Audition de Microsoft : Des réponses en demi-teinte sur la souveraineté numérique

"Le constat de notre addiction ne fait aucun doute", lance Simon Uzenat, président de la commission d'enquête sur les coûts et des modalités effectifs de la commande publique à l'occasion de l'audtion de Microsoft devant le Sénat qui s'est tenu le 10 juin, notamment questionné sur le sujet de la souveraineté numérique. D'emblée, les sénateurs de la commission d'enquête ont posé les termes d'un problème devenu systémique. La commande publique continue de s'appuyer largement sur des solutions proposées par des grands groupes soumis à des législations extraterritoriales. «Nous sommes présents en France depuis 40 ans, avec 2 200 collaborateurs et un écosystème de 10 500 partenaires », cadre néanmoins Anton Carniau, directeur des affaires publiques et juridiques de Microsoft France. Un ancrage qui ne dissipe pas les interrogations.

Des garanties juridiques fragiles

Interrogé sur les risques liés au Cloud Act américain, Anton Carniau reconnaît qu'« en dernier recours, si nous y sommes contraints, nous devons transmettre les données ». L'engagement contractuel à refuser les demandes jugées infondées, et à notifier les clients, ne suffit pas à rassurer les parlementaires. « Vous ne pouvez pas garantir que des données confiées par l'UGAP ne seront jamais transmises aux autorités américaines sans l'accord explicite des autorités françaises », regrette un sénateur de la commission.

Bleu, une tentative de souveraineté encapsulée

Face à la pression politique, Microsoft met en avant la solution Bleu, co-entreprise à l'initiative d'Orange et Capgemini, destinée à proposer une offre cloud souveraine. Rappelons que Bleu, lancé le 15 janvier 2025, vise l'obtention de la dernière qualification SecNumCloud pour ses services, afin de proposer un cloud de confiance s'appuyant sur la technologie Microsoft. L'ambition de cette nouvelle entreprise est ainsi de répondre aux besoins spécifiques, en matière de cloud, de l'Etat, des collectivités territoriales, des hôpitaux et établissements de santé, et des entités publiques ou privées reconnues comme Opérateurs d'Importance Vitale (OIV) ou Opérateurs de Services Essentiels (OSE), leur permettant d'utiliser les services Microsoft 365 et Microsoft Azure. Dit autrement, il s'agit d'une séparation juridique, capitalistique et technique avec Microsoft, qui, ici, agit en fournisseur technologique. Un montage qui rend Microsoft immun face aux lois extraterritoriales "Nous ne sommes présents ni dans le capital ni dans l'exploitation", assure Pierre Lagarde, directeur technique secteur public. La commission d'enquête a néanmoins relevé qu'en dépit de ce montage, la dépendance fonctionnelle persiste.

Des engagements sous haute surveillance

Microsoft a mis toutefois en avant ses rapports de transparence et ses investissements pour localiser traitement et stockage des données en Europe. "Nous avons finalisé en janvier 2025 l'environnement garantissant un traitement des données exclusivement dans l'UE, y compris pour les logs et le support", affirme Pierre Lagarde. Mais l'absence de contrôle indépendant suscite la méfiance. "Des démarches déclaratives", pointe la commission.

Des inquiétudes d'autant plus légitimes que des menaces d'interruption de services pour la CPI (Cour pénale internationale) ont plané et que L'European Data Protection Supervisor a constaté en 2024 que Microsoft 365 violait le règlement européen 2018-1725 en transférant des données hors union européenne sans garantie adéquate. Sur ce dernier sujet, Microsoft a répondu par la mise en place depuis janvier 2025 d'un environnement technique pour réduire au maximum ce transfert de données et les conserver sur le sol européen.

Au-delà des garanties techniques, les sénateurs interrogent la place de la commande publique dans la stratégie de Microsoft. Si Microsoft revendique son ancrage local et ses efforts de transparence, l'audition laisse transparaître les limites d'une souveraineté technologique sous-traitée. Le projet Bleu, bien que structurant, reste tributaire d'une technologie propriétaire et d'un fournisseur étranger. Et le modèle questionne d'autant que d'autres pays en Europe adoptent une approche plus tranchée. Le Danemark, effectivement, amorce un retrait partiel des solutions Microsoft pour raisons géopolitiques. La suite le 10 juillet, date à laquelle la commission doit remettre ses analyses.