captent une tarification premium auprès de clients privilégiant la souveraineté à la commodité.

La dynamique du marché suggère que les organisations soucieuses de conformité considèrent de plus en plus la souveraineté comme une fonctionnalité de sécurité plutôt qu'un détail.

Sans doute inévitablement, les hyperscalers américains continueront de commercialiser des solutions de souveraineté. Leur échelle, leur vélocité d'innovation et leurs intégrations d'écosystème restent des avantages concurrentiels formidables. Pourtant tant que la juridiction du CLOUD Act suit la filiation des entreprises, ces offres ne peuvent pas fournir une véritable indépendance juridique. Les capacités techniques peuvent être identiques, mais l'architecture juridique diffère fondamentalement. Pour les organisations européennes gérant des transactions M&A sensibles, cette distinction compte.

CLOUD, dans CLOUD Act, est en majuscules parce que c'est l'acronyme de "Clarifying Lawful Overseas Use of Data" Act.

Image credit: Scaleway