Il y a quelques mois, j’évoquais le défi juridique fondamental posé par le Cloud Act pour notre souveraineté numérique (https://exadvize.com/fr/la-politique-dutilisation-de-lia-en-entreprise-serait-elle-un-ecran-de-fumee-face-aux-enjeux-reels-de-la-souverainete-numerique/).
L’audition du 10 juin 2025 devant la commission d’enquête du Sénat vient clore le débat :
« Si nous sommes contraints, nous remettons les données. »
C’est par ces mots qu’Anton Carniaux, directeur juridique de Microsoft France, a reconnu publiquement l’impuissance de sa filiale face à une injonction judiciaire américaine.
🔍 Petit rappel :
Le Cloud Act (Clarifying Lawful Overseas Use of Data Act), promulgué en 2018, impose aux entreprises américaines de fournir aux autorités les données demandées, même lorsqu’elles sont stockées hors des États-Unis.
À l’inverse, l’article 48 du RGPD interdit le transfert de données à une autorité étrangère hors cadre juridique bilatéral.
➡️ C’est une incompatibilité structurelle qui place les entreprises et administrations françaises entre deux feux réglementaires.
🔹 Le cas du Health Data Hub (HDH) en est l’exemple parfait :
Dès 2020, plusieurs voix s’étaient élevées pour contester son hébergement chez Microsoft Azure, justement en raison du risque Cloud Act. La CNIL avait exprimé ses réserves, et le Conseil d’État a été saisi.
La loi SREN de 2024 a d’ailleurs entériné ce constat : les données sensibles doivent être hébergées sur des infrastructures qualifiées SecNumCloud, excluant de fait les solutions soumises à la loi américaine.
🔹 Ce qui change aujourd’hui, c’est la reconnaissance publique du problème par Microsoft France elle-même.
Ce n’est plus une analyse doctrinale. Ce n’est plus une simple appréhension technique.
C’est une réalité juridique assumée : 📆 Une entreprise de droit américain ne peut garantir la souveraineté de données stockées en France.
🌐 Alors, à l’heure où les juridictions européennes imposent un haut niveau d’exigence sur la conformité des transferts de données (cf. l’arrêt « Schrems II » de la CJUE en 2020) et que la transformation numérique passe par des volumes massifs de données sensibles, la question devient centrale.
