Newsletters

Décryptage

Oui, Microsoft peut transmettre les données des Français aux États-Unis… et ce n’est pas nouveau

Devant une commission d'enquête sénatoriale, des représentants de Microsoft ont rappelé qu'en cas de demande fondée, des données pourraient être transmises aux autorités américaines, dans le cadre du Health Data Hub. Un aveu pour certains, une simple confirmation pour d'autres : ce risque est connu depuis l'adoption du Cloud Act. Cette déclaration a eu pour effet de raviver des inquiétudes concernant la protection des données de santé des Français. 

Alice Vitard
Justice
Unsplash - Tingey Injury Law Firm
Justice

Le dossier de l'hébergement du Health Data Hub, cette immense base de données de santé, est revenu au coeur du débat lors d'une audition de responsables de Microsoft par les sénateurs de la commission d’enquête sénatoriale sur les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d’entraînement sur l’économie française. 

L'audition d'Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a mis en lumière un point déjà bien établi : une entreprise américaine peut être contrainte par la justice à fournir des données, même si celles-ci sont stockées en dehors des Etats-Unis. Cette extraterritorialité est au coeur du Clarifying Lawful Overseas Use of Data Act, plus connu sous le nom de CLOUD Act, une loi adoptée par le Congrès américain en 2018. 

Les données peuvent être transmises

Lorsque Simon Uzenat, sénateur et président de la commission d'enquête sur la commande publique, lui demande s’il peut garantir que les données des citoyens français "ne seront jamais transmises, à la suite d'une injonction du gouvernement américain, sans l'accord explicite des autorités françaises", sa réponse est sans équivoque : "non, je ne peux pas le garantir, mais, encore une fois, cela ne s'est encore jamais produit". 

Plus tôt dans l’audition, Anton Carniaux avait déjà précisé : "Quand nous sommes obligés de les donner, nous les donnons. Mais aucune des entreprises européennes qui figurent parmi nos clients n'a été concernée par un tel cas". 

Le CLOUD Act est né d'un litige 

Rappelons l'histoire du CLOUD Act. Ce texte est né d'un bras de fer judiciaire entre Microsoft et le ministère américain de la justice (DOJ) dans l'affaire dite "Microsoft Corp. v. United States". En 2013, les autorités américaines exigent de la société l'accès à des emails hébergés en Irlande, dans le cadre d'une enquête criminelle. Microsoft refuse. En réaction, le Congrès a adopté le CLOUD Act rendant explicite que les fournisseurs de services américains doivent fournir les données, même stockées hors du territoire national. 

Les données pouvant être transmises peuvent inclure des contenus (emails, documents bureautiques...), des métadonnées (journaux de connexion, adresses IP, logs de services...) ainsi que des données de support, y compris celles générées automatiquement. 

Des conditions strictes d'application

Il est également important de rappeler les conditions d'application de ce texte. Le CLOUD Act impose que les demandes faites aux entreprises soient fondées sur une procédure judiciaire, via un mandat ou une assignation, dans le cadre d'une enquête pénale, de sécurité nationale ou de lutte contre la criminalité organisée. La loi permet aussi aux entreprises de contester une demande jugée excessive, notamment si elle entre en conflit avec les lois des pays étrangers. Mais cette procédure reste contrôlée par les tribunaux américains. 

C'est ce texte qui avait, en partie, convaincu la Cour de justice de l'Union européenne de faire sauter pour la deuxième fois la décision d'adéquation conclue entre l'Union européenne et les Etats-Unis, le Privacy Shield, en juillet 2020. Elle avait notamment estimé que les citoyens européens n'avaient pas de recours effectif aux Etats-Unis lorsque leurs données personnelles étaient transférées aux autorités américaines. Depuis, un nouveau texte – le Data Privacy Framework – a été conclu. Des modifications ont justement été apportées pour renforcer le droit au recours des Européens. Or, depuis l'arrivée de Donald Trump au pouvoir, le Privacy and Civil Liberties Oversight Board (PCLOB), l'un des organismes qui sous-tend le DPF, a été détricoté. 

Le CLOUD Act, mais pas seulement

Le CLOUD Act s’ajoute à d’autres législations extraterritoriales américaines, comme la section 702 du Foreign Intelligence Surveillance Act (FISA), le Patriot Act, ou encore le décret présidentiel Executive Order 12333, qui encadrent l’accès aux données à des fins de renseignement.

