Les données sauvegardées avec Cybee sont-elles soumises au Cloud Act ou FISA ?

Cybee est un éditeur français, sans société mère américaine, dont tous les sous-traitants sont établis dans l'UE. Et même en cas de réquisition, les données sont chiffrées à la source : illisibles sans les clés, qui ne quittent jamais l'Europe.

C’est une question que les DSI et RSSI ont raison de poser : le Cloud Act et la section 702 de FISA permettent aux autorités américaines d’exiger de fournisseurs soumis à la juridiction des États-Unis la remise de données, y compris lorsqu’elles sont stockées en Europe. La localisation des datacenters ne suffit donc pas : c’est la nationalité et la structure juridique du fournisseur qui déterminent l’exposition.

L’exposition juridique de Cybee : les faits

Contrairement aux solutions de sauvegarde américaines — dont les filiales européennes restent soumises aux réquisitions de leur maison mère — la chaîne de traitement de Cybee est européenne de bout en bout :

  • Cybee est une société française, sans société mère ni établissement aux États-Unis, soumise au droit français et européen ;
  • Aucun sous-traitant hors UE/EEE : l’engagement figure dans les documents contractuels. Les hébergeurs sont européens et nommés au contrat — Leviia (France) et T Cloud Public de T-Systems (Allemagne/Pays-Bas) ;
  • Aucun transfert de données hors de l’Union européenne n’est réalisé au titre du service ;
  • Pour les organisations aux exigences de souveraineté les plus strictes, un hébergement 100 % français (Leviia, datacenters à Lyon ou Marseille) est disponible.

Une réquisition américaine visant les données confiées à Cybee ne disposerait donc pas du levier juridique direct qui existe face à un fournisseur américain : elle devrait emprunter les canaux de l’entraide judiciaire internationale, encadrés et contrôlés par les autorités françaises.

La protection décisive : le chiffrement à la source

L’analyse juridique a ses limites : les montages capitalistiques évoluent, les doctrines d’application extraterritoriale aussi. C’est pourquoi la vraie garantie de Cybee est technique, pas seulement juridique :

  • Les données sont chiffrées en AES-256 sur les systèmes du client, avant tout envoi. Ce qui est stocké chez l’hébergeur n’est jamais que du contenu chiffré ;
  • Les clés de chiffrement sont conservées dans un coffre-fort technique opéré par Cybee en Europe, et ne transitent jamais par l’hébergeur ;
  • Le déchiffrement s’exécute exclusivement sur les systèmes du client.

Conséquence concrète : même dans le scénario le plus défavorable — une remise de données par un hébergeur sous contrainte légale —, ce qui serait remis est inexploitable : des blocs chiffrés, sans les clés. La confidentialité des données ne repose pas sur la bonne volonté d’un acteur ou sur l’issue d’un contentieux juridique, mais sur la cryptographie.

Ce qu’il faut retenir

La bonne question à poser à tout fournisseur de sauvegarde n’est pas seulement « où sont mes données ? », mais : « qui peut être contraint de les remettre, et seraient-elles lisibles ? ». Avec Cybee, la réponse tient en deux points : une chaîne d’acteurs exclusivement européenne, et des données dont le contenu reste cryptographiquement hors de portée — de l’hébergeur, des autorités étrangères, et de Cybee elle-même.

Pour aller plus loin :

  • Où sont stockées les sauvegardes ? (fiche FAQ)
  • Les données sont-elles chiffrées ? (fiche FAQ)
  • Cybee aide-t-il à répondre aux exigences NIS2 ? (fiche FAQ)