Votre code source contient votre propriete intellectuelle, vos algorithmes, vos secrets commerciaux. Pourtant, si vous utilisez GitHub, GitLab.com ou Bitbucket Cloud, ces donnees sont hebergees aux Etats-Unis et soumises au CLOUD Act depuis 2018.
Cet article explique concretement ce que cette loi signifie pour votre entreprise francaise, et quelles sont vos options pour proteger votre code.
Le CLOUD Act en 3 minutes
Le Clarifying Lawful Overseas Use of Data Act, adopte en mars 2018, autorise les autorites americaines (FBI, DOJ, NSA) a demander l'acces aux donnees detenues par des entreprises americaines, meme si ces donnees sont stockees en dehors des Etats-Unis.
Ce qui signifie : si votre forge Git est operee par une entreprise americaine (GitHub/Microsoft, GitLab Inc., Atlassian/Bitbucket), le gouvernement US peut acceder a votre code sans votre consentement, sans vous prevenir, et sans passer par la justice francaise.
Ce n'est pas de la fiction. C'est un cadre juridique actif, utilise regulierement par les agences federales americaines.
Votre code source est-il une « donnee sensible » ?
Pour le RGPD, le code source en tant que tel n'est pas une « donnee personnelle ». Mais il constitue un actif strategique de premier plan pour votre entreprise. Voici ce qu'on trouve regulierement dans des repositories Git :
- Algorithmes proprietaires qui constituent votre avantage concurrentiel
- Configurations d'infrastructure (Terraform, Ansible) qui revelent votre architecture
- Cles d'API et secrets commites par accident (c'est plus frequent qu'on ne le pense)
- Donnees personnelles dans les fichiers de test, fixtures, ou logs
- Strategie produit visible a travers les issues, PRs et roadmaps
Pour la doctrine Cloud au Centre de l'Etat francais, le code source des applications critiques est explicitement considere comme donnee sensible devant etre heberge sur des solutions souveraines.
Le conflit CLOUD Act vs RGPD
Le CLOUD Act et le RGPD sont en contradiction directe :
- Le RGPD (article 48) interdit le transfert de donnees vers des pays ne garantissant pas un niveau de protection adequat sans base juridique appropriee.
- Le CLOUD Act exige que les entreprises americaines fournissent les donnees sur demande, quel que soit leur lieu de stockage.
Une entreprise francaise utilisant GitHub se retrouve dans un no man's land juridique. Si les autorites americaines demandent l'acces a vos repositories, GitHub est legalement tenu de cooperer — meme si cela viole le droit europeen.
L'arret Schrems II de la CJUE (2020) a invalide le Privacy Shield, renforcant l'idee que les transferts de donnees vers les Etats-Unis sont juridiquement fragiles. Les clauses contractuelles standard (SCC) ne protegent pas contre les lois de surveillance americaines.
« Mais mes repos sont prives ! »
Un repo prive sur GitHub est invisible aux autres utilisateurs. Mais il reste pleinement accessible a GitHub (Microsoft) en tant qu'operateur, et donc aux autorites americaines via le CLOUD Act.
Le chiffrement des donnees au repos, propose par certains plans enterprise, ne resout pas le probleme : GitHub doit pouvoir dechiffrer vos donnees pour fournir son service (clones, CI/CD, code review), ce qui signifie que les cles de chiffrement sont sous son controle.
La seule protection efficace serait un chiffrement cote client avec des cles que vous seul detenez — mais cela rendrait votre forge inutilisable (impossible de faire du code review, du CI/CD, ou meme un simple diff).
La doctrine Cloud au Centre : le signal de l'Etat
En 2025, la ministre du Numerique Clara Chappaz a renforce la doctrine Cloud au Centre, qui impose aux administrations d'heberger leurs donnees sensibles sur des solutions qualifiees SecNumCloud — exclusivement operees par des entites europeennes.
Cette doctrine ne concerne directement que le secteur public. Mais elle envoie un signal fort :
- Les collectivites territoriales devront migrer hors des forges americaines.
- Le secteur de la sante (HDS) suit la meme trajectoire : la Plateforme des Donnees de Sante abandonne les clouds extra-europeens d'ici fin 2026.
- Les entreprises travaillant avec le secteur public seront de facto concernees par ces exigences de conformite.
La solution : heberger chez un operateur 100% europeen
La seule facon d'eliminer completement le risque CLOUD Act est de confier vos donnees a un hebergeur qui n'a aucun lien juridique avec les Etats-Unis.
C'est exactement le positionnement de GitForge :
- Heberge exclusivement chez Scaleway, operateur francais (filiale d'Iliad), dans des datacenters parisiens (DC3 Vitry, DC5 Saint-Ouen-l'Aumone).
- Aucune entite americaine dans la chaine : ni operateur, ni sous-traitant, ni fournisseur d'infrastructure.
- Certification ISO 27001, SecNumCloud en cours d'obtention.
- RGPD natif : DPA disponible, traitement des donnees encadre par le droit francais et europeen.
Aucune exposition au CLOUD Act. Votre code reste sous juridiction francaise et europeenne, point final.
Conclusion
Le CLOUD Act n'est pas une menace theorique. C'est un cadre juridique actif qui donne aux autorites americaines un acces potentiel a tout ce que vous stockez chez un prestataire US. Pour votre code source — qui est le coeur de votre propriete intellectuelle — la question merite d'etre posee serieusement.
La bonne nouvelle : vous n'avez plus a choisir entre fonctionnalites et souverainete. GitForge offre une forge Git complete, hebergee en France, a partir de 3,90€/user/mois.