Quand Microsoft a coupé la CPI : l'incident de 2025 qui a changé la politique européenne du cloud

par BetterInEurope | | 9 min de lecture
digital-sovereigntyEU-toolscompliancecloud-sovereigntygovernance

L’incident, en cinq phrases

En 2025, les États-Unis ont imposé des sanctions au procureur en chef de la Cour pénale internationale (CPI) en réaction à des enquêtes auxquelles le gouvernement américain s’opposait. Peu après, le procureur a perdu l’accès à sa messagerie Microsoft. Microsoft, en tant qu’entreprise domiciliée aux États-Unis, n’avait aucune option juridique pour refuser de se conformer au régime de sanctions. La CPI — organe issu d’un traité international, basé à La Haye, avec un statut officiel d’État hôte néerlandais — a découvert en pleine enquête que l’infrastructure de messagerie sur laquelle reposait sa fonction de poursuite dépendait du bon vouloir de l’exécutif américain. C’est, à ce jour, l’illustration la plus concrète qu’on puisse trouver du fait que la « résidence des données en Europe » n’est pas la même chose que la « souveraineté numérique ».

Pourquoi cet incident précis compte

Le discours politique européen sur la souveraineté du cloud traite depuis des années le CLOUD Act et la jurisprudence Schrems comme des risques théoriques. Oui, en principe, les autorités américaines pourraient contraindre les entreprises américaines à divulguer des données stockées n’importe où dans le monde. Oui, en principe, les transferts transatlantiques de données s’effectuaient sous des régimes juridiques fragiles. Mais pour la plupart des équipes d’achat, cela restait une préoccupation abstraite. Tout le monde continuait à signer des contrats Microsoft 365.

L’incident de la CPI est ce qui a fait passer cette question de « préoccupation abstraite » à « démonstration directe ». Un procureur en exercice de l’un des tribunaux internationaux les plus importants au monde a perdu l’outil de base de son métier — la messagerie — à cause d’une décision prise à Washington. Pas une décision de justice américaine. Un décret exécutif de sanctions, appliqué à une entreprise américaine, exécuté contre une institution basée en Europe qui avait vraisemblablement procédé à une diligence raisonnable approfondie avant d’adopter Microsoft 365.

Si la CPI peut voir son procureur privé de messagerie, la question structurelle pour chaque hôpital, ministère, université, banque et cabinet d’avocats européen est simple : quelle est l’exposition réelle ici ?

La leçon structurelle

La leçon n’est pas que « Microsoft a mal agi ». Microsoft a agi exactement comme l’aurait fait — et devait sans doute le faire — n’importe quel fournisseur domicilié aux États-Unis, compte tenu du cadre juridique dans lequel il opère.

La leçon est que le choix de faire reposer des opérations européennes critiques sur une infrastructure cloud domiciliée aux États-Unis revient à accepter le risque que l’exécutif américain puisse, à tout moment, décider qu’un utilisateur européen particulier n’est plus autorisé à utiliser le service. Ce n’est pas une capacité théorique. Elle a été utilisée.

L’exposition comporte trois dimensions :

Coupure directe au niveau de l’utilisateur. Le cas CPI. Un individu précis est désigné, et son accès aux services fournis par les États-Unis est résilié. Cela s’applique à toute personne touchée par le régime de sanctions américain — ce qui inclut de plus en plus de diplomates, d’avocats, d’ONG et de chercheurs travaillant dans des zones politiquement contestées.

Perturbation au niveau de l’organisation. Des actions de sanctions plus larges peuvent viser des entités entières. Des entreprises européennes commerçant avec des juridictions sanctionnées ont déjà subi la résiliation de services par des fournisseurs américains, souvent avec peu de préavis.

Accès aux données via une procédure légale étrangère. Le CLOUD Act reste en vigueur. Les autorités américaines peuvent contraindre les fournisseurs américains à divulguer des données, indépendamment de leur localisation physique. C’est distinct des sanctions, mais cela passe par le même canal structurel.

La résidence des données en Europe ne répond à aucun de ces points. Le centre de données Microsoft à Francfort qui héberge vos données reste exploité par une entreprise américaine soumise au droit américain. Mettre les données en Europe ne change pas la juridiction d’entreprise de l’entité qui en détient les clés.

