Le Grand Divorce

Comment les gouvernements européens ont cessé de faire confiance aux logiciels américains (et pourquoi cela leur a pris si longtemps)

Partie 1 sur 3 


Un matin d’avril 2024, les fonctionnaires du Land de Schleswig-Holstein, dans le nord de l’Allemagne, ont trouvé une surprise en arrivant à leur bureau : Word, Excel, Outlook et Teams avaient disparu. À leur place se trouvaient LibreOffice, Open-Xchange et Thunderbird. L’État avait pris la décision délibérée, soutenue par tous les partis, de devenir le premier gouvernement d’Europe à abandonner complètement l’écosystème Microsoft. Au cours des mois suivants, soixante mille fonctionnaires et trente mille enseignants allaient apprendre à travailler sans les outils qui ont défini la vie de bureau pendant une génération.¹ 

Ce choix revêtait un poids politique indéniable. Partout en Europe, les regards étaient tournés vers eux. 


Un continent en pleine réévaluation 

À l'été 2025, le ministère de la Numérisation du Danemark a annoncé une transition similaire, remplaçant Microsoft Office 365 par LibreOffice pour l'ensemble de son personnel. La ministre danoise du Numérique, Caroline Stage Olsen, l’a formulé clairement : « Nous ne devons jamais nous rendre si dépendants d’un si petit nombre d'acteurs que nous ne puissions plus agir librement. »²  

En Suisse, privatim, la conférence des préposés suisses à la protection des données, a publié en novembre 2025 une résolution formelle déclarant que l’externalisation de données personnelles sensibles vers des fournisseurs de cloud internationaux est, dans la plupart des cas, illégale pour les organismes publics. Elle leur a demandé d’éviter les services de cloud américains pour les données soumises au secret professionnel, telles que les dossiers médicaux, les données fiscales, les dossiers juridiques et les informations des services sociaux.³ Les préposés ont conclu que la souveraineté sur les données ne s’obtient pas par la seule localisation des serveurs : ce qui importe, c'est de savoir qui contrôle l’infrastructure et détient les clés de chiffrement. Le gouvernement fédéral suisse est allé encore plus loin en lançant le projet Swiss Government Cloud, une initiative de 319 millions de CHF prévue de 2025 à 2032, visant à construire une infrastructure souveraine au niveau fédéral.⁴  

La France a procédé par étapes, de la législation à la planification opérationnelle. La loi SREN impose déjà la migration des données publiques sensibles vers des fournisseurs de cloud qualifiés SecNumCloud, un label qui exclut structurellement les prestataires soumis à des lois extraterritoriales comme le CLOUD Act.⁵ Le 8 avril 2026, la direction interministérielle du numérique (DINUM) a réuni un séminaire interministériel fixant des calendriers concrets pour le remplacement des systèmes informatiques étrangers dans tous les ministères. La DINUM a annoncé qu’elle remplacerait Windows par Linux sur ses propres postes de travail, tandis que la Caisse nationale d'Assurance maladie est en train de faire migrer ses quelque 80 000 collaborateurs vers des outils opérés par l'État : la messagerie Tchap, Visio pour les visioconférences et FranceTransfert pour le partage de fichiers. Chaque ministère, directions rattachées comprises, doit soumettre sa propre feuille de route de migration d'ici l'automne 2026, englobant les systèmes d'exploitation, les outils collaboratifs, les systèmes d'IA et les infrastructures de réseau. Le ministre du Budget, David Amiel, a résumé l'ambition en termes simples : « L'État ne peut plus se contenter de constater sa dépendance. Il doit la surmonter. »5 

À Berlin, le Bundestag repense lui-même son architecture numérique. Une commission transpartisane menée par la vice-présidente du Bundestag allemand, Andrea Lindholz (CSU), étudie les conséquences d’un parlement fonctionnant sous Microsoft 365 sur plus de dix mille postes de travail. La commission doit présenter sa stratégie numérique complète en mai 2026. Comme l’a exprimé la députée écologiste (Grünen) Anna Lührmann : la capacité de travail du parlement allemand ne devrait pas dépendre entièrement de l'infrastructure d’une poignée d'entreprises étrangères.⁶ 


