OPSEC · Legal analysis

CLOUD Act: why your data
isn't protected even
with a European VPN

Since 2018, a US court order is enough to force any US tech company to hand over your data — even if stored in Switzerland or Iceland. Here are the facts, without drama.

May 20, 2026 ⏱ 5 min OPSEC Legal

You use NordVPN, ExpressVPN, or Proton VPN with European servers. You tell yourself: "my data is out of reach of the United States." That's false. Here's why.

What is the CLOUD Act?

The Clarifying Lawful Overseas Use of Data Act (CLOUD Act) was signed into US law on March 23, 2018. In short: US courts can compel any American company to provide data stored on its servers, regardless of which country those servers are in.

The exact text

« A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider's possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States. »

NordVPN is registered in Panama but operates under US law for certain services. ExpressVPN has been owned since 2021 by Kape Technologies, listed on the LSE but with close ties to the USA. Proton AG is Swiss — one of the rare VPNs genuinely beyond direct CLOUD Act reach, but watch out for third-party dependencies in their infrastructure.

Three documented real cases

IPVanish — 2016

The "no-log" VPN that handed logs to the FBI

IPVanish displayed a "zero log" policy on its website. In 2016, the company provided user identification information to Homeland Security Investigations. The revelation came from a public court proceeding in 2018. The no-log policy was marketing — not a technical guarantee.

PureVPN — 2017

Assisting identification of a cyberstalker

PureVPN helped the FBI identify a cyberstalker by providing connection logs — despite a clearly displayed "no-log" policy. The company was registered in Hong Kong, but its servers and American clientele placed it in FBI jurisdiction. The "unlogged" data existed after all.

Lavabit — 2013

Shutdown rather than compromise

Lavabit was the encrypted email service used by Edward Snowden. In 2013, the FBI demanded the SSL keys for the entire server — potentially compromising all users. Founder Ladar Levison chose to shut down his service rather than comply. This case illustrates that even a resistant company can be forced or shut down.

CLOUD Act vs GDPR: who wins?

The legitimate question is: "doesn't GDPR protect European data?" In theory, yes. In practice, it's more complex.

CriterionGDPR (EU)CLOUD Act (USA)
ScopeCompanies processing European dataUS companies, anywhere in the world
MechanismCivil law — complaints, finesCriminal law — binding court order
In case of conflictUS company must notify foreign governmentCan ask US judge to quash if manifest conflict
Practical resultUS company generally hands over dataImmediately applicable under contempt of court

In practice, in the vast majority of documented cases, American companies have chosen to comply with the CLOUD Act rather than risk contempt of court — even when it violated GDPR.

What this means for you practically

  • The geographic location of servers doesn't protect you if the company managing them is American or depends on a US entity
  • "No-log" policies are not technical guarantees — they can be marketing or simply inaccurate
  • The only real protection is to control your own infrastructure, in a jurisdiction not subject to the CLOUD Act
  • Protective hosting providers: Infomaniak (Switzerland, strict data protection), 1984 Hosting (Iceland), UpCloud (Finland, sovereign GDPR)

The solution: self-host out of reach

The CLOUD Act targets American companies, not individuals who host their own infrastructure. A European individual or SME managing their own VPS at an Icelandic hosting provider is not subject to the CLOUD Act.

That's exactly what the Sovereign VPN with Headscale tutorial enables: deploying your own WireGuard server at a hosting provider beyond any US influence, in under 2h30.

💎

Important nuance

A sovereign VPN protects you from mass collection and passive surveillance. Against a targeted judicial investigation with international cooperation, the level of protection also depends on the laws of the country where you are physically located. That analysis is beyond the scope of this article.

OPSEC · Analyse légale

CLOUD Act : pourquoi tes données
ne sont pas protégées même
avec un VPN européen

Depuis 2018, une ordonnance américaine suffit à forcer n'importe quelle entreprise tech US à livrer tes données — même stockées en Suisse ou en Islande. Voici les faits, sans dramatisation.

20 mai 2026 ⏱ 5 min OPSEC Légal

Tu utilises NordVPN, ExpressVPN ou Proton VPN avec des serveurs en Europe. Tu te dis : "mes données sont hors de portée des États-Unis." C'est faux. Voici pourquoi.

