Microsoft a annoncé il y a quelques jours le lancement du Sovereign Public Cloud pour répondre aux exigences croissantes de souveraineté des Etats européens. En effet, le cloud européen reste dominé par les GAFAM, mais les attentes françaises et européennes font grandir une certaine pression réglementaire.
Le géant américain promet que grâce à sa solution les données seront hébergées exclusivement en Europe. Le contrôle de l’accès sera limité au personnel Microsoft basé en Europe uniquement et la supervision des accès à distance effectuée en temps réel. Les clés de chiffrement pourront être gérées par les clients ou éventuellement par le biais de partenaires européens. Pour un contrôle accru du trafic, il sera possible d’utiliser les logiciels Microsoft directement depuis le datacenter du client. Le Sovereign cible les gouvernements, les industries critiques et les secteurs réglementés. Son déploiement est prévu d’ici fin 2025.
Les limites juridiques : Microsoft reste soumis au droit américain
Malgré une évolution stratégique, le cloud de Microsoft ne représente pas, en réalité, une révolution souveraine. Microsoft demeure une entreprise de droit américain et, plus précisément, soumise aux lois extraterritoriales comme le Cloud Act et le FISA. Malgré les garde-fous techniques, le risque d’accès par les autorités américaines subsiste. Lors d’une audition récente devant une commission sénatoriale française, le directeur juridique de Microsoft France reconnaît ne pas pouvoir garantir l’immunité face à une requête des autorités américaines.
Quel impact réel pour l’Europe ? Entre opportunité et vigilance
William Méauzoone, directeur général de Leviia, cloud français souverain, alerte sur la confusion entretenue entre la souveraineté technique et juridique. Il évoque un
« containment technique » dans un cadre juridique incontrôlable : “Microsoft ne peut pas garantir une immunité juridique réelle. » Il préconise de se tourner vers des solutions de cloud européen véritablement souveraines.
Ce n’est pas de la souveraineté, c’est une illusion partielle de maîtrise.
Pour les clients publics et particulièrement dits « sensibles », l’enjeu de la confiance et de la conformité au RGPD reste entier. Il existe une réelle pression sur les acteurs européens comme OVHcloud, Scaleway, 3DS Outscale, Leviia, etc., qui doivent prouver leur plus-value face à ces offres hybrides. L’équation est politique autant que technologique. La vraie souveraineté nécessite une maîtrise européenne, pas seulement une conformité technique locale.
Pour en savoir plus, nous vous conseillons notre dossier dédié au Cloud souverain du dernier numéro de Solutions Numériques & Cybersécurité.
