Cet interrogatoire de l’avocat de Microsoft au Sénat français a eu lieu le 11 juin 2025. Sous serment, le responsable juridique de Microsoft pour la France, M. Anton Carniaux, a admis qu’il ne pouvait pas garantir que les données des citoyens et des entreprises français stockées dans les centres de données de Microsoft - même s’ils sont situés en Europe - sont à l’abri d’un accès silencieux des États-Unis à ces données. Cette déclaration confirme que les fournisseurs de technologie américains, avec leurs offres de “nuages souverains”, ne font rien d’autre que du “lavage souverain”.

Voir la déclaration de M. Anton Carniaux sur YouTube (français).

Il est intéressant de noter que cette déclaration est intervenue peu de temps après un autre rappel à l’ordre en matière de souveraineté : Le procureur général de la Cour pénale internationale (CPI), une cour basée à La Haye et qui joue un rôle central dans la défense des droits de l’homme en Europe, s’est soudainement rendu compte que son compte de messagerie électronique avait été fermé. Le fournisseur de services ? Microsoft. La raison ? M. Trump. En février, M. Trump a sanctionné la Cour pénale internationale (CPI) pour avoir émis des mandats d’arrêt à l’encontre du Premier ministre israélien Benjamin Netanyahu et de son ancien ministre de la défense, Yoav Gallant. La Cour a soutenu que les politiciens israéliens avaient commis des crimes de guerre en restreignant l’aide humanitaire à Gaza dans le cadre de la guerre contre le Hamas, portant ainsi préjudice aux civils.

Les responsables israéliens ont nié toutes les accusations et, par conséquent, le président américain Donald Trump a pris des sanctions contre la CPI en déclarant que la Cour avait commis “des actions illégitimes et sans fondement visant l’Amérique et notre proche allié Israël”. M. Trump a également qualifié les mandats de “mandats d’arrêt sans fondement”.

À la suite de ces sanctions, la CPI s’est trouvée confrontée à plusieurs problèmes :

• Le procureur général, Karim Khan, a perdu l’accès à son courrier électronique ; ses comptes bancaires ont été gelés.
• Les employés américains de la Cour risquent d’être arrêtés lorsqu’ils se rendent aux États-Unis.

En raison du blocage du compte de messagerie Microsoft de Karim Khan, le tribunal est confronté à de graves problèmes dans son travail quotidien.

Microsoft a bloqué le compte de messagerie sur la base d’une sanction américaine

Microsoft a fermé le compte de messagerie de M. Khan.

Le blocage du compte de messagerie Microsoft de M. Khan a eu lieu en raison d’un ordre exécutif signé par M. Trump, que l’entreprise américaine Microsoft a respecté. La situation devient encore plus explosive si l’on considère que Microsoft - même si elle le voulait - a dû obéir à cet ordre en raison de la situation juridique et politique.

L’Open-Source Business Alliance (OSBA) a déclaré à M. Heise qu’elle considérait les actions de Microsoft comme “sans précédent dans ce contexte et avec cet impact”, et que cet incident prouvait que l ‘Europe avait besoin d’une souveraineté numérique en choisissant des services technologiques basés en Europe plutôt que des Big Tech basées aux États-Unis.

”Cet incident doit être un signal d’alarme pour tous ceux qui sont responsables de la disponibilité sécurisée des infrastructures informatiques et de communication publiques et privées. Nous ne pouvons pas nous fier à des entreprises qui ne sont pas sous notre juridiction.

Un signal d’alarme pour la souveraineté numérique

Ces incidents constituent en effet un signal d’alarme pour la souveraineté numérique.

Les sanctions américaines - sans rapport avec l’Europe et imposées par une puissance étrangère - ont entraîné la fermeture des communications numériques d’une personnalité publique de premier plan, le procureur général de la Cour pénale internationale. De plus, un avocat de Microsoft a déclaré sous serment que les données des Européens ne pouvaient pas être protégées contre l’accès des États-Unis, même si Microsoft stockait les données dans ses centres de données européens.

Cette affaire marque un tournant dans les relations de l’Europe avec les fournisseurs de technologie étrangers. Si des personnalités du droit international peuvent être réduites au silence numérique par une entreprise soumise à la législation américaine, qu’en est-il de notre contrôle - ou de notre absence de contrôle - sur les fondements numériques sur lesquels nous nous appuyons ? Si les services basés aux États-Unis ne peuvent pas protéger les données européennes contre l’accès des autorités américaines, qu’en est-il de notre sécurité et de la protection des données ?

