Choisir 'européen' ne suffit pas : où les logiciels européens restent soumis au CLOUD Act américain
Nous avons examiné 184 outils SaaS européens et privacy-first quant à leur exposition au CLOUD Act américain. Seuls 34% en sont totalement à l'abri — et dans cinq catégories, dont les paiements, aucune option ne l'est. L'exposition vient rarement du fait que l'éditeur est américain, mais de la pile technique en dessous.
Seuls 34% des outils privacy-first d'Europe sont totalement à l'abri du CLOUD Act
Nous avons évalué 184 outils SaaS européens et privacy-first, répartis sur 22 catégories, quant à leur exposition au CLOUD Act américain — c'est-à-dire la possibilité qu'une maison mère américaine, une constitution aux États-Unis ou un sous-traitant américain central place les données clients sous la portée extraterritoriale du droit américain. Ce sont précisément les outils vers lesquels se tournent les acheteurs européens lorsqu'ils cherchent délibérément à quitter les logiciels américains. Pourtant, seule une minorité échappe totalement à la portée de la loi.
| Exposition au CLOUD Act | Outils | Part |
|---|---|---|
| Aucune — opérateur européen, pas de maison mère américaine ni de sous-traitant américain notable | 62 | 33,7% |
| Mineure — un sous-traitant américain transitoire (CDN, cartes) ; les données au repos restent dans l'UE | 60 | 32,6% |
| Significative — maison mère américaine, ou un sous-traitant central est un hyperscaler américain | 58 | 31,5% |
| Directe — l'opérateur lui-même est constitué aux États-Unis | 4 | 2,2% |
| Toute exposition (mineure + significative + directe) | 122 | 66,3% |
Ainsi, près de deux outils sur trois parmi ces alternatives européennes portent encore une exposition américaine, et environ un sur trois (34%) porte une exposition significative ou directe — un propriétaire américain, une constitution aux États-Unis ou un hyperscaler américain au cœur de la pile. Les chiffres sont un instantané de notre jeu de données au 10 juin 2026 ; nous revérifions les fiches chaque trimestre.
Ce n'est pas le drapeau de l'entreprise qui pose problème, mais la pile en dessous
L'exposition vient rarement du fait que l'éditeur est américain. Elle vient de ce qui tourne en dessous : l'hébergement, les sous-traitants et l'origine des capitaux.
- Strapi (France) et Storyblok (Autriche) sont des CMS headless construits en Europe — tous deux classés significatifs, via leur chaîne d'infrastructure et de propriété.
- Mollie (Pays-Bas), GoCardless, Klarna (Suède), SumUp et Mangopay sont des noms européens du paiement — tous significatifs.
- Cal.com est open source et largement utilisé en Europe, mais la société exploitante est constituée aux États-Unis (directe).
La propriété raconte la même histoire. Sur les 184 outils, 58% sont détenus dans l'UE, mais 17% ont leur siège dans l'UE tout en étant financés par des capitaux américains — et le contrôle, comme les choix d'infrastructure, tend à suivre les capitaux. 22% supplémentaires relèvent de juridictions hors UE mais proches de l'adéquation, comme la Suisse et le Royaume-Uni, et 3% sont détenus aux États-Unis.
Pour un acheteur, la leçon pratique est simple : une marque européenne n'équivaut pas à quitter la juridiction américaine. C'est la chaîne de sous-traitants qui en décide, et elle doit se lire outil par outil.
Cinq catégories où aucune option n'est totalement à l'abri
Dans 5 des 22 catégories, aucun des outils que nous avons audités n'est exempt d'exposition au CLOUD Act :
| Catégorie | Outils | Totalement à l'abri | Détail |
|---|---|---|---|
| Paiements | 12 | 0 | 9 sur 12 significatifs (Mollie, GoCardless, Klarna, SumUp, Mangopay…) |
| Comptabilité | 5 | 0 | Pennylane, sevdesk, Visma tous significatifs |
| CMS headless | 5 | 0 | Strapi et Storyblok, tous deux construits en Europe, significatifs |
| Helpdesk et chat | 6 | 0 | chaque outil porte au moins un sous-traitant américain mineur |
| Agenda et réservation | 5 | 0 | Cal.com est direct (constitué aux États-Unis) |
Les paiements sont le cas le plus net. Sur les douze prestataires de paiement européens que nous listons, aucun n'est totalement à l'abri — neuf sont significatifs. La raison est structurelle : l'infrastructure de traitement des cartes et de cloud en dessous fait entrer même les prestataires détenus dans l'UE dans le périmètre. C'est l'illustration la plus claire du schéma dans tout ce jeu de données — propriété européenne, exposition américaine, décidée plus bas dans la chaîne.
