Alternative gestionnaire mots de passe hors CLOUD Act

Q: Aegirex est-il auditable juridiquement et techniquement ?

Oui sur les deux plans. Juridiquement : Aegirex SASU est une société française immatriculée au RCS français, le contrat standard prévoit la juridiction française et l'absence de sous-traitant extra-UE dans le chemin de données. Techniquement : le code source est intégralement publié sous AGPL-3.0 sur GitHub, y compris les fonctionnalités Pro et Business, et la chaîne d'audit HMAC-SHA-256 est vérifiable indépendamment via la commande bin/console aegirex:audit:verify. Aucun module n'est sous licence propriétaire fermée.

01 / Cadre juridique

Qu'est-ce que le CLOUD Act ?

Le Clarifying Lawful Overseas Use of Data Act a été promulgué le 23 mars 2018 par le Congrès américain. Il modifie le Stored Communications Act de 1986 et établit la portée extraterritoriale des injonctions américaines sur les données détenues par les fournisseurs soumis à la juridiction des États-Unis.

Le mécanisme central tient en une phrase : un fournisseur de services de communication électronique soumis au droit américain doit produire, préserver ou divulguer toute donnée sous son contrôle ou sa possession, qu'elle soit stockée à l'intérieur ou à l'extérieur des États-Unis, sur réquisition d'une autorité fédérale compétente (mandat, ordonnance de tribunal, lettre de sécurité nationale).

Le texte a été conçu pour résoudre l'incertitude née de l'affaire Microsoft v. United States (« Microsoft Ireland »), dans laquelle la Cour suprême américaine devait trancher si les autorités fédérales pouvaient saisir des données stockées par Microsoft dans son centre de données irlandais. Le CLOUD Act a rendu la question moot en établissant explicitement la portée extraterritoriale.

Deux autres textes complètent l'arsenal. FISA Section 702, du Foreign Intelligence Surveillance Act, autorise la collecte ciblée de communications de personnes non-américaines situées hors des États-Unis, auprès des fournisseurs de services soumis à la juridiction américaine. L'Executive Order 12333, signé en 1981 et toujours en vigueur, encadre les activités de renseignement extérieur des agences américaines hors cadre judiciaire. Ces trois textes forment un faisceau cohérent : judiciaire (CLOUD Act), administratif sous contrôle judiciaire restreint (FISA 702), exécutif autonome (EO 12333).

L'arrêt Schrems II de la Cour de justice de l'Union européenne, rendu le 16 juillet 2020 (affaire C-311/18), a invalidé le mécanisme du Privacy Shield au motif que ces textes américains n'offraient pas un niveau de protection substantiellement équivalent à celui exigé par le droit de l'Union, notamment au regard du droit fondamental à la protection des données personnelles et du droit à un recours juridictionnel effectif. L'arrêt impose désormais, pour tout transfert vers un pays tiers, une analyse au cas par cas (Transfer Impact Assessment) du régime juridique d'accès aux données par les autorités publiques de ce pays.

Pour le secteur des coffres-forts B2B et des gestionnaires de secrets, l'enjeu est direct : confier ses identifiants critiques (accès cloud, secrets d'API, clés SSH, comptes administratifs) à un prestataire soumis au CLOUD Act, c'est accepter contractuellement qu'une autorité fédérale étrangère puisse, dans des conditions encadrées par son propre droit interne mais opaques pour le client européen, contraindre la divulgation. Cela ne signifie pas que l'événement se produira ; cela signifie que l'exposition existe et qu'elle est documentée par les statistiques publiques de transparence des grands acteurs américains.

02 / Idée reçue

Le piège des « régions UE ».

Une partie significative du marché B2B européen croit, à tort, que le choix d'une région européenne (Francfort, Dublin, Bruxelles, Amsterdam) chez un hyperscaler américain neutralise l'exposition au CLOUD Act. Cette croyance résulte d'une confusion entre localisation physique des serveurs et nationalité juridique de l'opérateur.

