Le Cloud Act a été créé à l'instigation du Président Donald Trump pour autoriser les autorités américaines à utiliser des données étrangères. Cet instrument est donc une version renforcée du Patriot Act, une loi antiterroriste similaire à une autorisation d'espionnage des entreprises étrangères.
Les deux lois sont très différentes. Cependant, elles s'appliquent aux entreprises françaises dès qu'elles confient leurs données à un prestataire de services d'origine américaine.
Avec l'adoption du Cloud Act, les opérateurs et fournisseurs de services numériques américains seront obligés de divulguer les données des entreprises lorsque les autorités américaines (police, justice et administration) le leur demanderont. Cette divulgation est faite sans passer par les tribunaux et sans même informer les utilisateurs concernés.
En d'autres termes : en choisissant de travailler avec un logiciel CRM américain, vous choisissez implicitement de mettre les données de votre CRM à disposition des forces états-uniennes et violez de ce fait les obligations du RGPD.