Laki antaa Yhdysvaltain viranomaisille oikeuden vaatia palveluntarjoajia, joilla on riittävä yhteys Yhdysvaltoihin, luovuttamaan tietoja, vaikka ne olisi tallennettu Yhdysvaltain ulkopuolelle. Oikeusvarmuuden ja Yhdysvaltain hallinnon säännöllisesti muuttuvien toimintatapojen myötä tarve tarkastella lain vaikutusta on korostunut. Laki koskee muun muassa Microsoftia ja Googlea sekä monia muita pilvi- ja järjestelmäpalveluiden tuottajia.
CLOUD Act vaikuttaa myös Suomen julkisyhteisöjen toimintaan, sillä julkisyhteisöillä on käytössä paljon yhdysvaltalaisten palveluntuottajien tarjoamia ICT-palveluita, kuten SaaS- ja pilvipalveluita. Erityisen ongelmallinen laki on henkilötietojen käsittelyn näkökulmasta, mutta se tuo mukanaan myös julkisuuslakiin ja hyvään hallintoon liittyviä haasteita. EU:n yleisen tietosuoja-asetuksen (GDPR) mukaan henkilötietojen siirto EU:n ulkopuolelle vaatii laillisen perusteen, ja siirto on mahdollinen muiden maiden tuomioistuimen päätöksellä vain, jos se perustuu kansainväliseen sopimukseen, kuten keskinäiseen oikeusapusopimukseen. CLOUD Act ei kuitenkaan ole kansainvälinen sopimus vaan Yhdysvaltain sisäistä oikeutta, eikä sen perusteella annettu tuomioistuimen määräys siten sellaisenaan, ilman esimerkiksi erillistä oikeusapupyyntöä, täytä GDPR:ssä asetettuja edellytyksiä. Tämä asettaa palveluntuottajat vaikeaan tilanteeseen. Jos ne noudattavat CLOUD Actia, ne voivat rikkoa GDPR:ää. Toisaalta, jos ne kieltäytyvät noudattamasta CLOUD Actin perusteella annettuja tuomioistuimen määräyksiä, ne voivat kohdata oikeudellisia seuraamuksia Yhdysvalloissa.
Samantyyppinen ongelma koskee myös julkisuuslain noudattamista. Julkisuuslain mukaan sellaiset viranomaisen asiakirjat, joita koskee lain 22 §:n mukainen salassapitoperuste, ovat salassa pidettäviä. Tällaisia tietoja ovat esimerkiksi yksityisen tahon yrityssalaisuustiedot. Jos julkisuuslain mukaan salassa pidettäviä tietoja on tallennettu CLOUD Actin soveltamisalaan kuuluville palvelimille ja ne luovutetaan ilman oikeutettua perustetta, kuten kansainvälisestä oikeusavusta rikosasioissa annetun lain 25 a §:n mukaista erillistä oikeusapupyyntöä Yhdysvalloista, asetelma on julkisuuslain vastainen ja rikkoo hyvän hallinnon periaatetta.
CLOUD Actiin liittyvien riskien hallinta saattaa olla haastavaa, mutta joitakin keinoja on olemassa. Julkisyhteisöjen tulisi tarkastella käyttämiään palveluita kriittisesti ja harkita vaihtoehtoja, jotka vähentävät riippuvuutta Yhdysvaltoihin linkittyvistä palveluntarjoajista, kuten esimerkiksi mahdollisia eurooppalaisia palveluntarjoajia. Erityisen tärkeää on arvioida kriittisesti, mitä tietoja säilytetään ulkoisten palveluntuottajien palvelimilla ja pyrkiä minimoimaan sellaiset tiedot, joiden luovuttaminen eteenpäin olisi lainvastaista tai ongelmallista. Myös kriittisten tietojen salaaminen on suositeltavaa. Lisäksi palvelusopimuksiin tulisi, silloin kun se on mahdollista, yrittää saada ehtoja, jotka velvoittavat palveluntarjoajia vastustamaan Yhdysvaltojen viranomaisten tietopyyntöjä, mikäli ne ovat ristiriidassa EU:n tietosuojalainsäädännön kanssa.