Le critère pertinent du CLOUD Act n'est pas géographique mais juridique : l'obligation pèse sur toute entité soumise à la juridiction des États-Unis. Cette catégorie inclut évidemment les sociétés américaines (Delaware, Californie, Washington) mais aussi leurs filiales étrangères tant qu'elles restent sous contrôle effectif d'une maison-mère américaine. La doctrine du control test, classique en droit international privé américain, considère qu'une société peut être contrainte à produire des documents détenus par une filiale qu'elle contrôle, même implantée à l'étranger.

En pratique, héberger ses données chez un hyperscaler américain dans une région européenne revient à : bénéficier d'une latence faible (Frankfurt, Paris, Dublin, Belgique), bénéficier d'une localisation conforme aux exigences de résidence des données du RGPD pour les transferts intra-UE, mais ne pas neutraliser l'exposition juridique à une réquisition fédérale américaine adressée à la maison-mère. Les données restent sous le contrôle effectif d'une entité soumise au droit US.

L'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) et la CNIL ont publiquement reconnu ce point dans plusieurs publications post-Schrems II. L'analyse d'impact de transfert recommandée par le Comité européen de la protection des données (EDPB) dans ses recommandations 01/2020 prend explicitement en compte ce critère de soumission juridique de l'opérateur, indépendamment de la localisation physique des serveurs.

La conséquence opérationnelle est qu'un client européen utilisant un service hébergé en région UE d'un acteur américain doit, en toute rigueur, documenter dans son registre des activités de traitement le risque résiduel d'accès par des autorités américaines, et mettre en place des mesures supplémentaires (chiffrement de bout en bout côté client avec clés conservées en Europe, séparation stricte des juridictions de contrôle, pseudonymisation forte). Pour un coffre-fort de secrets, le chiffrement zero-knowledge côté client est précisément la mesure supplémentaire qui permet de réduire le risque opérationnel — ce que Aegirex fait nativement.

03 / Position structurelle

Comment Aegirex échappe au CLOUD Act.

Quatre points structurels rendent Aegirex juridiquement hors du champ d'application du CLOUD Act, de FISA 702 et de l'Executive Order 12333. Chacun est vérifiable par un tiers : extrait Kbis, contrat d'hébergement, contrat client standard, code source public.

1 · Société française

Aegirex SASU est une société par actions simplifiée immatriculée au registre du commerce et des sociétés français. Aucune filiale ni holding américaine : l'actionnariat est entièrement européen et l'extrait Kbis est disponible publiquement sur les registres officiels (Infogreffe, Pappers). Aucune entité du groupe n'a d'établissement stable, de représentant légal ni de présence opérationnelle aux États-Unis. Aucune soumission au droit US n'est donc activable par la voie classique de la juridiction personnelle.

2 · Infrastructure 100 % France

L'infrastructure de production est hébergée en région parisienne, sur trois zones de disponibilité physiquement distinctes en France métropolitaine, dont une dans une installation en bunker anti-atomique (Scaleway). Aucune réplication n'est effectuée vers une région extra-européenne. Les sauvegardes chiffrées sont conservées uniquement sur des sites français. Le sous-traitant d'hébergement est lui-même une société française dont le contrat prévoit l'exclusion de toute juridiction extra-UE.

3 · Juridiction française au contrat

Le contrat standard Aegirex prévoit l'application exclusive du droit français pour toute interprétation et la compétence exclusive des tribunaux français de Paris pour tout litige. Aucune clause d'arbitrage international, aucune clause de forum non conveniens, aucune élection de droit étranger. Le DPA standard (plan Business) reprend ces principes et exclut tout sous-traitant ultérieur situé hors UE sans accord exprès écrit du client.

4 · Code AGPL-3.0 vérifiable

Le code source Aegirex est intégralement publié sous licence AGPL-3.0 sur GitHub, y compris les fonctionnalités Pro, Business et Enterprise. Aucun module n'est gardé sous licence propriétaire fermée. Toute organisation peut auditer le code, vérifier l'absence de télémétrie sortante non documentée, et déployer Aegirex sur sa propre infrastructure (Docker Compose ou Kubernetes) pour neutraliser tout risque résiduel lié au mode Cloud opéré par Aegirex.

