Souveraineté numérique suisse : pourquoi le CLOUD Act rend l'IA américaine risquée
La souveraineté numérique n'est plus un concept abstrait pour les entreprises suisses. Le CLOUD Act américain et la section 702 du FISA créent un risque juridique concret pour toute organisation utilisant des services cloud ou IA américains. Décryptage.
Le CLOUD Act : ce que dit vraiment la loi
Le Clarifying Lawful Overseas Use of Data Act (2018) autorise les autorités américaines à exiger l'accès aux données détenues par des entreprises américaines, même si ces données sont stockées hors des États-Unis. Concrètement :
- Microsoft, Google, Amazon, OpenAI : soumis au CLOUD Act
- Les données de vos employés dans ChatGPT Enterprise : accessibles sur demande judiciaire US
- Pas de notification obligatoire : votre entreprise peut ne jamais savoir que ses données ont été consultées
FISA 702 : la surveillance de masse
La section 702 du Foreign Intelligence Surveillance Act permet la surveillance de masse des communications de non-Américains. Les implications :
- Toute requête envoyée à un LLM américain peut être interceptée
- Les prompts contenant des données stratégiques (brevets, négociations, M&A) sont exposés
- La loi a été renouvelée en 2024 avec des pouvoirs élargis
L'impact pour les entreprises suisses
Secret bancaire et CLOUD Act : incompatibles
L'Art. 47 de la loi sur les banques interdit la divulgation d'informations bancaires. Le CLOUD Act autorise exactement cette divulgation. Ces deux lois sont en conflit direct.
nLPD et transferts internationaux
La nLPD (entrée en vigueur le 1er septembre 2023) impose que les transferts de données vers des pays ne garantissant pas un niveau de protection adéquat soient encadrés par des garanties contractuelles. Les États-Unis ne figurent pas dans la liste des pays adéquats du Conseil fédéral.
Schrems II : le précédent européen
L'arrêt Schrems II (CJUE, 2020) a invalidé le Privacy Shield UE-US. Bien que la Suisse ne soit pas directement liée par cette décision, le raisonnement s'applique : les lois de surveillance américaines sont incompatibles avec la protection des données européenne et suisse.
La solution : tokenisation souveraine
Senseway d'Adlibo résout ce dilemme fondamental :
- Vos données restent en Suisse : le vault (PostgreSQL, Infomaniak Genève) ne quitte jamais le territoire
- Le LLM ne reçoit que des tokens :
[protected.1],[protected.2]— des identifiants sans valeur - Même si le CLOUD Act s'applique : l'attaquant obtient des tokens inexploitables
- Multi-LLM : 8 providers (dont des modèles européens) avec routing intelligent
Stockage et localisation
| Composant | Localisation | Soumis CLOUD Act ? |
|---|---|---|
| Vault Senseway | Genève, CH | Non |
| Base de données | Genève, CH | Non |
| Application | Genève, CH | Non |
| LLMs | US/EU (reçoit tokens uniquement) | Oui — mais tokens sans valeur |
Recommandations pour les CISO
- Auditez vos flux de données IA : identifiez tous les points où des données transitent vers des services US
- Évaluez l'impact CLOUD Act : quelles données seraient exposées en cas de demande judiciaire US ?
- Tokenisez avant envoi : la seule façon d'utiliser des LLMs américains en toute sécurité
- Documentez vos mesures : la FINMA et le PFPDT attendent des preuves de diligence
- Testez avec Sovereignty Audit : l'outil Adlibo identifie automatiquement les risques de souveraineté
Conclusion
Le CLOUD Act ne disparaîtra pas. Mais les entreprises suisses n'ont pas à choisir entre IA et souveraineté. La tokenisation CRT de Senseway permet d'utiliser les meilleurs LLMs mondiaux tout en garantissant que les données sensibles restent intégralement sous juridiction suisse.
Audit de souveraineté gratuit : adlibo.com/tools/sovereignty-audit