Microsoft ne peut pas garantir que les données stockées dans l’Union Européenne sont protégées contre les demandes d’accès de l’administration Trump. Thierry Bedos, vice-président Europe du Sud de Keepit, estime que cette récente révélation au Sénat français devrait servir de signal d’alarme aux entreprises françaises. Il s’en explique à Channelnews.
Channelnews : Pouvez-vous rappeler en quoi consiste la récente déclaration de Microsoft au Sénat français ?
Thierry Bedos : Lors d’une audition le 10 juin 2025, Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a dû reconnaître précisément et sous serment qu’il ne pouvait garantir que les données des citoyens français ne soient jamais transmises aux autorités américaines sans autorisation explicite de la France. Le Cloud Act américain donne la capacité aux autorités des Etats-Unis d’exiger que les données des entreprises américaines leur soient remises sur simple demande, et ce, indépendamment du lieu de stockage de ces données.
Channelnews : En quoi cela pose-t-il problème selon vous ?
Thierry Bedos : Cela crée un conflit inévitable entre les lois américaines et les réglementations européennes sur la protection des données, forçant les entreprises américaines à choisir entre être poursuivies pénalement dans leur pays d’origine ou de violer les lois européennes. Pour les entreprises et institutions publiques françaises, cette situation est particulièrement problématique. La France dispose d’un cadre réglementaire parmi les plus exigeants d’Europe, combinant le RGPD avec les recommandations de la CNIL mais aussi des exigences sectorielles fortes, dans des domaines comme la santé, l’éducation, de la finance ou des services publics. Cette déclaration interroge la légitimité du recours à des services cloud non-européens pour héberger des données sensibles dans ces secteurs.
Channelnews : Microsoft a pourtant pris des mesures pour protéger la confidentialité de ses clients en Europe ?
Thierry Bedos : En effet, Microsoft a bien pris des mesures depuis 2022 pour limiter les transferts de données et maintenir les informations à l’intérieur des frontières européennes. Pierre Lagarde, directeur technique de Microsoft pour le secteur public, a même affirmé : « Depuis janvier 2025, les données de nos clients européens ne quittent plus contractuellement l’UE, ni au repos, ni en transit, ni en traitement ». Mais, comme l’a montré l’aveu devant le Sénat, ces mesures techniques restent inefficaces face aux obligations légales américaines.
Channelnews : Les entreprises françaises ayant confié leur stockage de données dans le cloud à des entreprises non européennes sont-elles donc prises au piège ?
Thierry Bedos : Les solutions cloud européennes donnent aujourd’hui l’opportunité de reprendre le contrôle sur nos données et de préserver notre souveraineté numérique. Migrer d’un cloud de fournisseur américain à une solution 100% cloud souveraine ne se fait pas en un jour mais une première étape rapide et accessible consiste à s’assurer de disposer d’une copie locale de ses données sécurisées par un fournisseur européen.
Pour rappel, la souveraineté numérique désigne la capacité d’une nation à contrôler son infrastructure numérique, ses données et ses systèmes technologiques sans dépendance ni ingérence extérieure. La France a fait de cette notion une priorité stratégique depuis plusieurs années. L’Anssi alerte régulièrement sur les risques associés à l’utilisation de solutions non européennes pour des données sensibles. Le gouvernement français a affirmé sa position à travers la stratégie cloud de l’Etat et le développement du label SecNumCloud de l’Anssi qui impose des critères stricts de sécurité, de localisation et de gouvernance. La loi SREN, adoptée récemment, va encore plus loin en imposant que les données sensibles du secteur public soient hébergées par des fournisseurs certifiés SecNumCloud.
Channelnews : Quid du coût d’une telle migration vers une solution cloud française ou européenne ?
Thierry Bedos : Pour les entreprises françaises, c’est une opportunité de renforcer leur conformité, tout en limitant le risque d’amendes administratives pouvant atteindre jusqu’à 4% du chiffre d’affaires mondial en cas de non-respect du RGPD. Dans un tissu économique largement composé de PME et d’ETI, la confidentialité des données clients et la protection des savoir-faire sont des enjeux clés.
Channelnews : Y a-t-il des points particuliers à vérifier avant de choisir une solution cloud européenne ?
Thierry Bedos : La dépendance technologique aux fournisseurs reste un angle mort dans de nombreuses stratégies cloud. Même certains prestataires européens peuvent reposer sur des briques critiques de fournisseurs américains, notamment en matière de virtualisation, de chiffrement ou de services d’exploitation. Une véritable indépendance nécessite de maîtriser l’ensemble de la chaîne technologique, pas uniquement le lieu d’hébergement.