L’État peut-il prêcher la souveraineté numérique sans l’appliquer à lui-même ? L’actualité montre la difficulté de mettre en place une indépendance numérique malgré la doctrine “Cloud au centre“.
Le député Philippe Latombe tire la sonnette d’alarme dans un Post sur LinkedIn relayant sa question à l’Assemblée Nationale au Ministre de l’économie. “J’alerte M. le ministre de l’Economie, des Finances et de la Souveraineté industrielle et numérique sur le choix de la mutuelle ALAN par de nombreux organismes publics, pour fournir une complémentaire santé à leurs agents“. Le député de Vendée s’interroge sur les choix de plusieurs institutions publiques majeures (Élysée, Matignon, Bercy, Assemblée nationale, ministère de la Transition écologique) qui ont confié leur complémentaire santé à la licorne française Alan, qui héberge ses données chez Amazon Web Services (AWS), soumise au droit américain notamment au Cloud Act. AWS a entre-temps annoncé les détails de son cloud “souverain” européen prévu pour fin 2025.
“Je m’étonne d’un tel choix, surtout dans le contexte transatlantique actuel“, écrit le député, rappelant l’exposition potentielle des données des agents de l’État à une collecte extraterritoriale. “Je souhaite savoir si le gouvernement envisage, dans un souci de protection des données sensibles de ses agents et de cohérence avec les directives qu’il émet, de demander à ALAN de migrer vers un cloud souverain“.
Le Conseil d’Etat se fonde sur les risques
Quelques jours avant, une décision très attendue du Conseil d’État a été rendue le 25 avril 2025 (n°503163, ordonnance du 25 avril 2025). Elle concerne l’autorisation par la CNIL d’un projet de traitement massif de données de santé (10 millions de Français) dans le cadre du projet européen DARWIN UE, hébergé par Microsoft Ireland, filiale du géant américain. L’association Les Licornes Célestes et plusieurs acteurs du numérique ont demandé la suspension d’une délibération de la CNIL autorisant ce traitement, estimant qu’il exposait les données sensibles à une possible collecte par les autorités américaines.
Les requérants ont invoqué :
– le risque d’accès aux données par les États-Unis via la maison mère de Microsoft ;
– l’absence de garanties suffisantes pour s’opposer à ces demandes ;
– la méconnaissance des dispositions de l’article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser les données sensibles dans le cloud et à réguler l’espace numérique. Les règles sont applicables même en l’absence à ce jour du décret d’application auquel renvoie cet article, en ce qu’elles imposent aux prestataires privés fournissant un service d’informatique en nuage de garantir la protection des données traitées ou stockées de tout accès par des autorités publiques d’Etats tiers non autorisées par le droit de l’Union européenne, ce que la société Microsoft ne fait pas.
Dans sa décision, le Conseil d’Etat juge “s’il ne peut être totalement exclu que les données du traitement autorisé, alors même qu’il est prévu qu’elles soient conservées dans des centres situés en France, fassent l’objet de demandes d’accès par les autorités des Etats-Unis, par l’intermédiaire de la société mère de l’hébergeur, et que celui-ci ne puisse s’y opposer, ce risque demeure hypothétique en l’état de l’instruction“. Par ailleurs, analysant la balance des risques, considère le risque très limité car Microsoft est certifié HDS et offre des garanties de sécurité, d’audits réguliers, une pseudonymisation des données avec une conservation des données limitées à trois ans.
La décision pointe que la doctrine de souveraineté numérique reste encore floue et laisse place à des interprétations juridiques.
Chaque année, 250 milliards d’euros sont dépensés auprès des solutions Cloud US qui couvrent la quasi totalité des marchés de l’UE. “70 % des données UE pourraient être captées par les US” rappelle Nicolas Guérin., secrétaire général d’Orange, auditionné le 3 juin 2025 au Sénat sur Bleu, un cloud “souverain” développé par Capgemini e Orange, et bâti sur Azure de Microsoft.
