Quand vous signez un contrat de portage salarial, vous ne confiez pas seulement la gestion de votre paie à une entreprise. Vous lui confiez l’ensemble de vos données personnelles sensibles : numéro de sécurité sociale, coordonnées bancaires, historique de rémunération, données de santé pour la mutuelle, informations fiscales. Avez-vous vérifié où ces données sont hébergées ?
En 2026, la réponse à cette question n’est pas anodine. Le Cloud Act américain (Clarifying Lawful Overseas Use of Data Act) autorise les autorités américaines à exiger l’accès aux données stockées par des entreprises soumises au droit américain y compris lorsque ces données sont hébergées sur des serveurs situés en France. Si votre EPS utilise AWS, Microsoft Azure ou Google Cloud, vos données RH sont potentiellement accessibles aux autorités américaines.
Ce guide explique concrètement ce que cela signifie pour vous, ce que dit le droit européen, et pourquoi l’hébergement 100 % français de vos données RH est le seul choix souverain
Ancien banquier privé, j’ai accompagné pendant plusieurs années des cadres et dirigeants dans la gestion et l’optimisation de leur patrimoine professionnel.
Fort de cette expertise, et après une expérience en portage salarial, j’ai fondé Coq Portage avec une conviction : il est possible d’allier accompagnement humain, optimisation financière sur mesure et conformité totale.
Le Clarifying Lawful Overseas Use of Data Act (Cloud Act) a été signé par le président américain en mars 2018. En termes simples, il permet aux autorités américaines (FBI, DOJ, agences fédérales) d’adresser des injonctions directement aux entreprises américaines pour obtenir des données sans passer par les procédures d’entraide judiciaire internationale habituelles.
Ce qui rend ce texte particulièrement redoutable : il s’applique à toute entreprise soumise à la juridiction américaine, quel que soit le lieu physique où les données sont stockées. Une filiale française d’une entreprise américaine, ou une entreprise française qui utilise AWS comme infrastructure, est potentiellement couverte.
| Situation | Exposition Cloud Act | Exemple concret |
| Données stockées sur AWS (Amazon) | Exposition directe, Amazon est une société américaine | EPS utilisant AWS S3 pour archiver les bulletins de paie |
| Données sur Microsoft Azure | Exposition directe, Microsoft est américain | EPS utilisant Microsoft 365 / Azure AD pour les RH |
| Données sur Google Cloud / Workspace | Exposition directe | EPS utilisant Google Workspace pour les contrats |
| Données chez OVHcloud (France) | Hors scope Cloud Act, OVHcloud est français, sans actionnaire US dominant | Infrastructure 100 % souveraine |
| Données chez Scaleway (Groupe Iliad) | Hors scope Cloud Act | Cloud souverain français certifié ANSSI |
| Données chez Outscale (Groupe Dassault) | Hors scope Cloud Act qualification SecNumCloud ANSSI | Standard de souveraineté le plus élevé en France |
L’arrêt Schrems II de la Cour de Justice de l’UE (juillet 2020) a invalidé le Privacy Shield et renforcé les exigences de protection des données transférées vers les États-Unis. En 2026, le Data Privacy Framework (DPF) signé en 2023 est régulièrement contesté devant les juridictions européennes, sa pérennité n’est pas garantie.
→ En pratique : même avec le DPF, le Cloud Act prime sur les garanties contractuelles RGPD dès lors qu’une injonction fédérale américaine est émise. La conformité totale ne s’obtient qu’avec un hébergement hors juridiction US.
Avant de comprendre le risque, inventarions ce que votre société de portage salarial stocke réellement sur vous. La liste est plus longue que vous ne le pensez.