Le risque matérialisé 

L'inquiétude qui motive toutes ces décisions peut sembler abstraite, jusqu'à ce qu’elle se concrétise. La Cour pénale internationale a découvert ce que cela signifie dans la pratique. En février 2025, l’administration Trump a imposé des sanctions aux fonctionnaires de la CPI, ciblant les efforts de la cour pour poursuivre le Premier ministre israélien Benyamin Netanyahou pour crimes de guerre présumés à Gaza. Des rapports ont ensuite révélé que Karim Khan, le procureur général de la CPI, avait perdu l’accès à son compte Microsoft Outlook à la suite de ces mesures. Ces informations, et ce qu'elles impliquaient, ont déclenché un tollé international : l'éventualité qu'un fournisseur de technologie américain ait, sur ordre de Washington, coupé le procureur général d'une cour internationale de sa propre infrastructure institutionnelle.7 

Trois mois plus tard, en août 2025, la même logique frappait encore plus loin. Le juge Nicolas Guillou, un magistrat français siégeant à la Chambre préliminaire de la CPI, a été inscrit sur la liste des sanctions américaines pour son rôle dans l’autorisation des mandats d'arrêt contre le Premier ministre israélien Benyamin Netanyahou. En l’espace de quelques jours, sa carte Visa a cessé de fonctionner. Ses comptes Amazon, Airbnb et PayPal ont été fermés. Une réservation d’hôtel effectuée sur Expedia a été annulée par e-mail au motif des sanctions. Un juge d’une cour internationale, siégeant à La Haye et exerçant un mandat conféré par 125 États membres, se retrouvait banni du monde numérique, non pas par une autorité européenne, mais par une décision prise à Washington et appliquée par des entreprises technologiques et de paiement américaines. Interrogé par Le Monde, Nicolas Guillou a décrit sa situation comme une forme de « mort civile ». Il a averti les responsables européens à Bruxelles que le même sort pourrait s'abattre sur chacun d'entre eux.8 La CPI a par la suite annoncé qu'elle remplacerait Microsoft 365 par openDesk, une suite open source européenne développée par l'entreprise publique allemande Zendis.9 


Le fondement juridique 

Le point commun entre toutes ces décisions réside dans une unique et dérangeante question que les institutions européennes s'efforcent d'éviter, avec un certain succès, depuis l’entrée en vigueur du Clarifying Lawful Overseas Use of Data Act (mieux connu sous le nom de CLOUD Act) en mars 2018 : que signifie réellement le fait de stocker, transmettre ou traiter vos données à travers l'infrastructure d'une entreprise américaine ? 

En vertu du CLOUD Act, les autorités américaines peuvent, sous certaines conditions (que la partie 2 de cette série examine en détail), contraindre n’importe quelle entreprise américaine contrôlant votre infrastructure cloud à leur remettre vos données. Non pas les données stockées dans leurs bureaux américains. Non pas les données générées par des utilisateurs américains. Vos données, qu’elles soient stockées sur un serveur à Francfort, transitent par un centre de données à Dublin lors d'un appel vidéo ou soient traitées en temps réel par une application cloud à Paris, par le simple fait que la société qui contrôle l’infrastructure a son siège aux États-Unis. Le stockage n'est qu’une partie du problème. Chaque document qui transite par un système sous contrôle américain, chaque requête envoyée à une application cloud, passe par une infrastructure soumise à cette même contrainte légale. C’est un point fondamental sur lequel il convient de s'arrêter : lorsque nous aborderons les outils d'IA dans le dernier volet de cette série, cette question sera au cœur de l'argumentation. 


Sept années de déni 

Le CLOUD Act a huit ans. L’arrêt Schrems II, qui a invalidé le bouclier de protection des données UE-États-Unis au motif que la législation américaine en matière de surveillance était incompatible avec les normes européennes de protection des données, a cinq ans. Pourtant, alors que le risque juridique est resté identique, la tolérance politique à l'ignorer s'est effondrée. Ses conséquences n'étaient pas inconnues : elles faisaient l'objet de débats spécifiques dans les revues académiques et les conférences sur la protection des données depuis des années. Ce n’était pas l’analyse qui manquait, mais le sentiment d'urgence. 