04 / Comparatif structurel

Trois positions de marché, une grille juridique.

Comparaison du positionnement Aegirex face à deux archétypes anonymisés du marché. Aucun nom de marque n'est cité : la grille ne porte pas sur des produits mais sur des positions structurelles facilement identifiables.

Critère	Aegirex	Solutions US grand public	Solutions UE chez hyperscaler US
Entité juridique opératrice	Société française (SAS), RCS français, actionnariat européen	Société américaine (Delaware, Californie, Washington ou Canada) ou filiale US	Société européenne (souvent FR, DE, BE, LU) mais infrastructure opérée par un acteur américain
Hébergement effectif	Paris exclusif, 3 AZ dont 1 site bunker, sous-traitant français	États-Unis par défaut, parfois multi-régions incluant Europe sur tier Enterprise	Région UE de l'hyperscaler (Frankfurt, Dublin, Belgique, Pays-Bas), opérée par une entité US
Juridiction au contrat standard	Droit français exclusif, tribunaux de Paris	Droit US (souvent État du siège de l'éditeur), arbitrage AAA fréquent	Droit local du sous-traitant européen pour le contrat client, mais infrastructure soumise au CLOUD Act via l'hyperscaler
Exposition CLOUD Act / FISA 702 / EO 12333	Hors du champ d'application : aucune entité soumise au droit US	Plein champ : éditeur soumis à la juridiction américaine directement	Champ via l'hyperscaler : le sous-traitant technique reste soumis au droit US
Code source disponible	AGPL-3.0 intégral, fonctionnalités Pro et Business incluses	Variable : majoritairement propriétaire, parfois open core (briques avancées fermées)	Variable selon l'éditeur logiciel ; l'infrastructure sous-jacente reste fermée par construction

La grille ne porte aucun jugement sur la qualité technique ou la sécurité des solutions américaines, qui peuvent être excellentes sur ces plans. Elle isole strictement la dimension d'exposition juridique au CLOUD Act, à FISA 702 et à l'Executive Order 12333, qui est une variable indépendante de la qualité d'ingénierie.

05 / Protections européennes

Le cadre légal européen invoqué.

Quatre piliers juridiques européens encadrent la réception d'injonctions étrangères et orientent le choix rationnel d'un coffre-fort B2B souverain.

RGPD Article 48 — Transferts non autorisés par le droit de l'Union

« Toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union ou un État membre. »

Cet article pose une règle de blocage explicite. Une injonction CLOUD Act adressée directement à une entreprise européenne (sans passer par les canaux de coopération judiciaire prévus par les accords d'entraide) n'est ni reconnue ni exécutoire en Union européenne. Aegirex étant une entité exclusivement française, c'est précisément ce régime qui s'applique.

Arrêt Schrems II — CJUE 16 juillet 2020 (C-311/18)

Arrêt qui a invalidé la décision d'adéquation Privacy Shield et imposé l'analyse au cas par cas de tout transfert vers un pays tiers, en considérant l'effectivité juridictionnelle dont dispose la personne concernée pour faire valoir ses droits, et la conformité du régime d'accès des autorités publiques du pays tiers avec les standards européens. L'arrêt a en pratique rendu plus exigeants les transferts vers les États-Unis, en l'absence d'un cadre de protection substantiellement équivalent.

Pour une organisation choisissant Aegirex en mode Cloud français, le problème est neutralisé : il n'y a pas de transfert international au sens du chapitre V du RGPD.

NIS2 — Directive (UE) 2022/2555

La directive NIS2, dont la transposition française est en cours de finalisation sur la période 2026-2027, impose aux entités essentielles et importantes une gestion documentée des risques liés à la chaîne d'approvisionnement et aux sous-traitants. La concentration des secrets critiques chez un prestataire soumis à un droit étranger constitue, dans cette logique, un risque de chaîne d'approvisionnement directement adressable par le choix d'un prestataire souverain.