Catégorie de données | Données concernées | Sensibilité RGPD |
Identité & civil | Nom, prénom, date et lieu de naissance, nationalité, numéro de sécurité sociale | Très élevée — données d’identification unique |
Coordonnées bancaires | IBAN, BIC, banque domiciliataire | Critique — risque fraude directe |
Rémunération | Historique des salaires bruts/nets, primes, frais remboursés, réserve financière | Élevée — données financières personnelles |
Fiscal | Taux de prélèvement à la source, avis d’imposition fournis, situation familiale (parts fiscales) | Très élevée — données fiscales protégées |
Santé (mutuelle) | Adhésion mutuelle, ayants-droit, éventuellement arrêts maladie déclarés | Maximum — données de santé (article 9 RGPD) |
Contrats & missions | Contrats de travail, contrats clients, avenants, correspondances | Élevée — secret des affaires potentiel |
Retraite & cotisations | Historique de cotisation, points Agirc-Arrco, relevé de carrière | Élevée — données sociales |
Accès numérique | Logs de connexion à l’espace client, adresse IP, dispositifs utilisés | Modérée — données de traçabilité |
La donnée la plus sensible n’est pas forcément celle qu’on imagine. Le numéro de sécurité sociale, combiné au nom, à la date de naissance et à l’IBAN, constitue un profil d’identité complet exploitable pour l’usurpation d’identité. Sa divulgation même involontaire via une injonction Cloud Act est une atteinte grave et difficile à réparer.
C’est la réponse habituelle des EPS peu regardantes sur la souveraineté : « Nous sommes conformes au RGPD. » Cette affirmation est vraie mais insuffisante face au Cloud Act.
Le RGPD interdit le transfert de données personnelles vers des pays tiers sans garanties adéquates. Le Cloud Act permet aux autorités américaines d’accéder à ces données sans en informer la personne concernée, sans recours préalable, et parfois avec interdiction pour l’entreprise visée de divulguer l’existence de l’injonction (gag order).
Ces deux obligations sont structurellement incompatibles. Une entreprise qui reçoit une injonction Cloud Act et y obéit viole le RGPD. Une entreprise qui refuse d’y obéir viole la loi américaine. En 2026, aucun mécanisme juridique ne résout cette contradiction : le seul moyen d’y échapper est de ne pas être soumis au Cloud Act.
| RGPD seul | Cloud Act + RGPD | Hébergement souverain FR | |
| Protection contre accès tiers non autorisé | En principe | Contournable par injonction | Protection effective |
| Droit à l’information de la personne | Obligatoire | Gag order possible | Garanti |
| Recours juridique possible | Via CNIL / CJUE | Limité aux tribunaux US | Droit français applicable |
| Transfert données vers USA possible | Sous conditions (DPF) | Injonction directe possible | Aucun transfert |
| Certifications disponibles | Conformité RGPD | Aucune certification complète | SecNumCloud ANSSI (niveau max) |
La donnée la plus sensible n’est pas forcément celle qu’on imagine. Le numéro de sécurité sociale, combiné au nom, à la date de naissance et à l’IBAN, constitue un profil d’identité complet exploitable pour l’usurpation d’identité. Sa divulgation même involontaire via une injonction Cloud Act est une atteinte grave et difficile à réparer.
La majorité des sociétés de portage salarial en France sont adossées à des Entreprises de Services du Numérique (ESN) anciennement SSII. Ce modèle génère un conflit d’intérêt structurel qui va au-delà de la seule question des données.
Une ESN place des consultants chez ses clients. Si cette même ESN possède une EPS, elle peut orienter ses consultants portés vers des missions qui lui sont financièrement avantageuses même si d’autres missions seraient mieux rémunérées pour le consultant. Votre EPS n’est plus un tiers neutre : c’est un concurrent de facto pour l’accès aux missions.
