eCura le cloud souverain Hyères-Toulon

Cloud Act : Microsoft admet ne pas pouvoir protéger nos données

Le RGPD européen contourné par des contrats publics

Le représentant de Microsoft France a reconnu l’inacceptable

Le 18 juin dernier, Anton Carniaux, directeur des affaires publiques de Microsoft France, a été auditionné au Sénat. Sous serment, il a reconnu qu’il ne pouvait pas garantir que les données des Français ne soient transmises aux autorités américaines.

Cette déclaration, sobre en apparence, est pourtant lourde de conséquences. Elle remet en cause des années de stratégie numérique et de confiance dans les acteurs étrangers du cloud.

Un aveu clair devant la commission sénatoriale

Interrogé dans le cadre de la commission d’enquête sur la commande publique, Carniaux a répondu sans détour. À la question : « Pouvez-vous garantir que les données des citoyens français ne seront jamais accessibles par le gouvernement américain sans accord français ? », il a répondu :
« Non, je ne peux pas le garantir. »

C’est la première fois qu’un acteur de cette envergure l’admet officiellement en France. Ce qui était redouté depuis des années est donc confirmé. Le Cloud Act américain, adopté en 2018, prime sur toutes les autres législations, y compris le RGPD européen.

Le Cloud Act, un cadre juridique unilatéral

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) permet aux autorités américaines d’exiger l’accès aux données, même hébergées hors des États-Unis, du moment qu’elles sont stockées par des entreprises américaines. Cela concerne notamment Microsoft, Google ou Amazon.

Cet outil juridique est incompatible avec le droit européen. L’article 48 du RGPD stipule qu’aucune juridiction étrangère ne peut exiger le transfert de données sans un accord international. Pourtant, ce point de droit est régulièrement contourné.

Une stratégie numérique française en contradiction

Malgré cette incompatibilité juridique, la France continue de contracter massivement avec Microsoft. Parmi les exemples les plus frappants :

  • Le Health Data Hub, plateforme de données de santé, est hébergé chez Microsoft Azure.
  • L’Éducation nationale a signé un contrat de 74 millions d’euros avec Microsoft.
  • Des ministères utilisent encore massivement Microsoft 365.

Ces choix interrogent. Ils vont à l’encontre des recommandations de la CNIL et des objectifs affichés de souveraineté numérique.

Des alternatives européennes ignorées

Pourtant, des solutions françaises et européennes existent. OVHcloud, Scaleway, 3DS Outscale ou encore Clever Cloud proposent des services respectueux du RGPD et indépendants du droit américain. Ces hébergeurs sont basés en France ou dans l’Union européenne et n’ont aucun lien juridique avec le Cloud Act.

Mais ces alternatives peinent à convaincre les décideurs publics, souvent séduits par l’ergonomie, la réputation ou les conditions tarifaires des géants américains.

Une répétition de l’affaire Snowden ?

Certains rappellent qu’avant l’affaire PRISM, révélée par Edward Snowden, aucun scandale de surveillance de masse n’avait encore éclaté. L’argument du « ça n’est jamais arrivé » ne suffit donc plus.

Aujourd’hui, la transparence des grandes entreprises américaines est illusoire. Face à une injonction judiciaire, elles doivent s’exécuter. Les mécanismes de contestation sont limités, et dans la plupart des cas, secrets.

Le mythe du « cloud souverain américain »

Microsoft, AWS et Google multiplient les initiatives dites de « cloud souverain », souvent en partenariat avec des acteurs français. Mais le lien juridique avec les États-Unis demeure.

Tant que le siège de l’entreprise reste américain, le Cloud Act s’applique. Les garanties contractuelles ne pèsent pas lourd face aux lois fédérales.

Souveraineté numérique : encore possible ?

Le marché européen est vaste. Il pourrait imposer ses propres conditions. Mais cela demande du courage politique et une vision industrielle à long terme.

La France, avec l’Allemagne, pourrait soutenir activement un écosystème numérique européen solide, compétitif et indépendant. Pour cela, il faut cesser les contrats publics avec des entreprises soumises à des législations extraterritoriales.

Et maintenant ?

L’aveu du 18 juin ne doit pas rester lettre morte. Il ouvre un débat crucial sur la protection des données sensibles : santé, éducation, justice, finances publiques…

Les citoyens, comme les élus, doivent exiger des réponses. Car à défaut de souveraineté numérique, c’est la maîtrise même de notre démocratie qui est en jeu. Source 1 Source 2

Laisser un commentaire