Code civil français, articles 1240 et suivants

La responsabilité civile délictuelle française engage tout auteur d'un dommage causé par sa faute. Un dirigeant d'entité européenne qui aurait confié des secrets critiques à un prestataire soumis à un droit étranger, sans en analyser l'impact ni mettre en œuvre de mesures supplémentaires, pourrait voir sa responsabilité engagée en cas de divulgation. Choisir un acteur européen souverain est ainsi un acte de diligence ordinaire, pas une posture militante.

06 / FAQ juridique

Les huit questions les plus posées.

Questions posées par des DPO, des RSSI et des juristes données préparant un dossier d'éligibilité à Aegirex. Les réponses se veulent strictement descriptives du droit applicable ; aucune consultation juridique individuelle n'est délivrée par cette page.

Le CLOUD Act s'applique-t-il aux filiales européennes d'entreprises américaines ?

Oui. Le CLOUD Act, voté en 2018, permet aux autorités fédérales américaines de contraindre une entreprise soumise au droit US à produire des données stockées sous son contrôle effectif, quelle que soit la localisation géographique du serveur. Une filiale européenne d'une maison-mère américaine reste contrôlée par cette maison-mère et peut donc être contrainte. La région UE d'un hyperscaler américain n'est pas une protection juridique, c'est une protection logistique (latence, résidence physique au sens du RGPD chapitre V), mais elle ne neutralise pas l'exposition.

La région EU d'un hyperscaler suffit-elle pour échapper au CLOUD Act ?

Non. La localisation des serveurs en Allemagne, en Irlande, en Belgique ou aux Pays-Bas ne modifie pas la nationalité de l'entreprise opératrice. Tant que l'entité juridique qui contrôle l'infrastructure relève du droit américain, elle peut être contrainte par une décision judiciaire fédérale américaine, indépendamment de la frontière physique. L'arrêt Schrems II de la CJUE du 16 juillet 2020 a confirmé que cette exposition rendait le Privacy Shield insuffisant comme cadre de transfert. Le successeur — Data Privacy Framework de 2023 — fait l'objet de recours actifs et son avenir reste incertain.

Que dit exactement le RGPD à propos d'une réquisition américaine ?

L'article 48 du RGPD dispose qu'aucune décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant le transfert ou la divulgation de données personnelles n'est reconnue ni exécutable en Union européenne, à moins qu'elle ne soit fondée sur un accord international en vigueur (traité d'entraide judiciaire, par exemple). Une injonction CLOUD Act ne satisfait pas cette condition et entre donc en conflit direct avec le droit européen. Le considérant 115 du RGPD précise que les transferts ne peuvent reposer que sur les bases définies au chapitre V du règlement.

Un DPA standard suffit-il à neutraliser le CLOUD Act ?

Non. Un Data Processing Agreement (DPA) au sens du RGPD organise la relation responsable de traitement / sous-traitant, mais il ne peut pas opposer un texte de droit interne d'un État tiers. Si le sous-traitant est juridiquement soumis au droit américain, le DPA ne le délie pas de cette obligation. C'est la nationalité juridique de l'opérateur et la juridiction du contrat qui priment, pas la clause contractuelle isolée. Les clauses contractuelles types (CCT) post-Schrems II exigent désormais une analyse d'impact des lois du pays tiers (Transfer Impact Assessment) et la mise en œuvre de mesures supplémentaires documentées : chiffrement bout-en-bout côté client, séparation de juridictions de contrôle, pseudonymisation forte.

Aegirex est-il auditable juridiquement et techniquement ?

Oui sur les deux plans. Juridiquement : Aegirex SAS est une société française immatriculée au RCS français, le contrat standard prévoit la juridiction française et l'absence de sous-traitant extra-UE dans le chemin de données, et le DPA Business est mis à disposition. Techniquement : le code source est intégralement publié sous AGPL-3.0 sur GitHub, y compris les fonctionnalités Pro et Business, et la chaîne d'audit HMAC-SHA-256 est vérifiable indépendamment via la commande bin/console aegirex:audit:verify. Aucun module n'est sous licence propriétaire fermée. Un cabinet d'audit PASSI peut être mandaté en parallèle, nous fournissons l'intégralité de la documentation d'architecture.

