Samedi 26 Juillet 2025
Le 10 juin dernier, la filiale française de Microsoft a comparu devant la commission sénatoriale chargée d'examiner les coûts et les conditions réelles des marchés publics. Les porte-paroles de la firme, Anton Carniaux (directeur des affaires juridiques) et Pierre Lagarde (directeur technique pour le secteur public), se sont efforcés de rassurer les sénateurs quant à leur stratégie de protection des informations. Ils ont néanmoins concédé qu'ils ne pourraient pas s'opposer à une injonction émanant des États-Unis concernant des données stockées sur notre territoire, une déclaration qui compromet sérieusement la souveraineté numérique de la France.
Le Cloud Act, entré en vigueur le 23 mars 2018 sous l'administration Trump, autorise les autorités américaines à exiger l'accès aux données détenues par des entreprises relevant de la juridiction américaine, même si celles-ci sont stockées en dehors du territoire américain : Microsoft, comme toute entreprise américaine, est tenue de s'y soumettre.
"Si nous y sommes forcés, nous devons communiquer les informations"
Au cours de l'audition, Anton Carniaux a été interrogé par le rapporteur sur la certitude que les données des administrations publiques françaises, traitées dans le cadre des contrats-cadres de l'UGAP (Union des groupements d'achats publics), ne seraient jamais communiquées aux autorités américaines. Ce dernier a reconnu que si une injonction judiciaire américaine justifiée est émise, Microsoft est légalement obligé de fournir ces données.
Il a cependant tenu à nuancer son propos en soulignant qu'aucune entreprise européenne ni aucun organisme public n'avait, jusqu'à présent, été concerné par une telle transmission depuis la mise en place des rapports de transparence. Ces derniers, publiés par Microsoft depuis 2013, rendent compte des requêtes gouvernementales et des contestations juridiques engagées par l'entreprise lorsque la demande est considérée comme abusive ou non conforme.
Après les représentants de Microsoft, la commission a entendu plusieurs hauts fonctionnaires, parmi lesquels Clara Chappaz, ministre déléguée chargée du numérique, et Agnès Buzyn, ancienne ministre de la Santé, au sujet du Health Data Hub (HDH), hébergé depuis sa création en 2019 sur Microsoft Azure, malgré l'engagement du gouvernement à rapatrier les données sur une plateforme européenne avant fin 2022. Le ministère de la Santé et de la Prévention avait alors estimé qu'il n'existait pas de solutions européennes alternatives et opérationnelles.
La CNIL avait exprimé des inquiétudes concernant le risque de transfert de données vers les États-Unis en raison du Cloud Act. Plusieurs associations, professionnels de santé et chercheurs ont, de leur côté, saisi le Conseil d'État, estimant que le fonctionnement du Health Data Hub sur Azure contrevenait au RGPD. Ce dernier, dans son article 48, interdit formellement les transferts de données personnelles à des autorités étrangères sans cadre juridique clair et consensuel. En dépit de ces objections, la haute juridiction a maintenu la plateforme en activité, en raison de son rôle jugé indispensable dans la gestion de la crise sanitaire.
Clara Chappaz a rappelé que la loi SREN (Sécuriser et Réguler l’Espace Numérique), votée en 2024, impose désormais l'hébergement des données sensibles sur des infrastructures offrant des garanties de souveraineté. Le HDH devrait donc migrer vers un cloud certifié SecNumCloud, excluant de facto ceux soumis au Cloud Act. Un appel d'offres a d'ailleurs été lancé le 1er juillet dernier en vue de ce rapatriement.
