Le 10 juin dernier, Microsoft France a été auditionné par la commission d’enquête sénatoriale sur les coûts et les modalités effectifs de la commande publique. Les représentants de l’entreprise, Anton Carniaux (directeur juridique) et Pierre Lagarde (directeur technique secteur public), ont tenté de rassurer les sénateurs quant à leur politique de protection des données. Ils ont toutefois admis ne pas pouvoir s’opposer à une injonction américaine visant des données hébergées dans notre pays, une confirmation qui met à mal la souveraineté numérique de la France.
Le Cloud Act, promulgué le 23 mars 2018 sous l’administration Trump, permet aux autorités américaines d'exiger l’accès aux données détenues par des entreprises sous juridiction américaine, quand bien même elles sont stockées hors des États-Unis : Microsoft, comme toute entreprise américaine, doit s'y conformer.
"Si nous sommes contraints, nous remettons les données"
Lors de l’audition, Anton Carniaux a été interrogé par le rapporteur sur la garantie que les données des administrations publiques françaises, gérées via les contrats-cadres de l’UGAP (Union des groupements d’achats publics), ne seraient jamais transmises aux autorités américaines. Celui-ci a admis que si une injonction judiciaire américaine fondée est émise, Microsoft est légalement contraint de remettre ces données.
Toutefois, il a tenu à nuancer en soulignant qu’aucune entreprise européenne ou organisme public n’avait, à ce jour, été affecté par une telle transmission depuis la mise en place des rapports de transparence. Ces derniers, publiés par Microsoft depuis 2013, rendent compte des requêtes gouvernementales et des contestations juridiques engagées par l'entreprise lorsque la demande est jugée abusive ou non conforme.
Après les représentants de Microsoft, la commission a entendu plusieurs responsables gouvernementaux, dont Clara Chappaz, ministre déléguée au numérique, et Agnès Buzyn, ancienne ministre de la Santé, à propos du Health Data Hub (HDH), hébergé depuis sa création en 2019 sur Microsoft Azure, malgré l'engagement du gouvernement à rapatrier les données sur une plateforme européenne avant fin 2022. Le ministère de la Santé et de la Prévention avait alors considéré qu’il n'existait pas de solutions européennes opérationnelles alternatives.
La CNIL avait exprimé des préoccupations concernant le risque de transfert de données vers les États-Unis en raison du Cloud Act. Plusieurs associations, professionnels de santé et chercheurs ont, quant à eux, saisi le Conseil d’État, estimant que le fonctionnement du Health Data Hub sur Azure enfreignait le RGPD. Ce dernier, dans son article 48, interdit explicitement les transferts de données personnelles à des autorités étrangères sans cadre juridique clair et consensuel. Malgré ces réserves, la haute juridiction a maintenu la plateforme en activité, en raison de son rôle jugé essentiel dans la gestion de la crise sanitaire.
Clara Chappaz a rappelé que la loi SREN (Sécuriser et Réguler l’Espace Numérique), adoptée en 2024, impose désormais l’hébergement des données sensibles sur des infrastructures présentant des garanties de souveraineté. Le HDH devrait donc migrer vers un cloud qualifié SecNumCloud, excluant de fait ceux soumis au Cloud Act. Un appel d'offres a d'ailleurs été lancé le 1er juillet dernier pour ce rapatriement.