Microsoft a lancé une vaste offensive en Suisse et en Europe pour développer ses affaires et rassurer sur son engagement en matière de protection des données. Nous n’avons pas pu résister à mettre sur le gril la puissante firme américaine, qui nous a répondu en anglais, de manière très engagée!

En début de semaine, j’ai reçu un communiqué de presse du puissant éditeur de logiciel expliquant que Satya Nadella, CEO de Microsoft, a annoncé les prochaines étapes de son engagement numérique en Europe — en introduisant de nouvelles offres visant à renforcer la souveraineté numérique des organisations à travers l’Europe. Il s’exprimait à l’occasion de l’AI Tour à Amsterdam.

Modèle souverain de Microsoft?

«Microsoft s’engage en faveur d’un modèle de souveraineté numérique qui permet aux individus et institutions d’agir de manière indépendante, sécurisée et autonome. Les capacités présentées aujourd’hui étendent cette souveraineté à toutes les organisations européennes utilisant le cloud public, tout en offrant de nouvelles options pour exécuter les services Microsoft dans des environnements cloud privés souverains», a indiqué le géant.

Pour y voir plus clair, j’ai demandé une analyse à l’intelligence artificielle (IA) Perplexity, réputée pour ses performances. Elle est reproduite ci-dessous. En bref, «Les solutions souveraines de Microsoft représentent une amélioration significative en termes de contrôle et de transparence pour les organisations européennes. Cependant, elles ne permettent pas de contourner complètement l’extraterritorialité du droit américain».

La réponse de Redmond

J’ai donc envoyé l’analyse ci-dessous à Microsoft Suisse en demandant à l’entreprise de se positionner par rapport à celle-ci et en posant les questions suivantes: «Très concrètement: imaginons une demande du gouvernement américain d’accéder à des données d’une entreprise suisse active dans l’armement. Allez-vous: 1) informer cette entreprise 2) livrer ces données? 3) Quelle est l’interprétation de Microsoft suisse?» En italique, la «réponse»:

«Microsoft is deeply committed to protecting our customers’ data and ensuring their privacy. We have implemented robust measures to safeguard data and to ensure we comply with applicable laws when responding to the requests from law enforcement. We disclose customer data only when legally compelled to do so. Our Defending Your Data protection further reinforces our dedication with a commitment to challenge every government request for public sector or enterprise customer data – from any government – where there is a lawful basis for doing so.»

«We have a proven track record of successfully challenging government demands in the courts when those demands are inconsistent with the rule of law and have gone as far as suing the US government and taking the case to our United States Supreme Court to protect customer data.»

«Information about our data practices can be found in the Microsoft Privacy Statement: Microsoft Privacy Statement – Microsoft privacy and in our transparency reports on Government Requests for data.  A Microsoft spokesperson».

Prenez vos responsabilités!

Mon commentaire? Le texte de Microsoft, même s’il ne répond pas clairement aux questions, semble plutôt rassurant. Cela dit, la réputation de l’entreprise et sa position aux Etats-Unis incite actuellement nombre d’organisations à se tourner vers d’autres solutions, comme les logiciels libres, avec certes des avantages, mais aussi des inconvénients.

En effet, même si Microsoft rime souvent avec bugs, manque d’ergonomie et d’utilisabilité, cette société propose une solution bureautique universellement utilisée en entreprise, puisque la plupart des utilisateurs ont été formés sur des produits de Redmond! Je ne trancherai pas dans ce vaste débat. Toutefois, lorsqu’on constate l’instabilité politique actuelle, il convient probablement de se poser quelques questions…

Xavier Studer

En italique, l’«analyse» de Perpelxity relative à Microsoft Sovereign Cloud, le Patriot Act et le Cloud Act?

L’annonce de Microsoft concernant ses solutions souveraines pour l’Europe soulève une question fondamentale: ces offres permettent-elles réellement de s’affranchir de l’extraterritorialité du droit américain, notamment du Patriot Act et du Cloud Act? L’analyse révèle une réalité nuancée qui mérite un examen approfondi.

