Microsoft France : “je ne peux pas garantir” que les données européennes ne soient pas accessibles aux autorités américaines
Le 10 juin 2025, devant la Commission des marchés publics du Sénat français, Anton Carniaux, directeur des affaires publiques et juridiques chez Microsoft France, a déclaré sous serment qu’il ne pouvait pas garantir que les données de citoyens européens ne soient jamais transmises aux autorités américaines sans l’accord explicite de la France
L’enjeu : ce que permet le Cloud Act
Malgré les serveurs situés en Europe, toute société américaine (comme Microsoft) peut être légalement obligée à transmettre des données aux autorités américaines si celles-ci en font la demande selon les procédures prévues par le Cloud Act.
Cela signifie que la localisation d’un datacenter n’offre aucune protection juridique totale tant que la société reste américaine.
Ce que cela signifie concrètement
- Microsoft confirme qu’en cas de demande judiciaire formelle, elle doit coopérer même si les données sont physiquement hébergées en Europe. Aucun contrat ou assurance privée ne peut constituer une barrière juridique suffisante.
- Les clauses contractuelles types (SCC) ou les accords de traitement conformes au RGPD ne peuvent pas empêcher ces transferts s’ils sont requis par les autorités américaines.
- La Commission européenne et la CNIL alertent sur les risques pour la souveraineté numérique, malgré les décisions d’adéquation.
🎯 Pourquoi c’est important pour vous
- Si vous utilisez Microsoft 365, Azure ou des services cloud américains, vos données pourraient être exposées aux requêtes américaines, même sans que les serveurs soient localisés aux États-Unis.
- Cette situation soulève un risque systémique pour la souveraineté numérique, particulièrement dans les secteurs sensibles (administration, santé, éducation).
💡 Que faire ?
| Action | Pourquoi |
|---|---|
| ✅ Privilégier des services hébergés en France/EU, sous contrôle européen | Pour éviter toute exposition au Cloud Act |
| ✅ Choisir des solutions open source auto-hébergées ou hébergeurs certifiés SecNumCloud | Garantir une vraie indépendance des données |
| ✅ Vérifier les accords et clauses contractuelles lorsque Microsoft est impliqué | Comprendre les limites des protections possibles |
Conclusion
Le témoignage de Microsoft France au Sénat constitue un signal d’alerte majeur : même les choix les plus techniques (stockage en Europe, GDPR) sont insuffisants pour offrir une souveraineté réelle des données si l’éditeur est basé aux États-Unis.
Cette situation renforce l’intérêt pour des alternatives libres, locales et responsables — exactement ce que je promeus chez GUILNET.