Posons les faits sans détour. Depuis 2018, une loi américaine baptisée Cloud Act autorise les autorités fédérales des États-Unis à exiger de Microsoft, Google ou Amazon la communication de n'importe quelle donnée stockée sur leurs serveurs, partout dans le monde, sans prévenir les gouvernements concernés et sans recours possible pour les victimes européennes. Pendant ce temps, des ministères français, des universités, des hôpitaux et des collectivités locales ont massivement migré vers ces mêmes services. En toute connaissance de cause, pour la plupart. Parce que c'était pratique. Parce que les budgets résistaient mal aux offres commerciales agressives des géants américains. Parce que personne, en haut lieu, n'a voulu trancher.

Polytechnique vient de payer le prix de cette désinvolture collective. Attaquée juridiquement par le Conseil National du Logiciel Libre pour violation flagrante du Code de l'éducation, la prestigieuse école a dû suspendre en urgence sa migration vers Microsoft 365. Une retraite humiliante pour l'une des institutions scientifiques les plus emblématiques de France, contrainte de reculer non pas par conviction, mais sous la menace d'un procès retentissant.

Ce que dit vraiment le Cloud Act, sans langue de bois

Les équipes commerciales de Microsoft et Google ont un discours rôdé : un mandat est nécessaire, vos données sont défendues, les serveurs sont en Europe. Tout cela est techniquement exact. Et stratégiquement sans importance. Car ce mandat est américain. Il est délivré par un juge américain, selon le droit américain, dans le cadre d'une procédure dont la France n'a pas connaissance et à laquelle elle ne participe pas. Le fait que les données soient physiquement stockées à Francfort ou à Marseille ne change rien : l'entreprise qui les détient obéit au droit américain, et elle obéira.

Ce que la loi permet, sans ambiguïté

Cloud Act (2018) : toute entreprise technologique américaine doit remettre aux autorités fédérales les données hébergées sur ses serveurs, quel que soit leur emplacement géographique dans le monde.

FISA, section 702 : collecte de données à des fins de renseignement avec des procédures opaques, sans mandat classique dans tous les cas. Utilisé spécifiquement contre des cibles non américaines.

Ce que cela signifie concrètement mérite d'être dit à voix haute. Les données de recherche sur les technologies de défense française, stockées sur des serveurs Microsoft, sont potentiellement accessibles au gouvernement américain. Les données de santé de millions de Français confiées à des hébergeurs américains peuvent être consultées sans que la France en soit informée. Les communications d'élus, de fonctionnaires et de chercheurs transitent par des infrastructures soumises à une juridiction étrangère. Ce n'est pas une hypothèse d'école. C'est l'état du droit en vigueur.

"Ce n'est pas une question de confiance envers les États-Unis. C'est une question de droit. Et le droit américain énonce clairement que vos données sont accessibles si Washington le décide."

L'intelligence artificielle, le nouveau cheval de Troie

Si le Cloud Act constitue déjà une menace structurelle documentée, l'intégration massive de l'intelligence artificielle dans les suites bureautiques américaines ouvre un second front, plus insidieux encore. Microsoft Copilot dans Microsoft 365, Gemini dans Google Workspace, les outils d'OpenAI intégrés dans des dizaines de plateformes professionnelles : ces assistants IA ne se contentent plus de stocker des fichiers. Ils observent, analysent et mémorisent la pensée de leurs utilisateurs.

Chaque question posée à Copilot par un chercheur de l'École polytechnique, chaque document soumis à Gemini par un fonctionnaire du ministère de la Défense, chaque résumé de réunion généré automatiquement par un outil OpenAI dans une collectivité territoriale constitue une donnée traitée sur des infrastructures américaines, soumises au Cloud Act au même titre qu'un simple fichier Word. La surface d'exposition ne se mesure plus en téraoctets de fichiers stockés : elle se mesure désormais à l'ensemble du raisonnement institutionnel de la France.

