Pourquoi vos données ne sont pas en sécurité sur AWS, Azure ou Google Cloud
« Pourquoi vous ne pouvez pas utiliser AWS ? » C’est la question qu’un prospect nous a posée la semaine dernière. Sa logique était simple : AWS c’est fiable, c’est scalable, c’est moins cher. Pourquoi se compliquer ?
Voici notre réponse.
1. Le vrai problème n’est pas technique, il est juridique
Quand une PME suisse confie ses factures, ses contrats, ses données fournisseurs ou ses documents RH à un prestataire IA, elle lui confie des données sensibles. Des données protégées par la nLPD (nouvelle Loi fédérale sur la Protection des Données), entrée en vigueur le 1er septembre 2023.
Le problème avec AWS, Azure ou Google Cloud : vos données transitent par des serveurs soumis au CLOUD Act américain. Concrètement, une autorité américaine peut exiger l’accès à vos données, même si elles sont stockées en Europe. Même si vous êtes une PME vaudoise de 30 personnes.
En 2023, Microsoft a reçu plus de 35’000 demandes gouvernementales d’accès aux données dans le monde. Votre PME suisse est dans le même panier juridique que toutes les autres.
2. « Mais ils ont des datacenters en Suisse maintenant ? »
Oui, AWS, Azure et Google Cloud ont ouvert des régions en Suisse. Mais la localisation physique des serveurs ne change rien au problème juridique.
Le CLOUD Act s’applique à toute entreprise de droit américain, quel que soit l’emplacement de ses serveurs. Un datacenter Azure à Zurich reste soumis à la loi américaine.
Ce n’est pas où sont vos données qui compte — c’est l’entité juridique qui les contrôle. Un serveur en Suisse opéré par une entreprise américaine ne protège pas vos données du CLOUD Act.
3. Ce que dit la nLPD — et les sanctions
La nouvelle loi suisse sur la protection des données (nLPD) impose des exigences strictes concernant le transfert de données personnelles vers des pays ne garantissant pas un niveau de protection adéquat.
Les États-Unis ne figurent pas sur la liste des pays offrant une protection adéquate selon le Conseil fédéral suisse.
Les violations de la nLPD peuvent entraîner des amendes allant jusqu’à CHF 250’000 — et ces amendes visent les personnes physiques responsables, pas seulement l’entreprise.
4. Le CLOUD Act, concrètement
Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act), adopté en 2018, permet aux autorités américaines de contraindre toute entreprise de droit américain à fournir des données stockées sur ses serveurs, où qu’ils soient dans le monde.
Cela signifie que si votre prestataire IA utilise l’infrastructure AWS, Azure ou Google Cloud, vos données de facturation, vos contrats et vos documents RH pourraient théoriquement être accessibles aux autorités américaines — sans que vous en soyez informé.
Contrairement au RGPD européen, le CLOUD Act ne nécessite pas de notification à la personne concernée. L’accès peut se faire de manière totalement opaque.
5. Copilot, ChatGPT, Gemini — même problème
Ce n’est pas uniquement une question d’infrastructure cloud. Les outils IA les plus populaires — Microsoft Copilot, OpenAI ChatGPT, Google Gemini — sont tous opérés par des entreprises américaines soumises au CLOUD Act.
Chaque prompt que vous envoyez, chaque document que vous analysez avec ces outils transite par des serveurs contrôlés par des entités de droit américain. Même si votre instance est « dédiée » ou « européenne ».
6. L’alternative suisse existe
Des fournisseurs comme Infomaniak et Exoscale offrent une infrastructure cloud 100% suisse, opérée par des entreprises de droit suisse. Cela signifie :
→ Vos données sont hébergées en Suisse
→ L’entité juridique est suisse (pas de CLOUD Act)
→ Conformité nLPD native
→ Pas de transfert transfrontalier de données
Chez Wiven, tous nos agents IA sont déployés exclusivement sur infrastructure suisse. Nos modèles tournent sur des serveurs Infomaniak et Exoscale, garantissant une souveraineté complète des données.
7. Comment évaluer votre exposition
Posez-vous ces questions simples :
→ Votre prestataire IA est-il une entreprise de droit suisse ou européen ?
→ Les données transitent-elles par des serveurs d’entreprises américaines ?
→ Avez-vous un DPA (Data Processing Agreement) conforme à la nLPD ?
→ Savez-vous où sont stockées les données que vous envoyez à vos outils IA ?
Si vous ne pouvez pas répondre avec certitude à ces questions, il est probable que vos données soient exposées au CLOUD Act.
La souveraineté des données n’est pas un luxe — c’est une obligation légale pour toute entreprise suisse manipulant des données personnelles. Et avec l’essor de l’IA en entreprise, cette question devient critique.
Ne laissez pas la facilité d’usage masquer un risque juridique réel. Choisissez des partenaires qui prennent la protection de vos données aussi au sérieux que vous.
Vous voulez savoir si vos outils IA respectent la nLPD ? Parlons-en.
Demander un audit Découvrir nos solutions