Ces doutes qui planent autour des engagements européens de Microsoft
Malgré son intention de rassurer les entreprises et les organisations européennes, les engagements de Microsoft soulèvent des interrogations quant à leur faisabilité et leur pertinence légale.
Bis repetita ? Le 18 mai 2022, Brad Smith, vice-président du conseil d’administration et président de Microsoft, avait présenté une série de mesures qui engageaient la firme de Redmond dans le respect du droit européen, des demandes de ses clients et de ses concurrents locaux.
Le 30 avril 2025, l’ancien avocat a annoncé cinq « nouveaux engagements numériques européens ». Le contexte est toutefois différent : Brad Smith évoque la « volatilité géopolitique », liée aux décisions de l’administration Trump et aux guerres en cours, notamment en Ukraine (le sujet israélo-palestinien est plus sensible pour l’entreprise).
Un contexte qui, sur le papier, n’est pas favorable aux affaires du groupe américain.
LeMagIT et sa publication sœur ComputerWeekly ont évoqué le projet d’expansion de ses data centers sur le sol européen, première mesure prise par le groupe pour « soutenir la résilience numérique de l’Europe ». Elle consiste à investir directement et indirectement dans des data centers sur le continent européen. La manière indirecte consiste à étendre ou multiplier les partenariats avec des acteurs comme Bleu (Orange, Capgemini) et Delos Cloud (SAP, Arvato Systems).
« En outre, nous nous sommes engagés à établir des partenariats avec des fournisseurs européens de services en cloud », complète Brad Smith, lors d’un événement organisé par le think tank Atlantic Council. Il s’agit, comme avec OVH, « de leur donner la possibilité d’utiliser et d’exécuter les logiciels Microsoft à des conditions plus favorables que celles que nous accordons à Amazon et à Google », précise le dirigeant. Une modalité d’ailleurs mal perçue par ces deux acteurs américains.
À cela s’ajoute le soutien potentiel à des « alternatives » locales – issues d’investissements publics. Le dirigeant ne précise pas la manière de supporter ces projets. Il semble faire mention de la participation au développement de technologies interopérables.
De surcroît, entre 2021 et 2022, Microsoft avait présenté Cloud For Sovereignty et EU Data Boundary, deux initiatives visant à fournir des garanties de sécurité et opérationnelles supplémentaires censées limiter certains risques légaux et cyber. Le fournisseur met aussi en avant des capacités de chiffrement externalisées (Bring Your Own Key) aux mains des clients.
Ce sont autant d’éléments qui alimentent les deuxième et troisième engagements présentés par le dirigeant. À savoir le renforcement de la « résilience numérique » et de la protection des données européennes.
Un comité de surveillance des centres de données européens
Dans la même veine, le géant du cloud américain s’engage à créer un conseil de surveillance « composé exclusivement de ressortissants européens et régi par le droit européen » pour superviser les opérations des data centers sur le vieux continent.
Si Brad Smith assure que les centres de données de Microsoft sont gérés par des filiales européennes soumises aux droits locaux, elles demeurent rattachées à un acteur américain. Acteur lui-même assujetti aux lois extraterritoriales de son pays, CLOUD Act et FISA Act (Foreign Intelligence Surveillance Act), en tête.
« L’entreprise ne prétend pas qu’elle protégera les données de ses clients européens contre l’accès des autorités américaines ni qu’elle empêchera ses clients de perdre l’accès à ses services en cloud. »
Arman BorhemConseiller juridique, Cleura
« Microsoft ne dit même pas que ce comité de surveillance fera une différence pratique ou juridique », commente Arman Borghem, conseiller juridique de Cleura, un fournisseur de cloud souverain suédois. « L’entreprise ne prétend pas qu’elle protégera les données de ses clients européens contre l’accès des autorités américaines ni qu’elle empêchera ses clients de perdre l’accès à ses services en cloud ».
Brad Smith, lui, assure que Microsoft a défendu et défend les intérêts de ses clients. « Nous sommes allés quatre fois en justice contre l’administration Obama au sujet de la protection des données des clients et de la vie privée, y compris des données européennes », illustre-t-il. « Nous sommes allés en justice contre l’administration Trump pour protéger les droits d’employés immigrés ».