Pour atténuer ces risques, Microsoft insiste sur son modèle de conformité, en particulier de l'insertion de certaines clauses contractuelles. "D'un point de vue juridique, nous nous engageons contractuellement à l'égard de nos clients, y compris ceux du secteur public, à résister à ces demandes lorsqu'elles ne sont pas fondées (...) Nous commençons par analyser très précisément la validité d'une demande et la rejetons si elle est infondée (...) Lorsque cela s'avère impossible, nous répondons dans des cas extrêmement précis et limité", a détaillé le responsable. 

De son côté, Pierre Lagarde, directeur technique du secteur public de Microsoft France, a rappelé que "conformément à nos engagements contractuels, nous chiffrons les données au repos, dans des data centers de Microsoft, et en transit, avec des clés de chiffrement qui ne sont données à aucune entité". 

Le Conseil d'Etat reconnaît le risque de transmission

La problématique de la transmission potentielle des données du Health Data Hub n'est pas nouvelle. Elle a déjà été portée devant la justice administrative. En novembre 2020, plusieurs associations et syndicats, dont le Conseil national du logiciel libre et InterHop, ont saisi le Conseil d’État pour demander la suspension du partenariat entre l’État et Microsoft, au motif que l’hébergement par une entreprise soumise au CLOUD Act exposait les données de santé françaises à un risque de transfert vers les États-Unis.

Dans son ordonnance du 13 octobre 2020, confirmée en appel, le Conseil d’État a reconnu qu’un tel risque existait bel et bien, mais a estimé qu’il ne justifiait pas, à ce stade, la suspension du projet. La haute juridiction a considéré que les garanties techniques (chiffrement, localisation en Europe) et les engagements contractuels pris par Microsoft France permettaient, pour l’instant, d’assurer un niveau de protection conforme aux exigences du RGPD. Dans le même temps, elle demandait l'adoption de garanties supplémentaires pérennes. 

Le feuilleton de l'hébergement du Health Data Hub semble tout doucement se terminer. Début juillet 2025, après plusieurs années de promesses non respectées, le ministère de la Santé a enfin publié un appel d'offres pour trouver une solution d'hébergement française ou européenne. OVHcloud et Cloud Temple se sont positionnés sur ce dossier.

Les plus lus : Souveraineté
  1. Digital Omnibus : Faut-il craindre la réforme qui bouscule le RGPD, l'encadrement de l'IA et la cybersécurité ?
  2. Souveraineté numérique : Pourquoi Airbus, Dassault Systèmes, Orange, OVHcloud et 7 autres champions européens font alliance
  3. De retours aux manettes d'OVHcloud, Octave Klaba mise sur l'IA, le quantique et SecNumCloud pour devenir leader européen
  4. Workday mise sur l'intelligence artificielle et des offres cloud locales pour accélérer sa croissance en Europe
  5. SAP renforce ses partenariats avec Mistral AI, Bleu et Capgemini autour de la souveraineté numérique européenne
  6. La France et l'Allemagne annoncent un partenariat public-privé avec SAP et Mistral AI pour moderniser la fonction publique
Newsletter L'Usine Digitale
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Cherche talents numériques
Emploi numérique
Consultant en Recrutement (H/F) - Rouen
Harry Hope - 16/04/2026 - CDI - Rouen
Expert en gestion des sites et sols pollués H/F
EGIS - 16/04/2026 - CDI - Bordeaux, Nouvelle-Aquitaine, France
Tous les postes disponibles
Les webinars
Tout voir
Tech
Projets tech et carrière : découvrez le quotidien de deux experts chez Accenture
31 mars 2026 - 12h00
45 min
102 inscrit(s)
Contenu proposé par ACCENTURE
Voir le replay
Tech
[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités
18 novembre 2025 - 10h00
45 min
188 inscrit(s)
Contenu proposé par Salesforce
Voir le replay
Marketing
Performance et IA : les nouvelles priorités digitales du secteur des médias
5 juin 2025 - 09h00
45 min
402 inscrit(s)
Contenu proposé par Salesforce
Voir le replay