CLOUD Act : ce qu'il dit vraiment, ce qu'il ne peut pas dire et pourquoi il réécrit le marché européen du cloud - VSX.is

En juin 2025, Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, s'est présenté devant une commission du Sénat français. Sous serment, il lui a été demandé s'il pouvait garantir que les données des clients français stockées chez Microsoft - en particulier les données confiées par l'intermédiaire de la centrale d'achat public UGAP - ne seraient pas divulguées aux autorités américaines sans le consentement exprès des autorités françaises. Il a répondu succinctement : „Non, je ne peux pas le garantir“. Non, je ne peux pas le garantir. Si Microsoft reçoit une ordonnance valide d'un tribunal américain en vertu du CLOUD Act, elle doit s'y conformer. Peu importe où se trouvent physiquement les données, peu importe ce que la France en pense.

Cette déclaration marque un tournant dans le débat sur le cloud européen, non pas parce qu'elle apporte quelque chose de nouveau. C'est parce qu'elle Acte CLOUD C'est inscrit noir sur blanc dans la loi depuis 2018. C'est inédit parce que cela a été dit haut et fort et sous serment par un représentant de l'un des plus grands fournisseurs américains, sur l'infrastructure duquel repose une partie substantielle de l'administration publique européenne. Dès lors, il est impossible de prétendre que le problème est théorique.

Dans cet article, nous allons analyser ce que le CLOUD Act signifie réellement pour vous - en tant qu'utilisateur, freelance ou entreprise en Europe - et quand il s'agit d'une raison de changer quelque chose et quand il s'agit simplement d'une raison de le comprendre.

Ce que fait la loi CLOUD avec son langage simple

En 2018, le Congrès américain a adopté un amendement à des lois plus anciennes, créées à l'époque où le cloud n'existait pas encore. L'objectif n'était pas d'introduire une nouvelle surveillance, mais de clarifier jusqu'où s'étend la juridiction américaine lorsque les données sont stockées auprès d'une entreprise américaine mais physiquement situées en Europe ou n'importe où ailleurs dans le monde.

Le litige spécifique qui s'est déroulé en arrière-plan est mené par Microsoft depuis 2013. Le procureur général des États-Unis voulait que les courriels soient stockés dans un centre de données irlandais, tandis que Microsoft soutenait que la loi américaine ne pouvait pas les atteindre. L'affaire est allée jusqu'à la Cour suprême. Avant qu'elle ne puisse statuer, le Congrès a adopté le CLOUD Act, qui a clos le litige en faveur du procureur : oui, l'injonction américaine s'applique aux données détenues à l'étranger - tant qu'elles sont détenues par un fournisseur sur lequel les États-Unis sont compétents.

L'expression clé autour de laquelle tourne tout le sujet est „possession, garde ou contrôle“. Si un fournisseur américain détient vos données dans le cadre d'une de ces relations, les autorités américaines peuvent les atteindre, quel que soit le centre de données européen où elles résident physiquement. Si les données ne sont pas entre leurs mains (par exemple, parce qu'elles ne sont pas déchiffrables sans vos clés ou parce que le fournisseur n'est pas américain), le CLOUD Act ne s'applique pas.

C'est là tout l'enjeu. Tout le reste n'est qu'un raffinement de cette phrase.

Pour les lecteurs techniques. Le CLOUD Act modifie trois anciennes lois américaines : le Stored Communications Act, le Wiretap Act et le Pen Register/Trap and Trace Statute. La principale disposition de fond figure à l'article 2713 : un fournisseur doit se conformer aux obligations de la loi sur les communications stockées, quel que soit l'endroit où se trouvent les données. Le deuxième volet (article 2523) établit le cadre des accords exécutifs bilatéraux avec les pays étrangers. Le troisième (§ 2703(h)) établit un nouveau recours procédural - l'objection de courtoisie internationale - qu'un fournisseur peut invoquer si le client n'est ni citoyen ni résident des États-Unis et que le respect des obligations violerait la loi d'un État ayant conclu un accord CLOUD Act en bonne et due forme.

Ce que le CLOUD Act ne peut pas faire (et comment les médias le dénaturent souvent)

Dans le débat européen, le CLOUD Act est souvent décrit comme „les Américains peuvent prendre vos données quand ils veulent“. C'est largement exagéré. Il convient de savoir ce que le CLOUD Act n'est manifestement pas.