Et d’affirmer : « nous nous engageons aujourd’hui à saisir la justice si un gouvernement, où qu’il se trouve dans le monde, émet un ordre visant à contraindre Microsoft à suspendre ou à cesser ses activités et son soutien à l’Europe à partir de nos centres de données locaux ».
Des mesures pour tenter de protéger les clients des ingérences gouvernementales
Brad Smith ne croit pas réellement à cette éventualité. « Ce n’est même pas un sujet dont les gens parlent à Washington », affirme-t-il, en confirmant qu’il mentionne en premier lieu le gouvernement Trump II.
« Nous nous engageons aujourd’hui à saisir la justice si un gouvernement, [...] émet un ordre visant à contraindre Microsoft à suspendre ou à cesser ses activités et son soutien à l’Europe à partir de nos centres de données locaux ».
Brad SmithV-P du conseil d’administration et président de Microsoft
« Mais nous savons que nous devons l’aborder et que les Européens doivent pouvoir compter sur nous », poursuit-il. « C’est pourquoi nous ne nous contentons pas d’offrir une promesse verbale ; nous la mettrons en œuvre en tant qu’engagement contractuel de Microsoft, de Microsoft Corporation et de toutes ses filiales, dans nos contrats avec les gouvernements nationaux de toute l’Europe et avec la Commission européenne, de sorte que nous soyons obligés de nous lever et d’aller en justice si jamais cette situation se présente ».
Ce n’est pas la première fois que Microsoft s’impose une contrainte légale tout en sachant pertinemment que le risque encouru est faible. La protection légale en matière de propriétés intellectuelles couvrant GitHub Copilot en est un exemple. Après un an de mise en place, la filiale de Microsoft n’avait reçu « aucune plainte pour violation directe de droits d’auteur » et aucune demande de compensation n’avait été déposée par les clients de GitHub. L’enjeu est toutefois autrement plus important.
« [L’engagement de Microsoft] pourrait fonctionner dans une démocratie constitutionnelle dotée d’un système judiciaire opérationnel », note pour sa part Jutta Horstmann, CEO de ZenDis, une société de conseil numérique sous le patronage du Commissaire du gouvernement fédéral aux technologies de l’information en Allemagne. « Mais ce n’est plus le cas aux États-Unis, où soit les tribunaux sont constitués de Trumpistes, soit leurs décisions sont négligées par l’administration ».
Justement, si contre toute attente, des mesures gouvernementales menacent la continuité opérationnelle des régions cloud européennes, Microsoft prévoit de stocker des backups de son code dans un dépôt sécurisé en Suisse. « Nous fournirons à nos partenaires européens les droits légaux nécessaires pour accéder à ce code et l’utiliser si cela est nécessaire à cette fin », promet Brad Smith. Les partenaires Bleu et Delos Cloud profitent déjà de mesures similaires. Encore faut-il que ces acteurs puissent maintenir le code, lancent les détracteurs de la firme de Redmond.
« Microsoft estime être prêt à affronter une période de glaciation entre les États-Unis et l’Union européenne », comprend Felix Gerdes, architecte cloud souverain chez Arvato Systems, dans un billet de blog. « […] Il convient toutefois d’examiner attentivement cette possibilité si le pire devait arriver. Outre les compétences juridiques, le personnel adéquat doit bien entendu être disponible pour exploiter le cloud au quotidien ». Les partenaires ont clairement moins confiance en l’Administration Trump que Microsoft.
Un engagement perçu différemment des deux côtés de l’Atlantique
De l’autre côté de l’Atlantique, le constat est similaire, mais les conclusions différentes. Des membres du think tank américain « Center for Strategic and International Studies » (CSIS) pensent que la mention même par Brad Smith de cette éventualité est la preuve que le sujet est « sérieux ».