Le retour de Donald Trump à la Maison-Blanche en janvier 2025 a été un catalyseur majeur. Ce qui s'en est suivi fut un changement de climat géopolitique si soudain que des risques jusque-là théoriques ont pris un caractère d’urgence immédiate. L'affaire de la CPI en a été une première illustration. En Allemagne, le ministère fédéral de l'Intérieur a missionné des universitaires de l'Université de Cologne pour clarifier officiellement la question juridique. Leur avis sans équivoque, publié en décembre 2025 à la suite d'une demande d'accès aux documents administratifs, a conclu que les autorités américaines pouvaient accéder aux données cloud stockées en Europe.10 Pour sa part, le ministère allemand de l'Intérieur a adapté ses règles de protection des secrets dès réception de l’avis de l’Université de Cologne, reconnaissant de fait que les documents classifiés ne peuvent être traités sur des infrastructures contrôlées par des entités américaines. 11 


« Non, je ne peux pas le garantir. »

Et en juin 2025, devant une commission d’enquête du Sénat français sur la commande publique et la souveraineté numérique, Anton Carniaux, alors directeur des affaires gouvernementales et juridiques de Microsoft France, s'est vu demander sous serment s’il pouvait garantir que les données des citoyens français stockées sur les serveurs européens de Microsoft ne seraient jamais transmises aux autorités américaines sans le consentement du gouvernement français. Sa réponse fut précise et, pour beaucoup, accablante : « Non, je ne peux pas le garantir. »12 

Une vérité que les décideurs politiques européens avaient toujours connue figurait désormais au procès-verbal. Prononcée sous serment, par l'entreprise elle-même. 


Le divorce est difficile – et il ne fait que commencer 

Plusieurs solutions ont été avancées : des fournisseurs de cloud souverains européens, des coentreprises entre des géants du cloud américains (hyperscalers) et des partenaires européens, le chiffrement contrôlé par le client ou encore des alternatives certifiées SecNumCloud. La question de savoir si l'une de ces approches résout réellement le problème sous-jacent d'exposition juridique, plutôt que de simplement le présenter sous une autre forme, sera le point de départ de la partie 2 de cette série. 

Le divorce est en cours. Quant à savoir s'il pourra être mené à son terme, c'est une autre histoire. 

Ce qui est certain, c'est que Washington l’a remarqué. Le 18 février 2026, un télégramme du département d’État signé par le secrétaire d’État Marco Rubio a ordonné aux diplomates américains du monde entier de faire activement pression contre les lois sur la souveraineté des données, les qualifiant de menaces pour les services d’IA, les flux mondiaux de données et les libertés civiles. Les diplomates ont reçu l'ordre de suivre de près les projets de loi susceptibles de limiter les flux transfrontaliers de données et de contrer les réglementations jugées excessives. Le RGPD a été explicitement cité en exemple de réglementation « inutilement lourde ». 13 

Il s'avère que les gouvernements européens qui s'éloignent des infrastructures cloud américaines ne prennent pas une simple décision d'achat informatique. Qu'ils le veuillent ou non, ils participent à une confrontation géopolitique. Les prochains mois nous diront jusqu'où chaque partie est prête à aller. La saga ne fait que commencer. 


La partie 2 de cette série examine les mécanismes juridiques du CLOUD Act et de la section 702 de la FISA, l'illusion de l’appellation « cloud souverain », ainsi que les conclusions de l’avis juridique du gouvernement allemand sur les limites des solutions techniques. 



Notes de bas de page 

  1. Le Schleswig-Holstein a entamé sa transition en avril 2024, déployant LibreOffice sur 30 000 postes de travail avec pour objectif de supprimer 70 % de Microsoft Office d'ici octobre 2025 et de migrer entièrement vers Open-Xchange pour la messagerie. Voir : « German State Schleswig-Holstein Ditches Microsoft for Open Source Software in 2025 », Eagle Eye Technology, septembre 2025 ; EuroStack Directory Project, « Schleswig-Holstein's Bold Open Source Leap », mars 2025. 


  2. Le ministère de la Numérisation du Danemark a annoncé sa transition à l’été 2025, avec une migration de la moitié du personnel d’ici août et un déploiement complet d’ici l’automne. Citation de la ministre danoise du Numérique Caroline Stage Olsen, initialement publiée en danois sur sa page LinkedIn en juin 2025. Traduit du danois ; relayé par plusieurs médias, dont « A Search for Digital Sovereignty: EU Governments Shift from Microsoft to Linux & LibreOffice », 2-data.com, et le blog de The Document Foundation, 8 juillet 2025. 