Il ne s'agit pas d'une nouvelle loi sur la surveillance. Le procureur des États-Unis a toujours besoin d'un mandat fondé sur une cause probable, comme avant 2018. Le changement concerne la portée juridictionnelle, et non les conditions de l'extradition.

Il ne peut pas obliger le fournisseur à décrypter des données dont il n'a pas les clés. La loi prévoit expressément que les accords conclus en vertu du CLOUD Act ne peuvent pas imposer l'obligation de créer un mécanisme de décryptage ou de construire une porte dérobée. C'est pourquoi les services dotés d'un véritable cryptage de bout en bout (le fournisseur ne possède jamais les clés) sont soumis à un régime de risque différent de celui d'un nuage traditionnel, où les clés sont gérées par le fournisseur.

Il n'atteindra pas un fournisseur qui n'a aucun lien avec les États-Unis. Si votre fournisseur de services en nuage est une société européenne qui n'a pas de filiale, d'actifs ou de présence opérationnelle aux États-Unis, il n'est pas directement concerné par le CLOUD Act. Le conflit de lois ne se pose que lorsque le fournisseur relève des deux juridictions à la fois.

Elle n'autorise pas la collecte en vrac ou le ciblage de personnes américaines par des autorités étrangères. Les accords bilatéraux autorisés par le CLOUD Act (jusqu'à présent uniquement avec le Royaume-Uni et l'Australie) interdisent explicitement la collecte en vrac et le ciblage délibéré des citoyens américains par les autorités étrangères.

Il est important de le dire haut et fort. Le CLOUD Act est un outil permettant un accès ciblé aux données dans le cadre d'enquêtes criminelles spécifiques, et non un outil de surveillance généralisée. Pour la plupart des utilisateurs européens, la probabilité théorique que leurs données spécifiques fassent l'objet d'une décision de justice américaine est faible. Les statistiques des rapports de transparence des principaux fournisseurs montrent que la grande majorité des demandes américaines concernent des enquêtes individuelles sur des personnes spécifiques.

Un risque plus grand que le CLOUD Act. Pour les plats collecte de données sur les étrangers au service des États-Unis (FISA 702). Les conditions y sont plus souples, le contrôle judiciaire plus indirect et la portée des programmes (PRISM, Upstream) nettement plus large. Schrems II a invalidé le Privacy Shield précisément à cause de la FISA 702, et non à cause du CLOUD Act. Lorsque les régulateurs européens parlent du risque de surveillance américain, c'est techniquement ce qu'ils veulent dire.

Quand cela vous concerne

Voici ce que la plupart des articles sur CLOUD Act n'abordent pas : quand il est nécessaire de changer pour vous, et quand ce n'est pas le cas. Examinons la situation l'une après l'autre.

Utilisateur privé de services communs. Vous avez Gmail, Les données personnelles peuvent être stockées dans iCloud, OneDrive, Dropbox, etc. Le CLOUD Act s'applique techniquement à vos données, mais la probabilité que les autorités américaines les recherchent spécifiquement est très faible. Si vous traitez de santé, de finances, de relations privées ou de sujets politiquement sensibles, il y a lieu de réfléchir à des alternatives européennes (Proton, Tuta, Infomaniaque, Tresorit). Non pas à cause du FBI, mais à cause du profil de confiance général envers les prestataires qui ont l'obligation légale de faire passer les intérêts d'un État avant les vôtres.

Travailleur indépendant ou petite entreprise sans pression réglementaire. Vous vous occupez de la comptabilité, de la facturation et de la communication avec les clients. À moins que vous ne comptiez parmi vos clients quelqu'un dont les données intéressent quelqu'un d'autre (défense, journalistes, médecins, chercheurs, lobbyistes, politiciens), le risque réel de la loi CLOUD est faible pour vous. D'un point de vue stratégique, le profil de confiance général envers le fournisseur et la question de savoir qui peut lire les données de votre entreprise en cours d'exploitation - et non qui peut les faire valoir devant un tribunal - sont plus pertinents.