Pendant des années, les institutions européennes se sont appuyées sur une fausse promesse de sécurité et de protection des données de la part des géants de la technologie de la Silicon Valley. Les fournisseurs de services en nuage comme Microsoft, Amazon et Google nous ont assuré à plusieurs reprises qu’ils respectaient la législation européenne, qu’ils avaient construit des centres de données à l’intérieur des frontières de l’UE et qu’ils s’étaient engagés à se conformer au GDPR. Alors que le nouvel Outlook de Microsoft télécharge toutes les données, y compris les mots de passe, dans le nuage, Office 365 de Microsoft a été déclaré illégal pour les écoles allemandes en raison de problèmes de protection des données, et le Danemark a interdit Gmail aux écoles en raison de problèmes de protection de la vie privée liés au GDPR. Et ce ne sont là que quelques exemples.

La compétence juridictionnelle l’emporte sur tout le reste

La compétence est plus importante qu’on ne le pensait : les autorités européennes devraient s’en tenir aux services technologiques européens.

À la lumière de tout cela, les aveux de l’avocat de Microsoft et l’incident de la CPI viennent de mettre le dernier clou dans le cercueil. Ils révèlent une vérité plus profonde, sur laquelle les Européens doivent commencer à agir !

La juridiction l’emporte sur la géographie. Peu importe que vos serveurs se trouvent à Francfort, à Rome ou à Paris - si votre fournisseur est soumis à une loi étrangère, vos données le sont aussi.

Cet aspect doit être pris en compte dans tous les scénarios catastrophes de toutes les entreprises et de toutes les autorités. La question est évidente : mes données sont-elles sécurisées et protégées - non seulement contre les menaces externes comme les attaquants malveillants, mais aussi contre les menaces internes provenant de l’entreprise qui héberge vos données ?

Si des décisions politiques prises à des milliers de kilomètres de distance peuvent avoir des conséquences immédiates et graves sur les communications numériques et les données européennes, cela représente un risque énorme. Un risque que vous ne devriez pas prendre. Et avec le récent incident de Microsoft, il ne s’agit plus d’une menace théorique. C’est exactement ce qui vient de se produire.

La dépendance est une menace

Imaginons qu’il ne s’agisse pas de courrier électronique, mais du secteur de l’énergie.

L’Europe confierait-elle un jour le contrôle de ses réseaux électriques nationaux à des entreprises étrangères soumises à des lois non européennes ? Feriez-vous confiance à la garantie de disponibilité de 99,999 % d’un fournisseur étranger (qui est l’accord de niveau de service standard des fournisseurs de services en nuage) alors qu’une puissance étrangère pourrait l’obliger à tout moment à couper l’électricité de l’Europe ?

Bien entendu, ce n’est pas le cas.

Pourtant, c’est ainsi que nous gérons notre infrastructure numérique en Europe.

Nous sommes aveugles aux risques et faisons beaucoup trop confiance aux fournisseurs de technologie américains. Les plateformes en nuage, les outils de communication et les fournisseurs de courrier électronique sont des services essentiels qui font fonctionner nos gouvernements, nos écoles, nos hôpitaux et nos tribunaux. Et dans la plupart des cas, les institutions européennes ont choisi des fournisseurs américains, alors qu’il existe d’excellentes solutions de messagerie pour les entreprises.

L’Europe dispose de ces services, commençons à les utiliser !

Ce qui rend tout cela encore plus frustrant, c’est que l’Europe ne manque pas d’innovation ; l ‘Europe dispose d’excellents services technologiques qui sont meilleurs que leurs équivalents américains. En ce qui concerne les services technologiques, l’Europe offre bien plus que ce que l’on pourrait croire, surtout si l’on accorde de l’importance à la protection de la vie privée et à la sécurité.

Partout sur le continent, des solutions numériques axées sur la protection de la vie privée, la sécurité et la souveraineté sont en cours d’élaboration. L’un des meilleurs exemples est Tuta, qui propose des outils de messagerie et de calendrier sécurisés et cryptés, avec même un cryptage à sécurité quantique. Le fournisseur de messagerie électronique opère non seulement dans le cadre des lois allemandes sur la protection des données, avec tous les serveurs basés dans des centres de données allemands, mais il utilise également les technologies de cryptage les plus avancées pour protéger les données des entreprises.