Qu'est-ce que le CLOUD Act ?

Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act) a été signé en loi aux États-Unis le 23 mars 2018. En résumé : la justice américaine peut contraindre toute entreprise américaine à fournir des données stockées sur ses serveurs, quel que soit le pays où ces serveurs se trouvent.

Le texte exact

« A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider's possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States. »

NordVPN est enregistré à Panama mais opère sous droit US pour certains services. ExpressVPN appartient depuis 2021 à Kape Technologies, cotée au LSE mais avec des liens étroits aux USA. Proton AG est suisse — c'est l'un des rares VPNs réellement hors de portée directe du CLOUD Act, mais attention aux dépendances tierces de leur infrastructure.

Trois cas réels documentés

IPVanish — 2016

Le VPN "no-log" qui a fourni des logs au FBI

IPVanish affichait une politique "zéro log" sur son site. En 2016, la société a fourni des informations d'identification d'un utilisateur suspect à Homeland Security Investigations. La révélation est venue d'une procédure judiciaire publique en 2018. La politique no-log était du marketing — pas une garantie technique.

PureVPN — 2017

Assistance à l'identification d'un cyberstalker

PureVPN a aidé le FBI à identifier un harceleur en ligne en fournissant des logs de connexion — malgré une politique "no-log" clairement affichée. La société était enregistrée à Hong Kong, mais ses serveurs et sa clientèle américaine l'ont placée dans la juridiction du FBI. Les données "non loguées" existaient bel et bien.

Lavabit — 2013

Fermeture plutôt que compromission

Lavabit était le service email chiffré utilisé par Edward Snowden. En 2013, le FBI a exigé les clés SSL de l'ensemble du serveur — compromettant potentiellement tous les utilisateurs. Ladar Levison, le fondateur, a préféré fermer son service plutôt que de se conformer. Ce cas illustre que même une entreprise résistante peut être contrainte ou forcée à la fermeture.

CLOUD Act vs RGPD : qui gagne ?

La question légitime est : "le RGPD ne protège-t-il pas les données des européens ?" En théorie, oui. En pratique, c'est plus complexe.

Critère RGPD (UE) CLOUD Act (USA)
Périmètre Entreprises traitant des données d'européens Entreprises américaines, partout dans le monde
Mécanisme Droit civil — plaintes, amendes Droit pénal — ordonnance judiciaire contraignante
En cas de conflit L'entreprise US doit notifier le gouvernement étranger Peut demander à un juge US d'annuler si conflit manifest
Résultat pratique L'entreprise US livre généralement les données Applicable immédiatement sous peine d'outrage à la cour

En pratique, dans la quasi-totalité des cas documentés, les entreprises américaines ont choisi de se conformer au CLOUD Act plutôt que de risquer l'outrage à la cour — même quand ça contrevenait au RGPD.

Ce que ça change pour toi concrètement

  • La localisation géographique des serveurs ne te protège pas si l'entreprise qui les gère est américaine ou dépend d'une entité américaine
  • Les politiques "no-log" ne sont pas des garanties techniques — elles peuvent être du marketing ou tout simplement inexactes
  • La seule vraie protection est de contrôler toi-même l'infrastructure, dans une juridiction non soumise au CLOUD Act
  • Hébergeurs protecteurs : Infomaniak (Suisse, LPD stricte), 1984 Hosting (Islande), UpCloud (Finlande, RGPD souverain)

La solution : auto-héberger hors de portée

Le CLOUD Act cible les entreprises américaines, pas les individus qui hébergent leur propre infrastructure. Un particulier ou une PME européenne qui gère son propre VPS chez un hébergeur islandais n'est pas soumise au CLOUD Act.

C'est exactement ce que permet le tutoriel VPN Souverain avec Headscale : déployer ton propre serveur WireGuard chez un hébergeur hors de toute influence américaine, en moins de 2h30.

💎

Nuance importante

Un VPN souverain te protège des collectes de masse et de la surveillance passive. Face à une investigation judiciaire ciblée avec coopération internationale, le niveau de protection dépend aussi des lois du pays où tu te trouves physiquement. Cette analyse sort du cadre de cet article.