Une profession sensible. Avocat, médecin, thérapeute, journaliste, chercheur, enquêteur, conseiller fiscal. Pour ces professions, la loi CLOUD est une question pertinente d'un point de vue opérationnel - non pas parce que quelqu'un veut les surveiller tous, mais parce que vous ne pouvez pas vous conformer à un devoir professionnel de confidentialité si un fournisseur dans une juridiction étrangère peut vous communiquer des données sans que vous le sachiez. Les organisations professionnelles de certains pays européens commencent déjà à aborder cette question de manière normative. Pour ces professions, il vaut la peine d'avoir soit un fournisseur européen sans lien avec les États-Unis, soit des services avec un véritable cryptage de bout en bout lorsque le type de travail le permet.

Entreprise de taille moyenne avec des clients européens. C'est ici que GDPR. Si vous traitez les données personnelles de clients européens, vous êtes tenu par le droit européen de savoir qui peut y accéder. Le régulateur européen (EDPB) l'a clairement indiqué dans ses orientations mises à jour en juin 2025 : l'exigence directe du CLOUD Act n'a pas de base légitime indépendante dans le droit européen. Si votre fournisseur américain communique les données sans passer par la voie juridique appropriée, vous risquez d'avoir des problèmes avec le régulateur européen. C'est pourquoi les grandes entreprises européennes commencent à envisager sérieusement des architectures hybrides à partir de 2024, où les données sensibles restent dans l'infrastructure européenne et où le nuage américain n'est utilisé que pour les parties moins sensibles de l'opération.

Organisme réglementé ou administration publique. Pour vous, c'est nuage souverain Le choix d'une solution de rechange est presque inévitable, soit parce que le cadre réglementaire national l'exige (SecNumCloud en France, BSI C5 en Allemagne), soit parce que la responsabilité pour toute infraction à la législation sur la protection de l'environnement n'a pas encore été établie. fuite de données serait politiquement et financièrement intenable. C'est dans ce segment que le marché européen s'est transformé le plus rapidement au cours des deux dernières années.

Ce que le GDPR et le CLOUD Act font l'un pour l'autre. Pour un fournisseur ou un sous-traitant européen qui est également soumis à la juridiction américaine (en raison de son siège, de sa filiale ou de ses actifs aux États-Unis), un conflit insoluble se pose : se conformer à une décision de justice américaine signifie violer l'article 48 du GDPR, se conformer au GDPR signifie violer une décision de justice américaine. Le guide de l'EDPB 02/2024, version finale 2.1, daté du 4 juin 2025, indique explicitement que l'exigence de la loi CLOUD directe ne peut être justifiée par un „intérêt légitime“ au sens de l'article 6, paragraphe 1, point f), du GDPR. Conséquence pratique : les fournisseurs des deux juridictions n'ont pas de voie totalement sûre du point de vue du droit pur. L'une des rares options claires consiste à renvoyer les autorités américaines au MLAT (Interstate Mutual Legal Assistance Treaty), qui est officiellement disponible.

Nuage souverain : qu'est-ce que c'est vraiment et quand est-ce que c'est utile ?

Ces deux dernières années, le mot „souverain“ a été tellement utilisé dans le marketing des fournisseurs d'informatique dématérialisée qu'il a commencé à perdre sa signification concrète. Ramenons-le à l'essentiel - sans le marketing.

En Europe, il existe aujourd'hui trois types d'offres qui se présentent comme „souveraines“ et chacune a une relation différente avec le CLOUD Act.

Des fournisseurs véritablement européens. Français OVHcloud, 3DS Outscale, Oodrive, NumSpot, Scaleway. Suisse Infomaniac. L'Allemand Hetzner et d'autres participants à l'initiative Gaia-X. Ces entreprises ont des capitaux européens, une direction européenne et une présence américaine nulle ou minime. Elles ne sont pas directement couvertes par le CLOUD Act. Leur faiblesse se situe au niveau de l'échelle - elles ne peuvent pas rivaliser avec AWS ou Azure en ce qui concerne la profondeur des services spécialisés (apprentissage automatique, entreposage de données, distribution géographique) en règle générale. Mais pour la plupart des besoins standard, ils sont tout à fait suffisants.

Partenariats hybrides „souverains“. French Bleu (Orange + Capgemini exploitent la technologie Azure), S3NS (Thales avec 95 % et Google Cloud avec 5 % utilisant la technologie GCP), Delos Cloud allemand (SAP utilise Azure pour l'administration publique). Modèle : une entreprise européenne avec des capitaux européens exploite une technologie cloud américaine sous licence dans une instance isolée, avec ses propres centres de données, ses propres employés et aucune connectivité avec l'infrastructure américaine. S3NS a reçu la plus haute qualification française SecNumCloud 3.2 le 19 décembre 2025 ; Bleu a passé la deuxième étape (J1) en novembre 2025.

