Par Aymeric Geoffre-Rouland

Publié le 18/07/25 à 14h48

Lors d’une audition publique au Sénat, Microsoft France a confirmé qu’elle ne pouvait empêcher la justice américaine d’accéder aux données hébergées en France. Un aveu glaçant, qui révèle l’ampleur du décalage entre les promesses de souveraineté numérique et la réalité contractuelle de l’État français.

Le 10 juin 2025, la commission d’enquête sénatoriale sur la commande publique a reçu Microsoft France pour une audition très attendue. Ce qui s’y est dit n’a laissé aucune place à l’ambiguïté : le droit américain s’impose, même lorsque les données sont hébergées à Paris ou Marseille. Et l’aveu n’est pas venu d’un militant ou d’un expert extérieur, mais du directeur juridique de Microsoft France lui-même.

Cloud Act : Microsoft ne peut pas empêcher l’accès du gouvernement américain aux données françaises

Face aux sénateurs, Anton Carniaux, directeur juridique de Microsoft France, n’a pas tourné autour du pot. À la question de savoir si Microsoft pouvait protéger les données françaises d’une injonction américaine, il a répondu, sans détour :

Sénat, 10 juin 2025, vidéo à 1 h 18 m 35 s

Le Cloud Act, adopté aux États-Unis en 2018, oblige toute entreprise américaine à répondre à une réquisition judiciaire, y compris pour des données stockées à l’étranger. Microsoft, bien que disposant de centres en France, reste juridiquement soumise à ce cadre. Le lieu de stockage ne fait donc pas barrière au droit.

Ce qui trouble davantage, c’est que l’État français continue d’acheter massivement des services Microsoft via l’UGAP, notamment par le marché “multi-éditeurs logiciels”, dans lequel Microsoft Ireland agit en tant que fournisseur. Des milliers d’administrations, d’hôpitaux ou de collectivités utilisent ainsi Microsoft 365 ou Azure, souvent sans conscience des conséquences juridiques. Même si l’hébergement est local, le risque reste transatlantique.

Et le problème ne vient pas seulement de Microsoft. Lors de la même audition, la DINUM (Direction interministérielle du numérique) a reconnu que les exigences de souveraineté définies par l’État ne sont pas encore appliquées de manière complète. Autrement dit, les marchés publics continuent de passer par des solutions non conformes, malgré la doctrine officielle.

DINUM, Sénat, 10 juin 2025

Microsoft, de son côté, met en avant des garde-fous : contestation des demandes abusives, rapports de transparence, chiffrement avancé, projet de cloud souverain avec gouvernance européenne. Mais même ces dispositifs, aussi sérieux soient-ils, s’effacent dès lors qu’un tribunal américain prononce une injonction.

Lyon : passage à l’acte pour la souveraineté numérique

En réaction à ces failles, la ville de Lyon a décidé de rompre avec la suite Microsoft Office. Selon la mairie, cette décision s’inscrit “dans un contexte de prise de conscience croissante des enjeux de souveraineté numérique ”. Elle adopte la suite libre Territoire Numérique Ouvert, développée avec le SITIV, hébergée dans des datacenters régionaux, et remplaçant progressivement Microsoft par OnlyOffice, Linux et PostgreSQL.

Lyon fait office de cas d’école : une collectivité publique qui met en œuvre des solutions localisées, libres et maîtrisées, afin d’échapper au poids des lois extraterritoriales.