Là où l'Europe a bien des options propres
Le tableau n'est pas uniforme. Plusieurs catégories ont une forte couverture totalement à l'abri :
- Messagerie privée — 9 sur 11 à l'abri (Tuta, mailbox.org, Posteo, Infomaniak)
- Hébergement cloud — 11 sur 13 à l'abri (Hetzner, OVHcloud, Scaleway)
- Partage de fichiers — 7 sur 14 à l'abri
- Gestionnaires de mots de passe — 5 sur 9 à l'abri
Le schéma est cohérent : l'Europe dispose d'options pleinement souveraines là où la catégorie est légère en infrastructure et maîtresse de l'identité — messagerie, stockage, secrets — et peine là où une catégorie dépend de rails de paiement profonds ou d'une infrastructure de plateforme hébergée aux États-Unis.
Pourquoi cela compte maintenant
La demande est établie : IDC identifie la protection contre les demandes de données extraterritoriales comme le premier moteur de l'adoption du cloud souverain en Europe. La politique va dans le même sens — le paquet européen sur la souveraineté technologique, annoncé le 27 mai 2026, fait entrer la question « est-ce vraiment sous contrôle européen ? » dans les achats courants.
Ce qui manquait, c'est une carte par outil et par catégorie indiquant où un acheteur européen peut, ou non, échapper aujourd'hui au CLOUD Act. L'essentiel n'est pas que l'Europe manque d'alternatives — souvent ce n'est pas le cas —, mais que la disponibilité est inégale, et que choisir au seul drapeau laisse la plupart des acheteurs plus exposés qu'ils ne le croient.
Comment nous évaluons cela
Pour chaque outil, nous consignons des signaux factuels et sourcés — juridiction de l'opérateur, maison mère, sous-traitants nommés et région d'hébergement — et classons l'exposition au CLOUD Act sur une échelle à quatre niveaux : aucune, mineure, significative, directe, chacune avec une définition publiée. C'est une évaluation éditoriale fondée sur les informations publiques, pas une auto-déclaration des éditeurs, et nous la revérifions chaque trimestre. La méthode complète figure sur notre page comment nous évaluons.
Les chiffres ici sont un instantané au 10 juin 2026 et évolueront à mesure que le jeu de données s'étoffe et que les éditeurs modifient leurs informations. Pour vérifier un outil précis, consultez-le dans l'annuaire — chaque fiche porte sa région d'hébergement, sa chaîne de sous-traitants, son niveau CLOUD Act et la date de dernière vérification.
Questions fréquentes
- Choisir un outil européen supprime-t-il l'exposition au CLOUD Act américain ?
- Pas à lui seul. Dans notre jeu de données de 184 outils européens et privacy-first, 66% portent encore une exposition au CLOUD Act malgré leur orientation européenne — le plus souvent via leur hébergement, leurs sous-traitants ou un financement américain, et non parce que l'éditeur est américain. L'exposition doit se vérifier outil par outil, à travers la propriété, la région d'hébergement et la chaîne de sous-traitants.
- Que signifie 'exposition au CLOUD Act' chez EU Vetted ?
- C'est notre classification éditoriale à quatre niveaux indiquant si les données clients pourraient relever de la portée extraterritoriale du droit américain : aucune (opérateur européen, pas de maison mère américaine ni de sous-traitant américain notable), mineure (un sous-traitant américain transitoire comme un CDN, données au repos dans l'UE), significative (une maison mère américaine ou un hyperscaler américain comme sous-traitant central) et directe (l'opérateur lui-même est constitué aux États-Unis). Elle repose sur les informations publiques et est revérifiée chaque trimestre.
- Quelles catégories de logiciels n'ont aucune option totalement à l'abri ?
- Au mois de juin 2026, cinq des 22 catégories que nous couvrons n'ont aucun outil totalement exempt d'exposition au CLOUD Act : paiements, comptabilité, CMS headless, helpdesk et chat, ainsi qu'agenda et réservation. Les paiements sont les plus nets — aucun des douze prestataires européens que nous listons n'est totalement à l'abri, et neuf sont classés significatifs.
- Où l'Europe a-t-elle vraiment des options propres ?
- Dans les catégories légères en infrastructure et maîtresses de l'identité. Messagerie privée (9 sur 11 à l'abri), hébergement cloud (11 sur 13), partage de fichiers (7 sur 14) et gestionnaires de mots de passe (5 sur 9) ont tous une forte couverture totalement à l'abri. Les lacunes apparaissent là où une catégorie dépend de rails de paiement profonds ou d'une infrastructure de plateforme hébergée aux États-Unis.
Pour chaque produit, nous lisons la DPA publique, le document des sous-traitants, la déclaration de région d’hébergement et les registres de propriété — chacun horodaté. Les signaux sont éditoriaux, revérifiés chaque trimestre. Nous n’acceptons jamais l’auto-déclaration.