Ce que le cas CPI a précisément démontré

Plusieurs éléments que le cas CPI a rendus empiriquement concrets, d’une manière que les discussions précédentes n’avaient pas atteinte :

La rapidité. La coupure a été rapide. Aucun processus judiciaire prolongé visible de l’extérieur, aucune période de négociation. Un jour la messagerie fonctionnait ; le lendemain, non.

L’asymétrie des options. La CPI, en tant que cliente, n’avait aucun recours significatif. Le fournisseur, en tant qu’entité juridique américaine, n’avait aucun choix. La décision n’appartenait à aucune des deux parties à la relation commerciale.

Le manque de visibilité. L’épisode est devenu public parce qu’il impliquait une institution et un responsable de premier plan. Le nombre d’incidents moins visibles concernant des clients européens plus modestes, dans des circonstances proches des sanctions, est inconnu mais vraisemblablement non nul.

Le confinement réputationnel. L’activité européenne plus large de Microsoft n’a été que marginalement affectée par l’épisode sur le plan commercial. Le risque structurel est devenu visible, mais l’inertie de la base installée de clients entreprises a absorbé la pression politique.

Ce que les achats européens devraient en conclure

Trois conclusions au niveau des achats sont désormais défendables d’une manière qu’elles ne l’étaient pas en 2024.

1. Pour les charges de travail à caractère judiciaire, de poursuite ou juridiquement sensibles, les fournisseurs cloud américains ne sont pas appropriés. Ce n’est plus une position de précaution. Il existe un précédent direct.

2. Pour les charges de travail impliquant une exposition politique ou diplomatique aux régimes de sanctions américains, la même conclusion s’applique. Cela concerne les services diplomatiques, les organisations intergouvernementales, certaines ONG et toute entité européenne dont les activités touchent à des points chauds géopolitiques.

3. Pour les charges de travail commerciales ordinaires, le calcul a évolué sans s’inverser. Le coût, les capacités et l’intégration comptent toujours. Mais la réponse à « quel est le pire scénario ? » est devenue suffisamment concrète pour figurer dans les registres de risques.

Pour la plupart des acheteurs publics européens, cela oriente vers des fournisseurs structurellement hors de portée du droit américain. Cela signifie :

  • Fournisseurs domiciliés dans l’UE ou en Suisse
  • Hébergés dans des centres de données européens ou suisses
  • Opérant sous droit européen ou suisse, sans soumettre d’entités juridiques au droit américain
  • Idéalement certifiés selon des cadres européens de cloud souverain (SecNumCloud, BSI C5, le futur EUCS)

Dans le segment de l’infrastructure cloud, les fournisseurs réunissant l’ensemble de ces critères forment une liste restreinte : OVHcloud, Scaleway, Hetzner, Infomaniak, les différents clouds nationaux en France/Allemagne/Italie, et une poignée d’acteurs spécialisés.

La couche de gouvernance

Choisir un fournisseur non américain ne règle pas automatiquement tout. La question de ce qui se passe si ce fournisseur se fait racheter par un acteur stratégique américain en 2029 est bien réelle. Un fournisseur européen vendu à AWS vous ramène au problème de départ, avec un délai.

C’est pour cela que l’annonce de la Fondation Infomaniak de mai 2026 (annonce de la Fondation Infomaniak) revêt une importance structurelle. La propriété en intendance (steward ownership) — le mécanisme juridique qui empêche la cession d’actions à des acquéreurs extérieurs — ferme la brèche qu’un simple « siège en UE » ne ferme pas. Nous avons consacré un article distinct à la propriété en intendance et à son importance pour la souveraineté technologique européenne.

Pour les équipes d’achat qui pensent au risque fournisseur à long terme, la question « ce fournisseur est-il structurellement protégé contre une acquisition par la tech américaine ? » mérite de plus en plus d’être posée. Elle s’ajoute à la question déjà existante : « ce fournisseur est-il structurellement protégé contre la portée juridique américaine ? »

À quoi ressemble la réponse politique de l’UE

Dans les mois qui ont suivi l’incident CPI, plusieurs chantiers politiques se sont accélérés.