Le cadre juridique américain: une portée extraterritoriale extensive

Le Patriot Act et ses implications

Le USA Patriot Act, adopté en 2001 après les attentats du 11 septembre, renforce les pouvoirs des agences de renseignement américaines en matière de surveillance électronique et d’accès aux données personnelles 12. Cette loi permet notamment aux autorités américaines d’accéder à des informations personnelles, telles que les dossiers médicaux, financiers ou scolaires, sans notification préalable à la personne concernée 2.

Le Cloud Act: une extension de la juridiction américaine

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act), adopté en mars 2018, va encore plus loin en permettant aux autorités américaines d’accéder aux données stockées par des entreprises américaines, quel que soit le lieu de stockage physique des données 34. Cette loi oblige les fournisseurs de services américains à remettre des données aux autorités américaines «indépendamment du fait que cette communication, enregistrement, ou d’autres informations sont situées à l’intérieur ou à l’extérieur des États-Unis» 5.

Les limites des solutions souveraines de Microsoft

Persistance de la juridiction américaine

Malgré les garanties proposées par Microsoft Sovereign Cloud, plusieurs experts soulignent que l’entreprise reste soumise au droit américain 67. Frank Karlitschek, CEO de Nextcloud, précise que «le Cloud Act accorde aux autorités américaines l’accès aux données cloud hébergées par des entreprises américaines. Peu importe que ces données soient situées aux États-Unis, en Europe ou ailleurs» 6.

Les mesures de Microsoft: des améliorations mais pas une immunité

Les nouvelles fonctionnalités annoncées par Microsoft apportent certes des améliorations significatives:

• Data Guardian garantit que seul le personnel Microsoft résidant en Europe contrôle l’accès à distance aux systèmes européens 89
• External Key Management permet aux clients de connecter Azure à leurs propres modules de sécurité matérielle (HSM) 89
• Microsoft 365 Local propose des services de productivité fonctionnant entièrement dans les centres de données des clients 89

Cependant, ces mesures ne modifient pas le statut juridique fondamental de Microsoft en tant qu’entreprise américaine soumise aux lois américaines 610.

Les alternatives nationales: une approche différente

Le modèle français avec Bleu

En France, l’approche diffère avec Bleu, coentreprise entre Orange et Capgemini, qui vise à obtenir la qualification SecNumCloud de l’ANSSI 1112. Cette solution repose sur une entité juridique française indépendante, bien qu’utilisant la technologie Microsoft 13.

Le modèle allemand avec Delos Cloud

En Allemagne, Delos Cloud, filiale de SAP, opère selon un principe similaire avec des infrastructures «physiquement séparées» de Microsoft et la capacité d’opérer en «autosuffisance» en cas de crise 1415.

L’analyse juridique: des protections relatives

Les limites de l’extraterritorialité

Selon les experts juridiques, l’extraterritorialité du droit américain s’applique principalement aux entreprises ayant une présence aux États-Unis 1617. Les autorités américaines peuvent contraindre toute entreprise établie aux États-Unis à fournir des données en sa «possession, garde ou contrôle», indépendamment de leur localisation 16.

Les mécanismes de résistance

Le Cloud Act prévoit certains mécanismes permettant aux entreprises de contester les demandes d’accès, notamment lorsque cela violerait les lois locales de protection des données 317. Cependant, ces protections restent limitées et dépendent largement de la bonne volonté des tribunaux américains.

Conclusion: une protection partielle mais non absolue

Les solutions souveraines de Microsoft représentent une amélioration significative en termes de contrôle et de transparence pour les organisations européennes 89. Elles offrent des garanties opérationnelles importantes, notamment concernant l’accès par le personnel et la localisation des données.