« Les fournisseurs américains représentent les deux tiers des services en cloud dans l’UE. Il est possible que les États-Unis tirent parti de cette dépendance à des fins géopolitiques », envisagent-ils. « Par exemple, les États-Unis pourraient demander aux fournisseurs de services en cloud de couper l’accès du Danemark dans le cadre d’une confrontation concernant le Groenland, ou forcer les Pays-Bas à restreindre toutes les exportations d’outillage pour semi-conducteurs [pays où siège le spécialiste de la lithographie ASML, N.D.L.R.] vers la Chine en combinant la règle relative aux produits étrangers directs (FDPR) et des sanctions financières ».
« Les décideurs américains ne doivent pas sous-estimer l’Union européenne et sa capacité à poursuivre un processus rapide, bien que coûteux, de désengagement de la technologie américaine. »
Des membres du CSISCenter for Strategic and International Studies
« L’invocation de “kill switch” représenterait une escalade bien plus importante que les droits de douane, dépassant la plupart des scénarios de menace existants », précisent-ils. Non seulement la Commission européenne pourrait chercher à appliquer des mesures réciproques, mais les entreprises et organisations européennes pourraient se détourner des services américains. « Les décideurs américains ne doivent pas sous-estimer l’Union européenne et sa capacité à poursuivre un processus rapide, bien que coûteux, de désengagement de la technologie américaine », préviennent les membres du CSIS.
Dans une étude menée pour le compte du Cigref, Asterès estime à 264 milliards d’euros le poids des achats annuels de services cloud-logiciels américains par les entreprises de l’Union européenne. Cette extrapolation qui combine des données publiques (lacunaires) et les comptes rendus d’entretiens avec six DSI de grands groupes français porte à 83 % la part des entreprises américaines sur le « marché du cloud-logiciel européen ».
Difficile sur le papier de se départir de telles solutions. Aussi, les marges de négociation avec les acteurs américains sont ténues, selon les propos recueillis par Asterès. En parallèle, le cabinet économique estime à 10 % par an l’augmentation des coûts des services cloud. L’étude simule également les effets bénéfiques pour l’économie européenne d’une redirection d’une partie des dépenses vers des acteurs locaux.
En ce sens, pour éviter les risques de « division technologique », le CSIS invite les acteurs américains « à trouver des moyens immédiats de rassurer les partenaires et de rétablir la confiance dans la relation transatlantique ». Dont acte de la part de Microsoft.
Cybersécurité : un RSSI adjoint européen
Le quatrième engagement de Microsoft concerne le renforcement des mesures de cybersécurité. Brad Smith indique que Microsoft va nommer un RSSI adjoint pour l’Europe. « Le RSSI adjoint pour l’Europe sera responsable de la conformité avec les réglementations actuelles et émergentes en matière de cybersécurité en Europe, notamment la loi sur la résilience opérationnelle numérique (DORA), la directive NIS 2 et le règlement sur la cyberrésilience (Cyber Resilience Act ou CRA) », indique-t-il.
Cette décision vise à renforcer la participation du groupe dans l’implémentation du CRA promis à « restructurer le paysage réglementaire comme nouveau standard de référence pour la cybersécurité, tout comme le RGPD l’a fait pour la confidentialité ». Microsoft veut à la fois investir davantage, partager de bonnes pratiques, mais aussi conserver un œil sur l’application des directives qui affectent ses activités en Europe. Pour rappel, Microsoft a recruté Nicholas Banasevic, ancien directeur chargé des activités antitrust dans le secteur des TIC pour la Commission européenne.
Un soutien à l’open source peu évident
Enfin, la dernière promesse est plus nébuleuse. Elle concerne la garantie d’accès à la plateforme cloud pour supporter les initiatives open source. Si Microsoft propose des outils sous licence open source, ceux-ci sont souvent de règles de contributions astreignantes. Pour l’instant, le président de la firme mentionne l’hébergement des modèles d’IA « open weight » et l’interopérabilité. Il évoque également l’abandon des frais de sortie du cloud, comme illustration de cette volonté, sur ce dernier point, le dirigeant oublie de mentionner le fait que le géant du cloud, comme les autres hyperscalers, s’est plié aux exigences des régulateurs britanniques et européens.
Dans un même temps, Microsoft a été accusé à de nombreuses reprises par ses concurrents de verrouillage propriétaire.
Pour approfondir sur Réglementations et Souveraineté