FISA Section 702 vise-t-elle aussi les entreprises non-américaines ?

FISA Section 702 vise les fournisseurs de services de communications électroniques soumis à la juridiction américaine, et exige d'eux la collecte ciblée de communications de personnes non-américaines situées hors des États-Unis. Une entreprise française sans présence opérationnelle aux États-Unis ni filiale américaine n'est pas dans le champ de FISA 702. L'Executive Order 12333 régit la collecte de renseignement extérieur menée par les agences américaines hors cadre judiciaire, mais ne crée pas d'obligation contraignante pour une entreprise française : il encadre une activité d'État, pas une obligation de coopération d'un prestataire tiers européen.

Que pèse Schrems II concrètement sur le choix d'un coffre-fort B2B ?

L'arrêt Schrems II du 16 juillet 2020 a invalidé le Privacy Shield comme base de transfert de données vers les États-Unis et impose désormais une analyse d'impact de transfert (Transfer Impact Assessment) avant tout recours à des clauses contractuelles types vers un pays tiers ne disposant pas d'une décision d'adéquation pérenne. Pour un coffre-fort B2B, choisir un opérateur français évite cette analyse coûteuse et le risque réglementaire associé : il n'y a tout simplement pas de transfert international, donc pas de procédure complémentaire à monter. Le DPO gagne plusieurs semaines de travail, et le RSSI gagne un point de conformité documenté intrinsèquement.

L'AGPL-3.0 protège-t-elle juridiquement contre une réquisition ?

La licence AGPL-3.0 ne crée pas en soi une immunité juridique : elle garantit que le code peut être audité, forké et auto-hébergé librement. La conséquence pratique est double. D'une part, une organisation qui le souhaite peut déployer Aegirex sur son infrastructure, hors de toute relation contractuelle avec l'éditeur, et donc hors de toute prise éventuelle d'une autorité étrangère sur l'éditeur. D'autre part, la transparence du code permet de vérifier que l'architecture zero-knowledge OpenPGP rend matériellement impossible la divulgation des secrets en clair par l'éditeur, même contraint. Une réquisition portant sur la base Aegirex ne livrerait que des secrets chiffrés inutilisables sans les clés des destinataires, qui ne quittent jamais le navigateur du client.

07 / Pour aller plus loin

Quatre ressources techniques et juridiques pour documenter votre choix d'un coffre-fort B2B souverain.

Tous les tarifs détaillés

Plans Gratuit, Pro, Business et Enterprise. Le DPA standardisé est inclus dès Business. La juridiction française au contrat est standard sur tous les plans.

Voir les tarifs

Architecture de sécurité

Détails cryptographiques : OpenPGP.js v6, Argon2id (RFC 9106), AES-256-GCM, HMAC-SHA-256 chaîné. Architecture zero-knowledge documentée pour un audit indépendant.

Lire la page sécurité

Confiance et conformité

Société française, hébergement Paris, trajectoire SecNumCloud, DPA, engagements publics de transparence et de non-transfert extra-UE.

Voir la page confiance

Plan associations et chercheurs

Plan Pro complet offert pendant douze mois aux associations loi 1901, aux chercheurs académiques et aux start-up de moins d'un an. Souveraineté accessible aux budgets nuls.

Voir le programme offert

08 / Démarrer

Vos secrets,
sur juridiction française.

Créez votre coffre-fort Aegirex sans carte bancaire et sans engagement. Le plan Gratuit est offert à vie pour l'usage individuel et inclut l'intégralité des briques cryptographiques. Le code source AGPL-3.0 est ouvert pour audit immédiat.

Créer mon coffre · gratuit à vie Voir le code source AGPL

Société française, RCS français, aucune entité US

Hébergement Paris exclusif, 3 AZ dont bunker anti-atomique

Juridiction française au contrat standard

Code AGPL-3.0 intégral, audit chain HMAC vérifiable

Hors champ CLOUD Act, FISA 702, EO 12333

Une alternative au-delà du CLOUD Act américain.