Cependant, elles ne permettent pas de contourner complètement l’extraterritorialité du droit américain 67. Microsoft reste une entreprise américaine soumise aux lois américaines, et les autorités américaines conservent théoriquement la possibilité d’exiger l’accès aux données via des procédures légales.

Pour une véritable indépendance juridique, les solutions comme Bleu en France ou Delos Cloud en Allemagne, opérées par des entités nationales indépendantes, semblent offrir une meilleure protection, même si l’indépendance technologique reste relative 147. Le choix entre ces différentes approches dépendra ultimement du niveau de risque acceptable pour chaque organisation et de l’importance accordée à la souveraineté numérique.

1. https://droit.cairn.info/revue-internationale-des-sciences-administratives-2007-4-page-583?lang=fr
2. https://numspot.com/ressource/cloud-act-patriot-act-vs-rgpd-que-faut-il-retenir/
3. https://de.wikipedia.org/wiki/CLOUD_Act
4. https://fr.wikipedia.org/wiki/CLOUD_Act
5. http://www.ictjournal.ch/articles/2018-04-05/le-cloud-act-enterre-la-bataille-entre-microsoft-et-les-autorites-us
6. https://www.theregister.com/2025/03/03/microsoft_unveils_a_finalized_eu/
7. https://www.lemondeinformatique.fr/actualites/lire-les-acteurs-francais-du-cloud-a-l-unisson-contre-le-principe-d-extraterritorialite-87389.html
8. https://ppl-ai-file-upload.s3.amazonaws.com/web/direct-files/attachments/63481975/25b54c38-8440-4083-8901-2257f528eebc/paste.txt
9. https://news.microsoft.com/de-ch/2025/06/16/annonce-de-solutions-souveraines-completes-pour-renforcer-les-organisations-europeennes/
10. https://www.netexplorer.fr/blog/cloud-act-interet-de-stocker-donnees-en-france
11. https://newsroom.orange.com/capgemini-and-orange-are-pleased-to-announce-the-launch-of-commercial-activities-of-bleu-their-future-cloud-de-confiance-platform/
12. https://www.bleucloud.fr
13. https://www.orange-business.com/en/press/capgemini-and-orange-announce-bleu-will-start-engaging-customers-end-2022
14. https://www.lemagit.fr/actualites/366617336/SAP-et-les-nuances-grises-de-cloud-souverain
15. https://www.bertelsmann.com/news-and-media/news/first-sovereign-cloud-platform-for-the-german-administration-on-the-home-straight.jsp
16. https://www.insideprivacy.com/wp-content/uploads/sites/51/2013/06/PatriotActQA.pdf
17. https://www.bj.admin.ch/dam/bj/fr/data/publiservice/publikationen/berichte-gutachten/gutachten/2021-09-17-us-cloud-act.pdf.download.pdf/2021-09-17-us-cloud-act.pdf
18. https://www.cairn.info/revue-securite-et-strategie-2013-3-page-64.htm?ref=doi
19. https://droit.cairn.info/revue-critique-de-droit-international-prive-2019-3-page-695?lang=fr
20. https://droit.cairn.info/revue-critique-de-droit-international-prive-2021-1-page-43?lang=fr
21. https://blog.idgard.com/de/us-cloud-act-vs-datenschutz/
22. https://fr.wikipedia.org/wiki/Extraterritorialit%C3%A9_du_droit_am%C3%A9ricain
23. https://datalynx.ch/en/insights/it-support/six-principles-on-the-cloud-act-from-microsoft/
24. https://teamdrive.com/blog-de/der-cloud-act/
25. https://iredic.fr/2024/01/25/prolongement-du-fisa-une-surveillance-generalisee-des-acteurs-numeriques-europeens-symptomatique-de-lextraterritorialite-du-droit-americain/