Cette vague est à la fois la plus affirmée politiquement et la plus controversée. L'ANSSI reconnaît ces modèles, mais son directeur Vincent Strubel a explicitement déclaré en janvier 2026 que SecNumCloud n'est pas un label politique de souveraineté, mais un outil de cybersécurité. En d'autres termes : L'ANSSI ne prétend pas que le S3NS est totalement immunisé contre le CLOUD Act. Elle affirme qu'il répond à ses normes techniques et procédurales et que le contrôle opérationnel des données est entre les mains des Européens.

OVHcloud - le plus grand fournisseur véritablement européen - soutient que les modèles hybrides ne sont pas totalement immunisés parce que la dépendance à l'égard de la technologie américaine sous licence crée un lien à long terme dont l'applicabilité juridique ne peut pas être testée à l'avance dans une situation de crise. Le litige est ouvert et aucune décision de justice ne l'a encore tranché.

Les „zones de débarquement“ américaines en Europe. Microsoft Cloud for Sovereignty, AWS European Sovereign Cloud (ouverture en janvier 2026 à Brandenburg), Oracle EU Sovereign Cloud. La présentation commerciale est similaire à celle des catégories précédentes. En pratique, elles sont différentes : l'opérateur reste la société mère américaine ou sa filiale européenne sous juridiction américaine. Le CLOUD Act s'applique ici sans réserve. AWS déclare dans ses rapports de transparence à partir de 2020 qu'elle n'a pas divulgué de contenu d'entreprise ou de gouvernement stocké en dehors des États-Unis - un signal empirique important, mais pas une garantie juridique pour l'avenir.

Comment le contrôleur le lit. Cadres européens horizontaux tels que NIS2 ou DORA ne prescrivent pas en soi le choix de l'informatique en nuage à utiliser. Elles exigent une gestion des risques de la chaîne d'approvisionnement, l'opposabilité contractuelle au fournisseur, l'auditabilité, un plan d'interruption et un contrôle d'accès. Pour les secteurs ayant leur propre réglementation (santé, finance, informations classifiées, infrastructures critiques), il existe des qualifications nationales que le cloud souverain exige généralement - SecNumCloud en France, BSI C5 en Allemagne, et des cadres similaires dans d'autres pays. C'est à ce niveau que le „cloud souverain“ passe d'un débat stratégique à une obligation légale.

Schrems, DPF et l'avenir

Parallèlement à la loi CLOUD, un deuxième volet du même problème est abordé en Europe : la question de savoir comment les données européennes peuvent légalement être transmises aux États-Unis. Il y a eu trois vagues.

Le Safe Harbor (2000) a été invalidé en 2015 par la CJUE dans l'affaire Schrems I. Le Privacy Shield (2016) a été invalidé en 2020 dans l'affaire Schrems II. La troisième tentative - le cadre de protection des données UE-États-Unis (DPF) - est en vigueur depuis juillet 2023. La CJUE devrait se prononcer sur sa validité entre 2026 et 2027. Le premier round a déjà eu lieu en septembre 2025, lorsque le Tribunal de l'UE a rejeté le recours de l'eurodéputé français Philippe Latombe. En novembre 2025, M. Latombe a fait appel devant la Cour de justice elle-même, qui a tendance à être beaucoup plus sévère dans son évaluation des pratiques de surveillance des États-Unis.

Il est important pour le CLOUD Act que le DPF ne l'affecte pas directement. Le DPF traite des transferts de données commerciales de l'UE vers les États-Unis. La loi CLOUD traite de ce que les autorités américaines peuvent faire avec les données une fois que les entreprises américaines les ont en leur possession. Il s'agit de deux niveaux parallèles d'un même problème - et ensemble, ils sont la raison pour laquelle le débat européen sur la souveraineté numérique a pris une telle ampleur au cours de la période 2024-2026.