  3. privatim, « Résolution sur l'externalisation de traitements de données dans le cloud », adoptée le 18 novembre 2025, publiée le 24 novembre 2025. Privatim est la conférence des préposés suisses à la protection des données. Texte intégral disponible sur privatim.ch. À noter que le canton de Glaris n’a pas signé la résolution. 


  4. Détails du projet Swiss Government Cloud (SGC), Office fédéral de l'informatique et de la télécommunication (OFIT). Coût total de 319,4 millions de CHF, s'étendant de 2025 à 2032. Voir : bit.admin.ch/fr/sgc-fr (adapté pour le français si disponible). 


  5. Loi SREN de la France (loi visant à sécuriser et réguler l’espace numérique) et ses exigences de qualification SecNumCloud. Analyse dans « European Digital Sovereignty at Risk: Microsoft's Senate Testimony », Windows Forum, juillet 2025. Séminaire interministériel du 8 avril 2026 : Moritz Förster, « Frankreichs Plan: Weg von Windows, hin zu Linux », heise online, 10 avril 2026. Source principale : Direction interministérielle du numérique (DINUM), numerique.gouv.fr


  6. « Operation Souveränität: Bundestag plant Befreiungsschlag von Microsoft & Co. », heise online / Table.Media, 2 février 2026. Citation d'Anna Lührmann (Grüne) mentionnée dans l'article. 


  7. La question de savoir si Microsoft a coupé l'accès de Khan sous la pression des sanctions américaines ou si la CPI a désactivé le compte de manière préventive pour protéger Microsoft de toute responsabilité liée aux sanctions reste contestée. Microsoft a nié avoir suspendu les services, et a demandé plus tard au Parlement britannique de corriger un témoignage sur le sujet considéré comme inexact. The Register, 18 février 2026 : https://www.theregister.com/2026/02/18/microsoft_asks_uk_parliament_to_correct_record 


  8. Voir : « US Sanctions Turn ICC Judge's Daily Life into a Nightmare », Euronews, 18 février 2026 ; entretien de Nicolas Guillou avec Le Monde, rapporté par le Nordic Times, décembre 2025 ; Verfassungsblog, « The Sanctioning of Law », décembre 2025. Le président Macron a officiellement demandé à Trump de lever les sanctions dans une lettre rapportée par Anadolu Agency, Politico et La Tribune Dimanche en février 2026. 


  9. « International Criminal Court Drops Microsoft 365 for European Open-Source Suite Amid Geopolitical Fears », WinBuzzer, 6 novembre 2025. 


  10. Avis juridique rédigé par l’Université de Cologne pour le compte du ministère fédéral allemand de l'Intérieur (Bundesinnenministerium), publié à la suite d’une demande d'accès à l’information en décembre 2025. Rapporté dans « Gutachten: US-Behörden können auf europäische Cloud-Daten zugreifen », dans plusieurs médias dont heise online et Tagesspiegel Background, 10-11 décembre 2025. 


  11. Benjamin Stiebel, « BMI passt wegen Cloud-Gutachten Geheimschutzregeln an », Tagesspiegel Background, 11 décembre 2025. https://background.tagesspiegel.de/it-und-cybersicherheit/briefing/bmi-passt-wegen-cloud-gutachten-geheimschutzregeln-an 


  12. Audition d’Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, devant la commission d’enquête du Sénat français sur la commande publique et la souveraineté numérique, 10 juin 2025. Transcription disponible sur senat.fr. Rapporté dans « Not Sovereign: Microsoft Cannot Guarantee the Security of EU Data », heise online, juillet 2025 ; « Microsoft Admits It Cannot Guarantee EU Cloud Data Sovereignty from US Government », WinBuzzer, 25 juillet 2025. 


  13. Télégramme du département d’État daté du 18 février 2026, signé par le secrétaire d’État Marco Rubio, rapporté par Reuters : « Exclusive: US Orders Diplomats to Fight Data Sovereignty Initiatives », 25 février 2026. Également rapporté par TechCrunch et le Japan Times le même jour. 

Paula Reichenberg

Table des matières

Tous droits réservés Noxtua AG ©

Tous droits réservés Noxtua AG ©