| Critère | EPS adossée à cloud US / hybride | EPS 100 % française (Coq Portage) |
| STRUCTURE & INDÉPENDANCE | ||
| Actionnariat | Filiale d’ESN ou groupe international | Capital 100 % français indépendant |
| Conflit d’intérêt | Maison-mère peut capter les missions | Aucun conflit, pure player portage |
| Gouvernance données | Politiques du groupe (potentiellement US) | Politique data souveraine et autonome |
| HÉBERGEMENT DONNÉES | ||
| Infrastructure | AWS / Azure / GCP fréquents | O2Switch, hébergement France |
| Exposition Cloud Act | Oui si maison-mère US ou cloud US | Hors scope, opérateurs sans lien US |
| Certification souveraineté | Aucune ou partielle | Conformité SecNumCloud visée |
| RGPD & TRANSPARENCE | ||
| DPO (Délégué Protection Données) | DPO mutualisé groupe | DPO dédié |
| Registre des traitements | Souvent mutualisé et peu accessible | Registre propre, communicable |
| Frais de gestion | Variables, souvent > 8–10 % | 6 %, plafonné à 700 €/mois |
| Recommandation missions | Potentiellement biaisée (ESN) | Neutre — votre réseau = votre actif |
| Accès simulateur & transparence | Souvent opaque | Simulateur public, compte d’activité détaillé |
Pour la majorité des consultants, le risque Cloud Act reste théorique au quotidien. Mais pour certains secteurs, il devient un impératif contractuel ou réglementaire.
| Secteur | Risque spécifique | Exigence de souveraineté |
| Défense & industrie sensible | Données de mission potentiellement classifiées ou soumises au secret industriel | Habilitation secret souvent incompatible avec cloud US |
| Banque & assurance | Données clients, modèles de risque, stratégies de trading soumis au secret bancaire | Directives DORA & BCE exigent traçabilité hébergement |
| Santé & biotech | Données de recherche médicale, propriété intellectuelle, essais cliniques | HDS (Hébergeur Données Santé) obligatoire, cloud US exclu |
| Secteur public & collectivités | Données de mission liées à des projets d’infrastructure ou de sécurité nationale | Circulaires DINUM imposent cloud souverain pour projets critiques |
| IT & cybersécurité | Code source, architectures de sécurité, credentials, cibles prioritaires d’espionnage industriel | SOC 2 / ISO 27001 recommandent hébergement souverain |
Si vous travaillez dans l’un de ces secteurs, vérifier l’infrastructure d’hébergement de votre société de portage avant de signer le contrat de portage est une précaution professionnelle élémentaire pas un luxe.
Coq Portage est un pure player du portage salarial, sans ESN adossée, sans actionnaire américain, avec une infrastructure hébergée 100 % en France. Vos données RH : salaire, contrats, données bancaires, informations fiscales … ne quittent jamais les serveurs français et ne sont jamais exposées au Cloud Act.
Au-delà de la souveraineté, Coq Portage propose des frais plafonnés à 700 €/mois (6 %), une avance de salaire à 1 %, et un accompagnement personnalisé par un référent dédié.
Ça dépend de l'EPS. Si votre société de portage utilise AWS, Azure ou Google Cloud pour héberger ses données RH, celles-ci sont potentiellement accessibles aux autorités américaines via le Cloud Act même si l'EPS est conforme RGPD. La seule protection effective est un hébergement chez un opérateur cloud souverain français (OVHcloud, Scaleway, O2Switch) sans lien capitalistique américain. Demandez à votre EPS où sont hébergées vos données avant de signer.
Non ! C'est le paradoxe fondamental. Le RGPD exige le consentement et la transparence pour tout transfert de données hors UE. Le Cloud Act permet des injonctions directes sans en informer la personne concernée, parfois avec interdiction de divulgation. Les deux textes sont en conflit non résolu. La Cour de Justice de l'UE a reconnu ce problème (arrêt Schrems II, 2020) mais n'a pas pu le résoudre, il dépend d'un accord politique entre l'UE et les États-Unis qui reste fragile.
Une ESN (Entreprise de Services Numériques) qui possède une EPS (Entreprise de Portage Salarial) a un conflit d'intérêt structurel : elle peut orienter les consultants portés vers des missions avantageuses pour son activité d'ESN, pas nécessairement pour le consultant. Elle a également accès aux données de mission (clients contactés, tarifs négociés) qui peuvent alimenter sa stratégie commerciale. Un pure player du portage comme Coq Portage n'a aucune activité ESN votre réseau client vous appartient entièrement.