Afficher le sommaire Masquer le sommaire
L’étude Asterès, réalisée pour le Cigref et publiée en 2025, chiffre l’exposition européenne : 264 milliards d’euros dépensés chaque année par les entreprises du continent en services cloud et logiciels auprès de fournisseurs américains. Amazon, Microsoft et Google captent 83 % de cette somme. En France seule, la facture annuelle atteint 54 milliards d’euros.
En mars 2013, la sénatrice Catherine Morin-Desailly qualifiait déjà l’Europe de « colonie du monde numérique » dans un rapport au Sénat. Aujourd’hui, le général Marc Watin-Augouard reprend la formule en ouverture du Forum InCyber de Lille. Treize ans ont passé. Les chiffres ont plus que doublé.
Ce que le droit américain autorise
Le US CLOUD Act, adopté par le Congrès américain en 2018, autorise les autorités fédérales américaines à exiger l’accès à toute donnée hébergée par une entreprise américaine, quel que soit le pays où ces données sont physiquement stockées. Un serveur localisé à Francfort ou à Dublin reste soumis à cette injonction dès lors que son opérateur est américain. Les entreprises européennes qui se conforment aux réquisitions américaines risquent de violer le RGPD ; celles qui résistent s’exposent à des sanctions outre-Atlantique.
Les offres de « cloud souverain » proposées par des filiales européennes de Microsoft ou de Google ne résolvent pas ce dilemme. La localisation physique des serveurs ne modifie pas le droit applicable à leur propriétaire.
La dépendance française n’est pas entièrement visible dans les contrats de premier rang. Le rapport du FOTI, publié en avril 2026, précise que des pays comme la France sont exposés indirectement, par l’intermédiaire de prestataires européens qui ont bâti leurs propres systèmes cloud sur des infrastructures américaines en sous-couche.
Le 20 août 2025, Marco Rubio a signé un ordre de sanctions visant Nicolas Guillou, magistrat français à la Cour pénale internationale, sur la base de l’Executive Order 14203 signé par Donald Trump. Son tort : avoir participé à la délivrance de mandats d’arrêt contre Benjamin Netanyahu et son ministre de la Défense pour crimes de guerre.
Dans les heures qui ont suivi, ses comptes Amazon, Airbnb et PayPal ont été fermés. Microsoft a suspendu ses accès à Office 365, Outlook et Teams. Ses cartes Visa, Mastercard et American Express ont été invalidées. Guillou n’avait violé aucune disposition du droit français, européen ou international. « Être sous sanctions, c’est être renvoyé dans les années 1990 », a-t-il déclaré au Monde.
En avril 2026, il témoignait encore sur RTL de son impossibilité d’utiliser Visa, Mastercard, Netflix, Airbnb, PayPal ou Amazon. Le 8 avril, auditionné par la commission d’enquête de l’Assemblée nationale sur les dépendances numériques, il a précisé que les sanctions « ne vous sont pas notifiées : ce n’est pas comme une décision de justice où vous avez des droits de la défense, une possibilité de les contester ».
Emmanuel Macron a adressé une lettre personnelle à Donald Trump fin février 2026, demandant expressément leur levée. Paris a officiellement appelé Washington à « retirer toutes les sanctions prises sur le fondement du décret du 6 février 2025 ». Sans réponse.
A LIRE AUSSI
Valence, nouvelle capitale inattendue du cloud et de l’IA
16 États membres dans le rouge
Le FOTI a analysé vingt-huit pays, les vingt-sept membres de l’UE et le Royaume-Uni. Ses conclusions : 23 de ces pays dépendent de technologies américaines pour des fonctions essentielles à leur sécurité nationale. Seize sont classés en risque élevé face à un Kill Switch activé depuis Washington, dont trois des principaux contributeurs militaires de l’OTAN en Europe. La liste comprend l’Allemagne, la Pologne, l’Estonie, la Roumanie et l’Irlande.
Tobias Bacherle, chercheur au FOTI, a fourni lors d’un échange avec des journalistes une mesure concrète du risque : selon des estimations suédoises qu’il cite, les licences de logiciels cloud américains resteraient fonctionnelles environ trente jours après l’activation de sanctions, à l’issue desquels elles expireraient automatiquement. Le FOTI précise lui-même que ses chiffres sont « conservatoires » : de nombreux contrats impliquant des technologies américaines sont classifiés et absents de l’analyse.
Les réponses des États classés à risque élevé sont d’une hétérogénéité saisissante. L’Autriche a transféré 16 000 postes de son armée de Microsoft Office vers LibreOffice, une transition finalisée en septembre 2025. « Il est très important pour nous de montrer que nous faisons cela principalement pour renforcer notre souveraineté numérique, afin de conserver notre indépendance en matière d’infrastructure IT », a indiqué Michael Hillebrand, directeur des technologies de l’information des forces armées autrichiennes. Aucun autre État membre n’a conduit de migration comparable à cette échelle.
L’Allemagne a mis en place le Centre pour la souveraineté numérique, ZenDiS, et déploie la suite logicielle openDesk dans ses administrations fédérales. Le Land de Schleswig-Holstein a migré 80 % de ses 30 000 postes vers LibreOffice, générant 15 millions d’euros d’économies annuelles sur les seules licences Microsoft. L’Estonie développe en parallèle un « stack alternatif sans États-Unis » activable en cas de sanctions, tout en migrant une partie de ses 25 000 postes gouvernementaux vers Microsoft 365. Ergo Tars, directeur de l’agence gouvernementale Riigi IT, a déclaré vouloir être « préparé au cas où ». La Pologne, troisième puissance militaire de l’OTAN en Europe et classée à risque élevé, n’a publié à ce stade aucune décision nationale comparable.
Paris commence à bouger
Le 5 février 2026, trois ministres français ont annoncé la rupture avec Microsoft Azure pour le Health Data Hub, la plateforme nationale qui centralise les données de santé de millions de Français, et lancé un appel d’offres vers un hébergeur certifié SecNumCloud. Les signataires sont les ministres de la Santé, de la Réforme de l’État et du Numérique.
La certification SecNumCloud, délivrée par l’ANSSI, exclut de fait Microsoft, Amazon Web Services et Google de la compétition. C’est Scaleway, filiale du groupe Iliad, maison mère de Free, qui a été retenu à l’issue d’une évaluation portant sur plus de 350 critères techniques. Montant du contrat : environ 6 millions d’euros sur quatre ans. Scaleway ne possède pas encore la certification SecNumCloud à la date de sa sélection : elle dispose de la certification HDS depuis juillet 2024 et a engagé son processus de qualification auprès de l’ANSSI en janvier 2025. L’agence a accepté une « trajectoire crédible » comme condition suffisante. La migration complète est attendue pour la fin 2026.
Le 14 avril 2026, le décret n° 2026-272, pris en application de la loi SREN, a rendu opposable l’obligation pour l’État de recourir à des prestataires qualifiés SecNumCloud pour certaines données sensibles. Six groupements d’intérêt public y sont directement assujettis, avec dix-huit mois pour migrer si une offre conforme est disponible sur le marché.
Sur le cas Guillou, le Conseil national des barreaux a adopté une résolution exigeant l’activation du règlement anti-coercition européen. La Belgique et la Slovénie ont demandé à la Commission européenne d’activer son règlement de blocage. La Commission a répondu que « la voie diplomatique demeure privilégiée ».
Les 54 milliards d’euros annuels que la France transfère aux opérateurs américains, eux, ne sont soumis à aucune obligation de rapatriement.
