Un commentaire de Thierry Bedos, Vice-président France et Europe du Sud chez Keepit
” Selon la récente déclaration devant le Sénat français de son directeur des affaires publiques et juridiques chez Microsoft France, Anton Carniaux, Microsoft ne peut pas garantir que l’accès aux données stockées dans l’UE est protégé contre les demandes intempestives des autorités américaines. Lors d’une audition le 10 juin 2025, il a dû reconnaître précisément et sous serment qu’il ne pouvait garantir que les données des citoyens français ne soient jamais transmises aux autorités américaines sans autorisation explicite de la France. Or cela pose un problème fondamental pour les entreprises et les autorités européennes.
La problématique de la législation extra-territoriale pour les entreprises françaises
Pour mémoire, le Cloud Act américain donne la capacité aux autorités des États-Unis d’exiger que les données des entreprises américaines leur soient remises sur simple demande, et ce, indépendamment du lieu de stockage de ces données. Cela crée un conflit inévitable entre les lois américaines et les réglementations européennes sur la protection des données, forçant les entreprises américaines à choisir entre être poursuivies pénalement dans leur pays d’origine ou de violer les lois européennes.
Pour les entreprises et institutions publiques françaises, cette situation est particulièrement problématique. La France dispose d’un cadre réglementaire parmi les plus exigeants d’Europe, combinant le RGPD avec les recommandations de la CNIL mais aussi des exigences sectorielles fortes, dans des domaines comme la santé, l’éducation, de la finance ou des services publics. Cette déclaration interroge la légitimité du recours à des services cloud non-européens pour héberger des données sensibles dans ces secteurs.
Microsoft a bien pris des mesures depuis 2022 pour limiter les transferts de données et maintenir les informations à l’intérieur des frontières européennes. Pierre Lagarde, directeur technique de Microsoft pour le secteur public, a même affirmé : « Depuis janvier 2025, les données de nos clients européens ne quittent plus contractuellement l’UE, ni au repos, ni en transit, ni en traitement. » Mais comme l’a montré l’aveu devant le Sénat, ces mesures techniques restent inefficaces face aux obligations légales américaines.
Souveraineté des données en France et en Europe
La souveraineté numérique désigne la capacité d’une nation à contrôler son infrastructure numérique, ses données et ses systèmes technologiques sans dépendance ni ingérence extérieure. La France a fait de cette notion une priorité stratégique depuis plusieurs années. L’ANSSI alerte régulièrement sur les risques associés à l’utilisation de solutions non européennes pour des données sensibles.
Le gouvernement français a affirmé sa position à travers la stratégie cloud de l’État et le développement du label SecNumCloud, qui impose des critères stricts de sécurité, de localisation et de gouvernance. La loi SREN, récemment adoptée, va encore plus loin en imposant que les données sensibles du secteur public soient hébergées par des fournisseurs certifiés SecNumCloud. Ces initiatives s’inscrivent dans un mouvement plus large à l’échelle européenne, avec des projets comme GAIA-X visant à renforcer l’indépendance technologique du continent.
En France, la certification SecNumCloud délivrée par l’ANSSI impose des exigences strictes aux prestataires cloud. En Allemagne, des efforts similaires sont déployés via le catalogue C5 du BSI (Cloud Computing Compliance Criteria Catalogue), qui pourrait être renforcé à la lumière des récentes révélations.
Une réponse européenne au défi de la protection des données
En tant qu’entreprise européenne, Keepit n’est pas soumise au Cloud Act américain et peut donc réellement protéger les données européennes. Nos solutions sont conçues dès le départ pour respecter les exigences strictes du droit européen en matière de protection des données, tout en garantissant les standards de sécurité les plus élevés. Si migrer d’un cloud de fournisseur américain à une solution 100 % cloud souveraine ne se fait pas en un jour, une première étape rapide et accessible consiste à s’assurer de disposer d’une copie locale de ses données sécurisées par un fournisseur européen.
Pour les entreprises françaises, c’est une opportunité de renforcer leur conformité, tout en limitant le risque d’amendes administratives pouvant atteindre jusqu’à 4 % du chiffre d’affaires mondial en cas de non-respect du RGPD. Dans un tissu économique largement composé de PME et d’ETI, la confidentialité des données clients et la protection des savoir-faire sont des enjeux clés.
Par ailleurs, la dépendance technologique aux fournisseurs reste un angle mort dans de nombreuses stratégies cloud. Même certains prestataires européens peuvent reposer sur des briques critiques de fournisseurs américains, notamment en matière de virtualisation, de chiffrement ou de services d’exploitation. Une véritable indépendance nécessite de maîtriser l’ensemble de la chaîne technologique, pas uniquement le lieu d’hébergement. C’est dans cette optique que Keepit a conçu une infrastructure entièrement indépendante, de bout en bout.
La souveraineté ne peut plus attendre
L’audition devant le Sénat français reflète une prise de conscience croissante, en France comme en Europe, des vulnérabilités liées à la souveraineté numérique. La loi SREN impose la migration des données sensibles vers des fournisseurs certifiés SecNumCloud, et les réglementations européennes intègrent de plus en plus les enjeux de souveraineté des données.
Les révélations de Microsoft doivent servir de signal d’alarme. Les entreprises et institutions françaises, et plus largement européennes, doivent agir dès maintenant pour protéger leurs données et garantir leur conformité aux réglementations nationales et européennes. Les solutions cloud européennes nous donnent aujourd’hui l’opportunité de reprendre le contrôle sur nos données et de préserver notre souveraineté numérique.”
