Confronté à une méfiance croissante, le géant de Redmond a dévoilé une nouvelle série de mesures destinées à renforcer sa proposition de souveraineté numérique en Europe. Cette initiative fait directement suite à une audition tendue au Sénat français en juin dernier, où un dirigeant de l'entreprise avait reconnu que les données des citoyens européens pouvaient, en théorie, être transmises au gouvernement américain si la loi l'exigeait. Une situation intenable pour de nombreuses administrations et entreprises européennes.

Comment Microsoft compte-t-il concrètement renforcer cette souveraineté ?

L'entreprise américaine met plusieurs garanties techniques et structurelles sur la table. La plus notable est la promesse d'un traitement de données IA de bout en bout en Europe, y compris pour son service phare Copilot. Cela signifie que toutes les données des clients européens, qu'elles soient au repos ou en transit, seront stockées et traitées exclusivement au sein de l'Union européenne. Pour piloter cette infrastructure, Microsoft a mis en place un conseil d’administration européen, composé uniquement de ressortissants européens, qui supervisera toutes les opérations des datacenters locaux.

En parallèle, l'offre technique s'étoffe avec une augmentation significative des capacités d'Azure Local, qui passera de quelques serveurs à plusieurs centaines. De plus, Microsoft 365 Local devrait pouvoir être déployé en isolation totale d'ici 2026, offrant un niveau de contrôle inédit aux organisations les plus sensibles.

microsoft-365-copilot

Pourquoi une telle offensive de la part du géant américain ?

Cette vague d'annonces n'est pas un hasard. Elle répond à une pression politique et réglementaire de plus en plus forte. En cause, les lois extraterritoriales américaines comme le fameux Cloud Act ou la loi Fisa. Ces textes obligent toute société de droit américain à communiquer les données qu'elle héberge, y compris hors des États-Unis, si les autorités américaines en font la demande. Une épée de Damoclès qui pèse sur toutes les entreprises européennes utilisant des services cloud américains.

La situation a atteint un point de friction tel que le gouvernement français, via Bercy, a adressé un courrier à tous ses ministères en mai dernier. La directive était claire : s'assurer que les données sensibles de l'État et de ses administrations soient stockées sur des clouds non soumis à ces lois. Un rappel à l'ordre qui a poussé les géants américains, de Microsoft à Google en passant par AWS, à présenter des solutions souveraines pour ne pas perdre ce marché stratégique.

CLOUD Act

Ces garanties sont-elles suffisantes pour parler de véritable souveraineté ?

Pour de nombreux observateurs, ces annonces relèvent davantage de l'ingénierie juridique que d'une garantie absolue. Le scepticisme reste de mise. Thierry Carrez, de l'OpenInfra Foundation, y voit une « évolution positive », mais souligne que l'efficacité de ce mélange de solutions techniques et légales « n'a pas encore été testée ». D'autres sont bien plus critiques, à l'image de Frank Karlitschek, fondateur de Nextcloud, qui tacle une « souveraineté de façade ».

L'argument principal des sceptiques est simple : tant que l'entreprise mère reste soumise à la législation américaine, les données relèvent en fin de compte de la juridiction américaine. Comme le résume Mark Boost, PDG de Civo : « Vous pouvez installer un centre de données à Paris ou à Londres, mais si l’entreprise reste soumise à la législation américaine, les données relèvent en fin de compte de la juridiction américaine ». Le débat sur la véritable indépendance numérique européenne est donc loin d'être clos.

Source : Microsoft