Microsoft : vos données peuvent finir entre les mains du gouvernement américain

Lors d’une audition au Sénat français en juin 2025, Microsoft a reconnu, sous serment, qu’elle ne pouvait pas garantir la protection des données européennes contre les demandes des autorités américaines. Cet aveu met en lumière un dilemme majeur pour les utilisateurs européens des services cloud de l’entreprise. Alors que la firme investit massivement dans des infrastructures locales, les lois américaines, telles que le Patriot Act et le Cloud Act, continuent de poser de sérieux obstacles à la souveraineté numérique.

Microsoft face aux exigences légales américaines

La question de la protection des données européennes a été abordée de manière décisive lors de l’audition de Anton Carniaux, directeur juridique de Microsoft France. Lorsque interrogé sous serment par le sénateur Dany Wattebled sur la possibilité de garantir que les données des citoyens français ne seraient jamais partagées sans l’accord des autorités françaises, Carniaux a répondu sans ambiguïté : « Non, je ne peux pas le garantir ». Il a précisé que même si les demandes d’informations des autorités américaines étaient jugées non fondées, l'entreprise américaine ne pourrait pas les ignorer. En d’autres termes, les données européennes, même stockées sur des serveurs en Europe, peuvent potentiellement être transmises aux autorités américaines en vertu des lois de leur pays.

Cette situation est rendue possible par des législations comme le Cloud Act, qui impose aux entreprises américaines, y compris Microsoft, de coopérer avec les autorités américaines en matière de sécurité nationale et de renseignement. Même dans le cadre d’un service cloud localisé en Europe, ces lois prévoient qu'elle pourrait être contraint de transmettre des données à la demande du gouvernement des États-Unis.

🚨ALERTE INFO

Un responsable de Microsoft France a reconnu qu’il n’est pas possible de garantir que les données des citoyens français ne seront jamais transmises à des autorités/agences étrangères sans l’accord préalable des autorités françaises. pic.twitter.com/uydBQqrJQO

— Tribune Populaire🌐 (@TribunePop23) July 15, 2025

Le mirage de la souveraineté numérique européenne

Microsoft, ainsi que d'autres entreprises américaines, ont longtemps présenté leurs solutions cloud en Europe comme un moyen de répondre aux préoccupations de souveraineté numérique. Cependant, l’aveu de Microsoft remet en question cette promesse. En effet, malgré des infrastructures locales et des engagements en faveur de la protection des données, la réalité juridique impose des limites claires : les lois américaines s’appliquent à toutes les filiales, y compris celles installées en Europe.

L’aveu de Carniaux contredit également les déclarations rassurantes de Brad Smith, le président de Microsoft, qui avait affirmé en 2024 que l'entreprise s'opposerait au gouvernement américain si celui-ci cherchait à interférer avec les données des clients européens. Ce changement de position renforce les inquiétudes concernant la transparence de ses pratiques et la protection des données sensibles, notamment pour des institutions internationales comme la Cour pénale internationale (CPI), qui a déjà été confrontée à ce type de pression juridique.

En fin de compte, bien que Microsoft fasse des efforts pour se conformer aux normes européennes en matière de protection des données, cette situation soulève la question de l'urgence pour l’Europe de développer ses propres solutions cloud souveraines. Ce défi ne concerne pas seulement Microsoft, mais tous les géants américains du secteur, comme Amazon Web Services et Google Cloud, qui se trouvent également dans une situation juridique similaire.