La Francia. La France ne contrôle plus ses données : Microsoft les remettra aux États-Unis “si nous y sommes contraints”
Par Aymeric Geoffre-Rouland Lors d’une audition publique au Sénat, Microsoft France a confirmé qu’elle ne pouvait empêcher la justice américaine d’accéder aux données hébergées en France. Un aveu glaçant, qui révèle l’ampleur du décalage entre les promesses de souveraineté numérique et la réalité contractuelle de l’État français. Le 10 juin 2025, la commission d’enquête sénatoriale sur la commande publique a reçu Microsoft France pour une audition très attendue. Ce qui s’y est dit n’a laissé aucune place à l’ambiguïté : le droit américain s’impose, même lorsque les données sont hébergées à Paris ou Marseille. Et l’aveu n’est pas venu d’un militant ou d’un expert extérieur, mais du directeur juridique de Microsoft France lui-même. Cloud Act : Microsoft ne peut pas empêcher l’accès du gouvernement américain aux données françaises Face aux sénateurs, Anton Carniaux, directeur juridique de Microsoft France, n’a pas tourné autour du pot. À la question de savoir si Microsoft pouvait protéger les données françaises d’une injonction américaine, il a répondu, sans détour : "Si nous sommes contraints par une décision de justice américaine, nous devons remettre les données." Sénat, 10 juin 2025, vidéo à 1 h 18 m 35 s Le Cloud Act, adopté aux États-Unis en 2018, oblige toute entreprise américaine à répondre à une réquisition judiciaire, y compris pour des données stockées à l’étranger. Microsoft, bien que disposant de centres en France, reste juridiquement soumise à ce cadre. Le lieu de stockage ne fait donc pas barrière au droit.Ce qui trouble davantage, c’est que l’État français continue d’acheter massivement des services Microsoft via l’UGAP, notamment par le marché “multi-éditeurs logiciels”, dans lequel Microsoft Ireland agit en tant que fournisseur. Des milliers d’administrations, d’hôpitaux ou de collectivités utilisent ainsi Microsoft 365 ou Azure, souvent sans conscience des conséquences juridiques. Même si l’hébergement est local, le risque reste transatlantique. Et le problème ne vient pas seulement de Microsoft. Lors de la même audition, la DINUM (Direction interministérielle du numérique) a reconnu que les exigences de souveraineté définies par l’État ne sont pas encore appliquées de manière complète. Autrement dit, les marchés publics continuent de passer par des solutions non conformes, malgré la doctrine officielle. Les conditions de souveraineté, telles qu’elles ont été définies dans la doctrine de l’État, ne sont pas encore appliquées de manière complète. DINUM, Sénat, 10 juin 2025 Microsoft, de son côté, met en avant des garde-fous : contestation des demandes abusives, rapports de transparence, chiffrement avancé, projet de cloud souverain avec gouvernance européenne. Mais même ces dispositifs, aussi sérieux soient-ils, s’effacent dès lors qu’un tribunal américain prononce une injonction. Lyon : passage à l’acte pour la souveraineté numérique En réaction à ces failles, la ville de Lyon a décidé de rompre avec la suite Microsoft Office. Selon la mairie, cette décision s’inscrit “dans un contexte de prise de conscience croissante des enjeux de souveraineté numérique ”. Elle adopte la suite libre Territoire Numérique Ouvert, développée avec le SITIV, hébergée dans des datacenters régionaux, et remplaçant progressivement Microsoft par OnlyOffice, Linux et PostgreSQL.Lyon fait office de cas d’école : une collectivité publique qui met en œuvre des solutions localisées, libres et maîtrisées, afin d’échapper au poids des lois extraterritoriales. <https://www.lesnumeriques.com/societe-numerique/la-france-ne-controle-plus-ses-donnees-microsoft-les-remettra-aux-etats-unis-si-nous-y-sommes-contraints-n240010.html> Source : Sénat – Compte rendu de la commission d’enquête sur la commande publique numérique (10 juin 2025) <https://www.senat.fr/compte-rendu-commissions/20250609/ce_commande_publique.html>
