C'est une déclaration qui a l'effet d'une bombe. Interrogé sous serment par le Sénat français en juin dernier, un haut dirigeant de Microsoft France a reconnu l'incapacité de l'entreprise à garantir une protection absolue des données européennes face aux autorités américaines. Cet aveu met en lumière la portée du CLOUD Act (Clarifying Lawful Overseas Use of Data Act), une loi américaine qui jette une ombre sur les efforts des géants de la tech pour offrir un cloud dit "souverain" en Europe, et relance le débat sur la dépendance numérique du continent.
Un aveu sous serment qui fait trembler le cloud européen
L'audition, menée dans le cadre d'une enquête sur la souveraineté numérique et les marchés publics, a mis Anton Carniaux, directeur des affaires juridiques et publiques de Microsoft France, face à une question directe : peut-il garantir, sous serment, que les données de citoyens français ne seront jamais transmises au gouvernement américain sans l'accord explicite de la France ? Sa réponse fut un "non" sans équivoque.
L'exécutif a nuancé son propos en affirmant que cette situation ne s'était encore jamais présentée pour une entreprise ou une entité publique européenne, selon les rapports de transparence de l'entreprise. Il a également précisé que Microsoft s'engageait contractuellement à résister à toute demande jugée infondée. Mais le mal est fait : en cas de demande légale et formelle, l'entreprise est tenue de s'exécuter.
Le CLOUD Act, une épée de Damoclès sur les données
La source de cette obligation est le CLOUD Act, une loi fédérale américaine de 2018. Elle contraint les entreprises technologiques basées aux États-Unis à fournir les données qu'elles stockent, et ce, peu importe où se trouvent physiquement les serveurs dans le monde. La localisation des data centers en Europe ne constitue donc pas une barrière juridique. Cette loi, soutenue à l'époque par Microsoft, Amazon (AWS) et Google, est aujourd'hui au cœur des préoccupations en matière de souveraineté.
Comme le résume Mark Boost, PDG du fournisseur cloud Civo : « Les serveurs britanniques ou européens ne font aucune différence lorsque la juridiction se trouve ailleurs, et les filiales locales ou les partenariats "de confiance" ne changent pas cette réalité ».
La défense de Microsoft et les promesses de souveraineté
Face à une méfiance grandissante en Europe, les géants américains de la tech multiplient les initiatives pour rassurer leurs clients. Microsoft, comme ses concurrents, a massivement investi dans une "frontière des données" (EU Data Boundary) pour garantir que les informations des clients européens restent stockées et traitées sur le continent.
L'entreprise met en avant plusieurs garanties :
- Une analyse rigoureuse de la validité de chaque demande des autorités américaines.
- Une tentative systématique de rediriger la demande vers le client concerné.
- Une notification au client si une transmission de données doit avoir lieu (après autorisation des autorités).
Cependant, l'aveu devant le Sénat français démontre que ces mesures sont des garde-fous, pas des boucliers infaillibles.
Un débat qui dépasse Microsoft
La question de la souveraineté des données ne concerne pas uniquement Microsoft. Amazon (AWS) a récemment rappelé que le CLOUD Act n'offrait pas un accès "sans entrave" aux données et nécessitait une procédure judiciaire valide. AWS souligne également un point souvent oublié : cette loi s'applique à toute entreprise ayant des opérations aux États-Unis, y compris des fournisseurs européens comme le français OVHcloud.
Cette réalité alimente en Europe un mouvement croissant visant à réduire la dépendance envers les hyperscalers américains, qui détiennent près de 69% du marché du cloud sur le continent. L'aveu de Microsoft ne fait que renforcer la conviction de ceux qui appellent à la construction de solutions "maison" pour garantir une véritable souveraineté numérique, où la juridiction et la localisation des données sont enfin alignées.
