Coup de tonnerre dans le monde du cloud computing : Microsoft vient d’admettre officiellement qu’il ne peut plus garantir la souveraineté des données stockées dans ses services cloud, y compris celles hébergées en Europe. En cause ? La législation américaine, et plus précisément le Cloud Act, qui autorise les autorités américaines à accéder aux données d’entreprises américaines, quel que soit l’endroit où ces données sont hébergées.
C’est dans un document juridique transmis au régulateur américain SEC que Microsoft a reconnu cette impossibilité de garantir une protection totale contre les demandes d’accès émanant des autorités américaines. Cela signifie concrètement que les données hébergées en France ou dans n’importe quel pays de l’Union européenne par Microsoft peuvent être réclamées par les États-Unis, même si ces données sont soumises à des législations locales comme le RGPD.
Ce constat remet en question les engagements de Microsoft autour de l’initiative « EU Data Boundary« , qui visait à rassurer les clients européens sur le fait que leurs données resteraient traitées exclusivement dans l’UE.
Adopté en 2018, le Cloud Act (Clarifying Lawful Overseas Use of Data Act) impose aux entreprises américaines de collaborer avec les autorités judiciaires des États-Unis, même si les données concernées sont stockées hors du territoire américain. Microsoft, tout comme Google ou Amazon, est donc légalement tenu de transmettre des informations si une demande en bonne et due forme est émise.
Autrement dit, peu importe la localisation physique des serveurs, c’est la nationalité de l’entreprise qui détermine l’applicabilité du Cloud Act. Et cela pose un vrai problème de souveraineté pour les pays européens. 🧨
Pour les organisations publiques comme privées, cette révélation soulève de nombreuses inquiétudes :
C’est un véritable casse-tête pour les DPO et les responsables de la sécurité des systèmes d’information, qui doivent désormais intégrer ce facteur de risque dans leurs analyses d’impact.
Cette déclaration de Microsoft pourrait redonner un second souffle aux initiatives européennes de cloud souverain, comme Numspot, Bleu (piloté par Capgemini et Orange) ou encore les offres de Scaleway ou OVHcloud. Ces acteurs mettent en avant une gouvernance 100 % européenne et une immunité juridique face au droit extraterritorial américain.
C’est également une opportunité pour les projets liés à GAIA-X, qui visent à proposer un cadre technique et éthique pour des services cloud conformes aux standards européens.
Si cette annonce peut inquiéter, elle marque aussi un tournant dans la communication de Microsoft. L’éditeur semble avoir fait le choix de la transparence juridique, en reconnaissant les limites de sa capacité à résister à certaines injonctions gouvernementales. Un positionnement à contre-courant d’autres acteurs qui préfèrent rester flous sur le sujet. Cette honnêteté peut aussi servir de point de départ à de nouvelles discussions sur le chiffrement de bout en bout, le stockage local ou encore la fragmentation réglementaire du cloud mondial.
En reconnaissant qu’il ne peut plus garantir la souveraineté des données hébergées dans son cloud, Microsoft met en lumière un enjeu stratégique majeur pour l’Europe : la maîtrise de ses données. Cette situation rappelle l’urgence de développer des alternatives souveraines crédibles et robustes, à l’heure où les usages du cloud explosent, et où les régulations peinent à suivre le rythme de la technologie.
Microsoft : Leader dans le Magic Quadrant 2025 de Gartner pour la Gestion des Conteneurs…
ChatGPT-5 : Nouveautés et intégration Microsoft ChatGPT-5, la dernière innovation en matière d'intelligence artificielle, a…
FreeWifi : La Fin des Derniers Hotspots de Free FreeWifi, un service autrefois révolutionnaire, tire…
Une semaine en Sicile : entre histoire et mer turquoise La Sicile… ce nom évoque…
Piratage : Air France et Bouygues Telecom touchés en même temps Le piratage informatique est…
Microsoft devient la 2e entreprise à valoir 4 000 milliards de dollars Microsoft vient de…