- Microsoft est légalement tenu de se conformer au Cloud Act américain
- Cela signifie que le gouvernement des États-Unis peut exiger l’accès à n’importe quelle donnée, y compris celles hébergées dans des clouds souverains
- Seules les entreprises situées en dehors de la juridiction américaine, ou les systèmes reposant sur des clés de chiffrement privées, échappent à cette règle
Microsoft a reconnu qu’il lui était impossible de garantir la souveraineté des données pour ses clients situés en France ou dans d’autres pays de l’Union européenne, en raison du Cloud Act américain. Cette loi autorise le gouvernement des États-Unis à accéder aux données détenues par des entreprises technologiques américaines, même lorsque celles-ci sont stockées à l’étranger.
Interrogés sur les garanties juridiques permettant d’empêcher l’accès des autorités américaines aux données européennes, les représentants de Microsoft France, Anton Carniaux et Pierre Lagarde, ont confirmé que l’entreprise analyserait et contesterait toute demande infondée. Toutefois, en cas de requête légitime, Microsoft reste tenu de s’y conformer.
Il est important de noter qu’à ce jour, selon les rapports de transparence publiés par la société, aucune demande de ce type concernant des données stockées en Europe n’a été formulée par les autorités américaines. Néanmoins, dans le contexte géopolitique actuel, cette possibilité suscite de fortes inquiétudes dans plusieurs pays.
Microsoft ne peut pas garantir la souveraineté des données.
L’entreprise insiste sur l’existence de mécanismes destinés à limiter les transferts de données et à maintenir les informations des clients européens dans l’UE. Pourtant, Anton Carniaux admet qu’il est impossible d’écarter totalement l’éventualité d’un accès américain aux données de citoyens français, sans l’accord préalable du gouvernement français. Cette perspective soulève de vives préoccupations.
Début 2024, le projet « EU Data Boundary for the Microsoft Cloud » avait été annoncé comme achevé, avec des concurrents comme AWS et Google également engagés dans des investissements massifs en faveur de la souveraineté numérique européenne. Mais les dernières révélations jettent le doute sur la portée réelle de ces initiatives.
Fait notable : Microsoft, AWS et Google avaient soutenu l’adoption du Cloud Act lors de son adoption. Ce n’est donc en rien une surprise pour eux.
« Le fait que les serveurs soient situés au Royaume-Uni ou dans l’UE ne change rien lorsque la juridiction se trouve ailleurs. Les filiales locales ou les partenariats dits ‘de confiance’ n’altèrent pas cette réalité », explique Mark Boost, directeur général de Civo.
Selon lui, cette faille représente une menace pour la sécurité nationale, la vie privée des citoyens et la compétitivité des entreprises.
En fin de compte, il faut distinguer la résidence des données et la juridiction qui les encadre. Même des entreprises européennes comme OVHcloud, dès lors qu’elles opèrent aux États-Unis, peuvent être soumises à des demandes d’accès émanant du gouvernement américain.
Et tant qu’un prestataire reste sous juridiction américaine – ou que le client ne détient pas seul la clé de chiffrement – la souveraineté absolue des données ne peut être garantie.
Via The Register
Vous aimerez aussi
- Une nouvelle fondation de Bill Gates investit 1 milliard de dollars pour développer des outils d'IA en faveur des Américains vulnérables
- Louis Vuitton victime d’une cyberattaque, des données clients compromises
- Une enquête révèle que presque la moitié des employés de la génération Z pense que leurs patrons sous-estiment l’IA, mais cette évolution est-elle réellement bénéfique ?