Ce qui peut arriver au DPF. Si la Cour de justice de l'UE annule l'arrêt Schrems III, le transfert de données à caractère personnel de l'UE vers les États-Unis se fera à nouveau dans un vide juridique. Les fournisseurs américains y répondront par des clauses contractuelles types (CCN) et des mesures techniques supplémentaires, comme l'exige l'arrêt Schrems II. Pour le client européen, il s'agit généralement d'une charge administrative supplémentaire, et non d'un désastre - mais d'un point de vue stratégique, cela pousse encore plus les entreprises vers le "nuage" européen. L'effondrement éventuel du DPF figure donc dans les initiatives souveraines en matière de "cloud" comme un scénario silencieux qui accélère la migration.

Un cadre pratique pour la prise de décision

Si vous êtes confronté à la décision de savoir où mener votre propre opération, le débat sur la loi CLOUD peut être réduit à quelques questions qui se posent de manière pragmatique.

La première question concerne la sensibilité des données. Si vous vous occupez principalement de marketing, de communications d'entreprise de routine ou d'opérations non personnelles, votre décision devrait être motivée principalement par des paramètres opérationnels et économiques - le CLOUD Act est une préoccupation légitime, mais ne devrait probablement pas être la principale. Si vous traitez des dossiers médicaux, des dossiers juridiques de clients, des sources journalistiques, des données de recherche ou toute autre chose qui pourrait être dévastatrice pour vous si un tiers mettait la main dessus, le risque est réel d'un point de vue opérationnel - et mérite une considération architecturale distincte, et non un argument résigné du type „de toute façon, je ne vais pas le changer“.

La deuxième question est d'ordre réglementaire. Si vous relevez d'une réglementation sectorielle qui exige un environnement qualifié (SecNumCloud en France, BSI C5 en Allemagne, équivalents dans d'autres pays), le cloud souverain n'est pas une option - c'est une réglementation. Si vous relevez de cadres horizontaux tels que NIS2 ou DORA, la prescription est plus générale (gestion des risques, contrôle contractuel, surveillance des fournisseurs), mais elle va dans le même sens.

La troisième question est d'ordre architectural. Si vous disposez d'une architecture en couches (données moins sensibles séparées des données plus sensibles), vous pouvez souvent appliquer un modèle hybride : couche moins sensible dans le nuage américain pour les avantages opérationnels, couche sensible dans le nuage européen ou sur site. Dans la pratique, c'est la voie de compromis la plus courante choisie par les moyennes et grandes entreprises européennes entre 2025 et 2026.

La quatrième question porte sur le processus de bout en bout chiffrement. Pour la communication, les sauvegardes ou le stockage de fichiers, la voie réaliste aujourd'hui (Proton, Tuta, Tresorit, Cryptee, Signal, Matrice auto-hébergé). Attention - Signal est un opérateur américain ; son profil de risque est différent de celui des services européens (Proton, Tuta, Threema). Pour les bases de données et les tâches analytiques, un véritable cryptage de bout en bout est techniquement possible, mais les performances ne sont pas pratiques pour la plupart des charges de travail dans le monde réel. Il s'agit plutôt d'un chiffrement hybride avec contrôle des clés du côté réel.

La cinquième question est d'ordre économique. La différence de prix entre le cloud européen et le cloud américain dépend aujourd'hui fortement du type de charge de travail. Pour le stockage d'objets, les instances de calcul de base et les clusters Kubernetes, les fournisseurs européens sont souvent compétitifs, voire moins chers que les fournisseurs hyperscale américains. Pour les services gérés avancés (entreposage de données, apprentissage automatique, distribution géographique), les offres souveraines européennes ont généralement tendance à être plus chères. C'est une réalité qui doit être consciemment prise en compte dans la prise de décision.

Qu'est-ce que cela implique ?

Le CLOUD Act lui-même n'est pas principalement un outil de surveillance. Il s'agit d'une solution législative à un problème géographique qui faisait défaut au Congrès américain après l'affaire Microsoft Irlande - et que le Congrès a résolu en faveur des autorités américaines et au détriment du contrôle procédural européen par le biais du MLAT. Pour la plupart des utilisateurs européens, l'impact réel du CLOUD Act est moins important que ne le suggèrent les documents commerciaux des fournisseurs européens de services en nuage.