Ce que les outils d'IA collectent réellement

Les prompts et questions : chaque requête adressée à un outil d'IA américain révèle le contexte de travail, les préoccupations et les priorités stratégiques de son utilisateur.

Les métadonnées comportementales : fréquence d'utilisation, thèmes récurrents, documents consultés. Résultat : un profil exhaustif se constitue automatiquement, potentiellement accessible aux autorités américaines via le Cloud Act.

Les garanties contractuelles ne suffisent pas : Microsoft et Google affirment ne pas entraîner leurs modèles avec les données entreprises sans consentement. Mais ces engagements contractuels sont sans valeur face à un mandat fédéral américain.

Microsoft affirme que les données saisies dans Microsoft 365 Copilot ne quittent pas le périmètre du service et ne sont pas utilisées pour entraîner ses modèles sans consentement explicite. Google tient un discours similaire pour Gemini dans Workspace. Ces garanties seraient rassurantes si elles s'appliquaient dans un vide juridique. Elles ne le font pas. Le fondateur de Nextcloud, Frank Karlitschek, résume la situation avec une clarté désarmante : tant que l'entreprise mère reste soumise à la législation américaine, ses engagements contractuels européens cèdent devant un mandat fédéral. Les appeler "souveraineté" relève de la façade.

La question n'est donc pas de savoir si Microsoft ou Google entraînent leurs modèles avec les données de l'administration française. La question est de savoir si, demain, un juge fédéral américain peut ordonner à ces mêmes entreprises de livrer l'historique complet des requêtes d'un chercheur en propulsion nucléaire, d'un diplomate en poste à Pékin ou d'un ingénieur de la DGA. La réponse est oui. Le Cloud Act le permet. Et les outils d'IA rendent cette exposition infiniment plus granulaire qu'un simple fichier bureautique.

"On a longtemps craint que Washington accède à nos fichiers. Avec l'IA intégrée dans nos outils du quotidien, c'est désormais à notre pensée institutionnelle qu'il pourrait accéder."

Qui porte la responsabilité ? Il est temps de nommer les coupables

Il est commode de dénoncer les GAFAM. C'est leur rôle de défendre leurs intérêts commerciaux, et ils le font avec une efficacité remarquable. La vraie question est ailleurs : qui, en France, a laissé faire ?

Les décideurs publics, d'abord. Des directeurs des systèmes d'information ont signé des contrats Microsoft ou Google en sachant que l'article L123-4-1 du Code de l'éducation impose la priorité aux logiciels libres. Des recteurs, des présidents d'université et des préfets ont validé des migrations sans en mesurer, ou sans vouloir mesurer, les implications juridiques et stratégiques. Leur responsabilité est directe et documentée.

Les tutelles ensuite. Comment le ministère de l'Enseignement supérieur a-t-il pu laisser se déployer, dans des dizaines d'universités, des outils en contradiction frontale avec la loi qu'il est censé faire respecter ? La question écrite du député Philippe Latombe a mis en lumière cette contradiction. La réponse ministérielle a soigneusement esquivé le fond du problème. Ce n'est pas une erreur d'appréciation. C'est un choix délibéré.

À l'heure où cet article est publié, une question s'impose à chaque responsable d'institution publique : pouvez-vous garantir que les données de vos usagers, de vos chercheurs, de vos patients ne sont pas hébergées sur des infrastructures soumises au Cloud Act américain ? Et pouvez-vous garantir qu'aucun de vos agents n'utilise un outil d'IA américain pour traiter des informations sensibles ? Si l'une de ces réponses est non, ou incertaine, qu'attendez-vous pour agir ?

L'Europe se réveille, mais la France traîne les pieds

Le cas Polytechnique n'est pas isolé. Il survient au même moment où l'autorité autrichienne de protection des données, équivalent de notre CNIL, vient de condamner Microsoft 365 Education pour pistage illégal d'étudiants et exploitation commerciale de leurs données personnelles. La CNIL française avait pourtant tiré la sonnette d'alarme dès 2020 sur le Health Data Hub, puis en 2021 sur l'enseignement supérieur. Ces avertissements répétés ont produit des groupes de travail, des rapports et fort peu d'action réelle.