26. https://revue-is.org/wp-content/uploads/2025/06/MONDO-TIRE-A-PART.pdf
27. https://www.lemondeinformatique.fr/actualites/lire-microsoft-tente-de-rassurer-sur-son-cloud-europeen-97159.html
28. https://learn.microsoft.com/fr-fr/industry/sovereignty/sovereignty-capabilities
29. https://www.techtimes.com/articles/310831/20250616/microsoft-finalizes-eu-data-boundary-localizes-cloud-operations-across-europe.htm
30. https://www.cbsnews.com/news/patriot-act-can-obtain-data-in-europe-researchers-say/
31. https://www.intelligence-artificielle-school.com/ecole/technologies/cloud-souverain/
32. https://www.trendmicro.com/en_us/research/12/e/patriot-act-study-shows-your-data-isnt-safe-in-any-country.html
33. https://www.linkedin.com/posts/michelroth_announcing-comprehensive-sovereign-solutions-activity-7340328547296681986-mC3K
34. https://ch.marketscreener.com/kurs/aktie/ORANGE-4649/news/Capgemini-und-Orange-kundigen-den-Start-der-kommerziellen-Aktivitaten-von-Bleu-an-ihrer-zukunfti-45797518/
35. https://www.weka.ch/themes/droit/protection-des-donnees-et-droit-informatique/protection-des-donnees/article/cloud-quest-ce-qui-est-autorise-par-la-loi-sur-la-protection-des-donnees/
36. https://datanews.levif.be/analyse/arriere-plan/le-combat-de-leurope-pour-le-cloud-en-route-vers-la-souverainete-numerique/
37. https://www.iris-france.org/wp-content/uploads/2023/03/ProgGeopoEntre_Extraterritorialite_Mars-2023.pdf
38. https://www.bk.admin.ch/dam/bk/fr/dokumente/dti/themen/cloud/faq-bericht-rechtlicher-rahmen-fuer-die-nutzung-von-public-cloud-diensten.pdf.download.pdf/FAQ%20concernant%20le%20rapport%20%C2%AB%E2%80%89Cadre%20juridique%20pour%20l%E2%80%99utilisation%20de%20services%20d%E2%80%99informatique%20en%20nuage%20public%20au%20sein%20de%20l%E2%80%99administration%20f%C3%A9d%C3%A9rale%E2%80%89%C2%BB.pdf
39. https://www.semanticscholar.org/paper/68c1b40fd138757d81e9317a2ec72bd8983077a9
40. https://www.kci.go.kr/kciportal/landing/article.kci?arti_id=ART001640805
41. https://www.degruyter.com/document/doi/10.9785/ovs-cr-2012-170/html
42. https://www.semanticscholar.org/paper/7b4d129297c3a1b8d4341e0546e3e0f66884e72d
43. https://www.semanticscholar.org/paper/8b4159c0d664f0b4be7c14c04987032d6c1ec821
44. https://www.semanticscholar.org/paper/719dc94801e4e8e403aeb52aaba576aac6aa9618
45. https://www.heise.de/select/ix/2018/7/1530927567503187
46. https://www.bj.admin.ch/dam/bj/de/data/publiservice/publikationen/berichte-gutachten/gutachten/2021-09-17-us-cloud-act.pdf.download.pdf/2021-09-17-us-cloud-act-d.pdf
47. https://www.semanticscholar.org/paper/311b4dafcc0506b4282a96b12c256fec15d14a7c
48. https://www.kuppingercole.com/blog/small/microsofts-cloud-sovereignty-promises-progress-or-patchwork
49. https://www.capgemini.com/news/press-releases/capgemini-and-orange-announce-plan-to-create-bleu-a-company-to-provide-a-cloud-de-confiance-in-france/
50. https://www.sogeti.com/newsroom/capgemini-group-and-orange-are-pleased-to-announce-the-launch-of-commercial-activities-of-bleu-their-future-cloud-de-confiance-platform/
51. https://www.hivenet.com/fr/post/why-europe-must-reclaim-its-european-tech-sovereignty-and-cloud-independence-before-its-too-late