Mais au niveau du système, l'impact est exactement celui qu'Anton Carniaux a décrit au Sénat français : nous ne pouvons pas garantir. Et cette incapacité à garantir est un problème structurel. Elle fait de l'infrastructure sur laquelle reposent les données critiques des Etats, des entreprises et des citoyens européens un outil dont les règles sont écrites par d'autres. Pour les États, les organisations réglementées et les professions sensibles, c'est une raison d'investir dans un parcours de cloud souverain entièrement européen ou au moins hybride. Pour les utilisateurs ordinaires et les petites entreprises, il s'agit plutôt d'une raison de réfléchir aux données spécifiques qui seraient réellement affectées par la perte de contrôle juridictionnel - et de procéder à un changement à cet endroit. Le reste peut rester là où il est.

Réponse européenne - DPF, lignes directrices de l'EDPB, SecNumCloud, partenariat pour les nuages souverains, messagers du gouvernement sur la matrice, les alternatives européennes comme Infomaniac, Proton ou Threema - est largement rationnelle mais inégale. Les gouvernements et les charges classifiées vont de l'avant, les soins de santé et les PME restent sur la pile américaine parce qu'ils n'ont pas la pression réglementaire ou l'espace financier pour migrer. Ce qui se passe dans le nuage européen depuis 2023 est une consolidation lente et coûteuse de cette inégalité - et le CLOUD Act en est le catalyseur, pas la cause.

Glossaire

Porte dérobée - Un chemin caché délibérément intégré qui vous permet de contourner la protection normale (telle que le cryptage).

Collecte en vrac - Collecte de données en vrac sans soupçon spécifique et ciblé, généralement utilisée par les agences de renseignement.

Accords CLOUD Act (accords exécutifs) - Accords bilatéraux entre États qui permettent aux autorités étrangères de demander des données directement aux fournisseurs américains (et vice versa), avec des limites intégrées contre les abus. Jusqu'à présent, ces accords n'ont été conclus qu'avec le Royaume-Uni (à partir d'octobre 2022) et l'Australie (à partir du 31 janvier 2024). Des négociations sont en cours avec l'UE et le Canada.

Objection de courtoisie - Objection pour des raisons de courtoisie internationale. Dispositif procédural par lequel un prestataire peut demander à un tribunal américain d'annuler ou de modifier une ordonnance dont l'exécution violerait la loi d'un État étranger.

Cryptage de bout en bout (E2EE) - cryptage dans lequel seuls l'expéditeur et le destinataire possèdent des clés ; fournisseur de services et ne peuvent pas en décrypter le contenu, même avec une décision de justice.

EDPB (European Data Protection Board) - un organisme qui publie des documents contraignants et des recommandations sur l'application du GDPR.

FISA 702 - une loi américaine qui permet la collecte ciblée de renseignements sur des étrangers en dehors des États-Unis. Généralement plus importante que la loi CLOUD en termes de risque de surveillance européenne.

MLAT (Traité d'entraide judiciaire) - traité d'entraide judiciaire. Il s'agit de la voie formelle traditionnelle par laquelle un procureur américain demande des données à un État européen avec l'accord d'un tribunal européen. Lente (10 mois en moyenne), c'est pourquoi le CLOUD Act est souvent contourné par les autorités américaines.

Possession, garde ou contrôle - possession, custody, control„. Il s'agit de la phrase clé de la loi CLOUD qui détermine si l'agence américaine peut atteindre le fournisseur.

Mandat avec cause probable - une décision de justice fondée sur des soupçons raisonnables. Condition standard pour obtenir le contenu des communications aux États-Unis.

Schrems I / II / éventuellement III - une série d'arrêts de la CJUE qui ont progressivement aboli les mécanismes de transfert de données personnelles entre l'UE et les États-Unis (Safe Harbor 2015, Privacy Shield 2020, ou le Data Privacy Framework dans les années suivantes).

SecNumCloud - Qualification française pour les services en nuage adaptés aux applications sensibles de l'administration publique. Niveau le plus élevé 3.2.

Les informations et les évaluations contenues dans cet article sont basées sur des sources accessibles au public à la date de publication et sont susceptibles d'être modifiées au fil du temps. Pour une évaluation juridique spécifique de votre situation, nous vous recommandons de consulter un conseiller juridique spécialisé dans la protection des données et le droit des technologies de l'information.

Le CLOUD Act : ce qu'il dit vraiment, ce qu'il ne peut pas dire et pourquoi il est en train de réécrire le marché européen de l'informatique dématérialisée.