Alors pourquoi ne voit-on pas des services comme celui-ci alimenter les ministères, les parlements et les tribunaux ?

Parce qu’en dépit de tous les discours sur l‘“autonomie stratégique”, la technologie européenne est encore souvent traitée comme un plan de secours par les autorités - et la plupart d’entre elles n’ont même pas commencé à mettre ce plan en œuvre. Pendant des décennies, les autorités européennes se sont appuyées sur les produits de Microsoft. En raison de l’intégration de Microsoft dans Windows, le système d’exploitation le plus utilisé depuis son lancement dans les années 1980, la plupart des entreprises et des autorités utilisent encore Microsoft Outlook pour le courrier électronique, Microsoft Word, Excel, etc. Bien que le passage de Microsoft à des alternatives européennes ne puisse pas se faire en un jour, les autorités doivent commencer à planifier ce changement.

Il est temps de se libérer de la dépendance à l’égard de la technologie américaine !

Turn ON Privacy in one click.

Get

Le nuage souverain

Il existe un dicton dans le monde de la technologie qui dit : “Il n’y a pas de nuage, il n’y a que des gens” : Il n’y a pas de nuage, il n’y a que les ordinateurs des autres.

Pour appliquer ce concept, il faut se poser la question suivante : sur quel ordinateur voudrais-je stocker mes données ? Sur quel ordinateur voudrais-je stocker mes données ? Chez un fournisseur de technologie américain - auquel les États-Unis (gouvernement, NSA, CIA, FBI, etc.) peuvent potentiellement avoir un accès total ? Même si les données restent en Europe, le contrôle - la capacité d’opérer, de refuser ou de transférer l’accès - reste ailleurs. Tant que les fournisseurs de technologie américains détiennent la clé, l’Europe n’est pas propriétaire de ses données.

Nous avons besoin d’une véritable souveraineté - en choisissant des services européens qui sont construits et exploités en vertu du droit européen et qui stockent les données uniquement en Europe, le mieux possible avec un cryptage de bout en bout.

Nous voyons déjà des exemples positifs d’Européens qui parviennent à la souveraineté numérique: la ville française de Lyon est sur le point de cesser d’utiliser Microsoft, le ministère danois de la numérisation souhaite réduire sa dépendance à l’égard de Microsoft et l’État allemand du Schleswig Holstein est en train de remplacer Microsoft Office par des solutions à source ouverte.

Un avenir plus radieux

L’équipe Tuta se réjouit d’un avenir plus radieux !

Si l’Europe veut reprendre le contrôle de son infrastructure numérique, nous avons besoin d’un changement structurel et d’un immense effort de la part de toutes les parties concernées. Mais en fin de compte, ces efforts seront récompensés. Non seulement en gagnant en souveraineté, mais aussi en soutenant et en construisant une industrie technologique européenne - une industrie qui peut facilement rivaliser avec les entreprises technologiques américaines et chinoises.

Pour y parvenir, nous n’avons même pas besoin de nouvelles lois, tout ce dont nous avons besoin, c’est d’un engagement du secteur public. Quand Trump dit “l’Amérique d’abord”, l’Europe doit dire “l’Europe d’abord ” - et dans le domaine de la technologie, le gain est double :

1. Une grande partie de ce que le secteur public dépense dans la technologie européenne lui revient sous forme d’impôts sur les sociétés.
2. Le secteur public pourrait aider à stimuler une industrie technologique européenne déjà vibrante et innovante afin d’acquérir un avantage concurrentiel, non seulement en Europe, mais aussi à l’étranger.

Faire de l‘“Europe” une exigence pour les marchés publics de produits technologiques: Les institutions de l’UE, les gouvernements et les autorités locales devraient faire de l’appartenance à l’Europe une exigence pour l’achat de produits technologiques. Ils pourraient ainsi s’assurer que les services qu’ils achètent respectent les lois européennes sur la protection des données et ne sont pas sous l’influence de gouvernements étrangers.

À l’avenir, les autorités européennes et locales peuvent faire une réelle différence. Il leur suffit d’être actives !

Construisons des systèmes qui respectent les lois et réglementations européennes, protègent les citoyens européens et leurs données, et renforcent l’indépendance de l’Europe.

Arrêtons d’emprunter la puissance numérique - et commençons à générer la nôtre. Ensemble, nous pouvons rendre le web meilleur !