Coup de tonnerre dans le monde du cloud computing : Microsoft vient d’admettre officiellement qu’il ne peut plus garantir la souveraineté des données stockées dans ses services cloud, y compris celles hébergées en Europe. En cause ? La législation américaine, et plus précisément le Cloud Act, qui autorise les autorités américaines à accéder aux données d’entreprises américaines, quel que soit l’endroit où ces données sont hébergées.
Une déclaration qui fait réagir
C’est dans un document juridique transmis au régulateur américain SEC que Microsoft a reconnu cette impossibilité de garantir une protection totale contre les demandes d’accès émanant des autorités américaines. Cela signifie concrètement que les données hébergées en France ou dans n’importe quel pays de l’Union européenne par Microsoft peuvent être réclamées par les États-Unis, même si ces données sont soumises à des législations locales comme le RGPD.
Ce constat remet en question les engagements de Microsoft autour de l’initiative « EU Data Boundary« , qui visait à rassurer les clients européens sur le fait que leurs données resteraient traitées exclusivement dans l’UE.
Le Cloud Act, un levier juridique puissant
Adopté en 2018, le Cloud Act (Clarifying Lawful Overseas Use of Data Act) impose aux entreprises américaines de collaborer avec les autorités judiciaires des États-Unis, même si les données concernées sont stockées hors du territoire américain. Microsoft, tout comme Google ou Amazon, est donc légalement tenu de transmettre des informations si une demande en bonne et due forme est émise.
Autrement dit, peu importe la localisation physique des serveurs, c’est la nationalité de l’entreprise qui détermine l’applicabilité du Cloud Act. Et cela pose un vrai problème de souveraineté pour les pays européens. 🧨
Quelles conséquences pour les entreprises françaises ?
Pour les organisations publiques comme privées, cette révélation soulève de nombreuses inquiétudes :
- Risque juridique : comment garantir la conformité au RGPD si des données peuvent être transférées à une autorité étrangère sans que le client n’en soit averti ?
- Données sensibles en danger : les secteurs manipulant des informations critiques (santé, défense, éducation, finances…) pourraient être contraints de revoir leur stratégie cloud.
- Crédibilité de l’hébergement local : même si Microsoft dispose de data centers en France, cela ne protège pas contre le droit américain.
C’est un véritable casse-tête pour les DPO et les responsables de la sécurité des systèmes d’information, qui doivent désormais intégrer ce facteur de risque dans leurs analyses d’impact.
Vers un renouveau des clouds souverains ?
Cette déclaration de Microsoft pourrait redonner un second souffle aux initiatives européennes de cloud souverain, comme Numspot, Bleu (piloté par Capgemini et Orange) ou encore les offres de Scaleway ou OVHcloud. Ces acteurs mettent en avant une gouvernance 100 % européenne et une immunité juridique face au droit extraterritorial américain.
C’est également une opportunité pour les projets liés à GAIA-X, qui visent à proposer un cadre technique et éthique pour des services cloud conformes aux standards européens.
Microsoft joue la carte de la transparence
Si cette annonce peut inquiéter, elle marque aussi un tournant dans la communication de Microsoft. L’éditeur semble avoir fait le choix de la transparence juridique, en reconnaissant les limites de sa capacité à résister à certaines injonctions gouvernementales. Un positionnement à contre-courant d’autres acteurs qui préfèrent rester flous sur le sujet. Cette honnêteté peut aussi servir de point de départ à de nouvelles discussions sur le chiffrement de bout en bout, le stockage local ou encore la fragmentation réglementaire du cloud mondial.
- A lire également : Microsoft et le Sovereign Cloud : 5 Efforts pour l’Europe
Conclusion
En reconnaissant qu’il ne peut plus garantir la souveraineté des données hébergées dans son cloud, Microsoft met en lumière un enjeu stratégique majeur pour l’Europe : la maîtrise de ses données. Cette situation rappelle l’urgence de développer des alternatives souveraines crédibles et robustes, à l’heure où les usages du cloud explosent, et où les régulations peinent à suivre le rythme de la technologie.
