Comment identifier les fausses promesses de souveraineté et protéger reellement vos données.
"Heberge en Europe" ou "Siège en Suisse" ne signifie PAS que vos données sont protégées des lois americaines.
Une facade marketing qui masque une dependance reelle a des infrastructures soumises aux lois americaines de surveillance.
Entreprise basee en Suisse mais hébergée sur AWS, Azure ou GCP. Les données transitent par des serveurs soumis au CLOUD Act, FISA 702 et EO 12333.
Exemple
Lakera : siège a Zurich, infrastructure AWS
Utilisation de datacenters en Europe mais appartenant a des hyperscalers US. La localisation des serveurs ne protégé pas contre les lois extraterritoriales americaines.
Exemple
AWS Frankfurt, Azure Paris, GCP Belgium
Promesses de souveraineté dans les CGV mais aucune garantie technique ou juridique reelle. Un contrat ne peut pas protéger contre une injonction FISA.
Exemple
"Nous ne partageons pas vos données" - mais legalement obliges de le faire
Entreprise europeenne avec une filiale aux USA. Cette filiale suffit a soumettre l'ensemble du groupe aux lois americaines, y compris pour les données europeennes.
Exemple
Deutsche Telekom (T-Mobile US), SAP (SAP America)
Le CLOUD Act est souvent cite, mais FISA 702 et EO 12333 sont bien plus dangereux.
Permet aux autorites US d'exiger des données stockees a l'etranger par des entreprises americaines. Nécessité un mandat.
Surveillance de MASSE des non-americains SANS mandat. La FISA Court approuve des programmes entiers. Renouvele en avril 2024 avec pouvoirs etendus.
Autorisé la NSA a collecter des données EN MASSE sur les réseaux etrangers : cables sous-marins, points d'echange internet, datacenters hors USA.
Le FBI peut exiger des métadonnées SANS mandat. L'entreprise ne peut PAS informer la cible (gag order permanent).
FISA 702 et EO 12333 permettent la surveillance de masse SANS mandat, SANS notification a la cible. Meme un hebergement en Europe ne protégé pas si le fournisseur est americain ou utilisé une infrastructure americaine.
Comment vérifier si un fournisseur est reellement souverain ?
| Critere | Adlibo | Concurrents US/Mixtes |
|---|---|---|
| Siège social et entite mere en Suisse/Europe | ||
| Infrastructure 100% suisse/europeenne (pas AWS/Azure/GCP) | ||
| Aucune filiale aux USA | ||
| Personnel technique 100% en Suisse/Europe | ||
| Hors portée FISA 702 et EO 12333 | ||
| Hors alliance Five/Nine/Fourteen Eyes | ||
| Souveraineté auditable (pas seulement contractuelle) |
100% Confédération Helvétique, Genève. Pas AWS, pas Azure, pas GCP.
Droit suisse exclusif. Hors CLOUD Act, FISA 702, EO 12333.
Personnel 100% en Suisse. "Firewall humain" europeen.