Critères de souveraineté de l’EUCS. Les exigences contestées de souveraineté dans le schéma européen de certification de cybersécurité pour les services cloud ont retrouvé un soutien renouvelé d’États membres jusqu’alors ambivalents. L’argumentaire est passé de « en avons-nous besoin ? » à « nous en avions déjà besoin ».

Lignes directrices d’achat cloud-first-UE. Plusieurs États membres — la France (déjà), l’Italie, la Belgique, les Pays-Bas — ont publié ou renforcé des orientations poussant les acheteurs du secteur public et des industries régulées vers le cloud souverain européen lorsque c’est faisable.

Les clauses « Microsoft-CPI ». De nouveaux modèles d’achat ont commencé à apparaître, abordant spécifiquement les scénarios de coupure liés aux sanctions — exigeant des fournisseurs qu’ils divulguent leur propre exposition juridique et qu’ils accordent des droits de notification et de remédiation avant toute résiliation d’accès. Ces clauses sont imparfaites (les fournisseurs américains ne peuvent légalement prendre la plupart de ces engagements), mais elles signalent un changement dans les attentes des acheteurs.

Catégorisation des charges de travail. Les cadres de risque ont commencé à classer les charges de travail selon leur exposition à une coupure liée aux sanctions, et plus seulement selon la sensibilité des données. Une charge de travail « non personnellement identifiante » mais « opérationnellement critique » obtient une nouvelle colonne dans le tableau.

Ce qui n’a pas changé

L’honnêteté impose de reconnaître que, pour la plupart des entreprises européennes, rien de tout cela ne change le quotidien. Microsoft 365 reste la voie la plus simple. AWS reste l’ensemble de fonctionnalités le plus complet. Le coût de migration hors des fournisseurs américains est réel. De nombreuses équipes d’achat européennes continueront à arbitrer et à choisir des fournisseurs américains pour la majorité de leurs charges de travail.

Ce n’est pas nécessairement une erreur. Le compromis est réel, et la conclusion variera d’une organisation à l’autre.

Ce qui a changé, c’est que pour certaines charges de travail — sensibles aux sanctions, juridiquement critiques, essentielles à la souveraineté — le calcul pointe désormais sans ambiguïté à l’écart des fournisseurs américains. Cette catégorie a toujours existé en théorie. Après 2025, elle existe en pratique.

L’enseignement pratique

Si vous dirigez les achats ou la gestion des risques dans une organisation européenne, la question productive à tirer de l’incident CPI n’est pas « devons-nous paniquer à propos de Microsoft ? ». La réponse est non.

La question productive est : parmi nos charges de travail, lesquelles, si elles s’éteignaient demain, causeraient des dommages intolérables, et lesquelles dépendent actuellement du bon vouloir de l’exécutif américain ?

Pour la plupart des organisations, il s’agit d’un sous-ensemble restreint de charges de travail. Mais il n’est pas nul. Et la réponse à cette question oriente désormais les achats d’une manière que sept ans de discussions abstraites sur le CLOUD Act n’avaient pas permis.

La souveraineté cesse d’être une idéologie le jour où quelque chose de concret vient en démontrer la faille. L’incident CPI de 2025, c’est à quoi ressemble cette démonstration concrète.

Si vous souhaitez commencer à cartographier l’exposition de votre propre organisation, notre outil d’évaluation de l’exposition aux États-Unis passe en revue vingt fournisseurs américains courants et la couche de souveraineté qui se trouve sous chacun d’eux. Ou utilisez l’assistant de décision pour obtenir une liste restreinte d’alternatives européennes par catégorie.

La leçon de l’incident CPI n’est pas que la souveraineté importe. C’est que la souveraineté n’est plus optionnelle dès lors qu’on a vu comment elle peut faillir.

Cela vous a-t-il été utile ?

Restez Informé

Recevez les dernières nouvelles sur les alternatives européennes et la souveraineté numérique.

Nous respectons votre vie privée. Désabonnement à tout moment. Pas de tracking, pas de spam.