D'autres ont fait des choix différents. La ville de Lyon a remplacé Office 365 par des solutions libres à un tiers du coût. La région Île-de-France a initié une migration vers des outils souverains pour ses 550 000 élèves. Ces décisions ne relèvent pas de l'idéologie. Elles relèvent du respect de la loi et de la protection élémentaire des citoyens confiés à ces institutions.

"Le modèle des solutions cloud soumises au droit extraterritorial américain est structurellement incompatible avec le droit européen et la sauvegarde de nos intérêts stratégiques." Stefane Fermigier, co-président du CNLL

L'argument du "pas d'autre choix" est faux, et tout le monde le sait

Le lobbying des géants américains a réussi à installer une croyance tenace dans les esprits des décideurs publics : les solutions libres et souveraines seraient moins performantes, plus coûteuses et incompatibles avec les usages modernes. Les exemples concrets prouvent l'inverse. Nextcloud pour le stockage et la collaboration, OnlyOffice pour la bureautique, Tchap pour la messagerie d'État, Matrix pour les communications sécurisées : l'écosystème français et européen du numérique ouvert est mature, performant et soutenu par une filière industrielle solide. Des alternatives souveraines à l'IA générative émergent également, portées par des acteurs européens comme Mistral AI, dont les modèles peuvent être déployés sur des infrastructures entièrement sous contrôle français. Ce qui manque, ce n'est pas la technologie. C'est la volonté politique de l'imposer.

Prétendre qu'il n'existe pas d'alternative crédible aux GAFAM est devenu le dernier refuge de ceux qui n'ont pas envie de choisir, ou de ceux qui ont trop d'intérêts à préserver le statu quo. Le CNLL propose d'ailleurs un accompagnement concret à tous les établissements qui souhaitent franchir le pas. Les outils sont là. Les compétences sont là. Les obligations légales sont là depuis des années.

Trois urgences auxquelles le gouvernement ne peut plus se soustraire

Le cas Polytechnique doit déclencher une réaction en chaîne bien au-delà du monde universitaire. Trois mesures s'imposent sans délai.

La première est un audit national, exhaustif et rendu public, de toutes les institutions publiques qui hébergent des données sensibles sur des infrastructures américaines ou utilisent des outils d'IA soumis au Cloud Act, assorti d'une obligation de résultat dans les dix-huit mois. La deuxième est l'application effective et sanctionnée des lois existantes : le Code de l'éducation, la loi République numérique et les circulaires ministérielles ne sont pas des recommandations optionnelles. La troisième est un soutien budgétaire et opérationnel aux collectivités et établissements qui font le choix de la souveraineté, parce que la transition a un coût réel que l'État doit assumer plutôt que de laisser peser sur des institutions déjà sous pression.

La souveraineté numérique n'est pas un combat de nostalgiques ni une posture nationaliste dépassée. C'est une condition de l'indépendance nationale au XXIe siècle. Nos données de recherche, de santé, de défense et d'État constituent un patrimoine stratégique dont la protection est une obligation régalienne. Les confier à des entreprises soumises à une juridiction étrangère, fût-elle celle d'un allié, revient à accepter en connaissance de cause une forme de vassalité numérique. Avec l'IA intégrée dans ces outils, ce n'est plus seulement le contenu de nos fichiers qui est exposé. C'est la substance même de notre pensée d'État.

L'École polytechnique a reculé sous la contrainte. C'est un début. La vraie question est de savoir si ce recul isolé deviendra le signal d'un sursaut national, ou si nos institutions attendront, les unes après les autres, d'être à leur tour acculées à la même capitulation.

Sources : Cloud Act

#numérique #souveraineté #logiciel libre #cloud act #intelligence articificielle #ia #microsoft