SYAGA Consulting Souverainete La preuve, pas la promesse.

Souverainete - Microsoft 365

CLOUD Act et Microsoft 365 : ce que Microsoft a reconnu devant le Sénat

En juin 2025, devant la commission d'enquête du Sénat français, le directeur des affaires publiques et juridiques de Microsoft France a répondu « Non, je ne peux pas le garantir » lorsqu'on lui a demandé s'il pouvait assurer que les données des Français ne seraient jamais transmises au gouvernement américain sans l'accord des autorités françaises. Autrement dit : vos e-mails, fichiers et identités Microsoft 365, même hébergés en Europe, restent juridiquement atteignables via le CLOUD Act.

Le fait : réponse d'Anton Carniaux (Microsoft France) au Sénat : « Non, je ne peux pas le garantir, mais cela n'est jamais arrivé. »

Le fait, sourcé

Ce que Microsoft France a dit au Sénat

Sénat, juin 2025. Audition de Microsoft France par la commission d'enquête sur la commande publique. Question posée : les données des citoyens français peuvent-elles être transmises au gouvernement américain sans l'accord des autorités françaises ? Réponse : « Non, je ne peux pas le garantir, mais cela n'est jamais arrivé. »

Lors de la même audition, Microsoft France a précisé que, depuis janvier 2025, les données des clients européens ne quittent plus contractuellement l'Union. Ces mesures techniques ne l'emportent toutefois pas sur l'obligation légale américaine.

Le CLOUD Act (loi américaine du 23 mars 2018) autorise les autorités des Etats-Unis à exiger l'accès à des données détenues par une entreprise sous juridiction américaine, où que ces données soient stockées, y compris en Europe.

Ce n'est pas théorique

Même la Commission européenne était en infraction

EDPS, 8 mars 2024. Le Contrôleur européen de la protection des données a constaté que l'usage de Microsoft 365 par la Commission européenne enfreignait le règlement (UE) 2018/1725 (limitation des finalités, transferts internationaux, divulgations non autorisées) et a ordonné la suspension de certains flux. La Commission a depuis régularisé, en 2025 ; mais le constat initial reste parlant.

Ce que ça change

Pour votre PME

Votre tenant Microsoft 365 concentre le plus sensible : messagerie, documents, identités, droits d'accès. Le CLOUD Act ne vous épargne pas parce que vous êtes une PME. La bonne question n'est plus « est-ce grave ? » mais « qui, en dehors de vous, peut voir ou exiger ces données ? »

Le piège

Un audit qui aggrave le problème

Pour évaluer votre sécurité Microsoft 365, la plupart des prestataires exigent un accès large et emportent une copie de votre configuration, parfois de vos données, sur leurs propres serveurs. Vous ajoutez alors une exposition : celle de l'auditeur lui-même, qui devient une nouvelle cible. S'il se fait pirater, c'est la carte de vos failles qui se retrouve dans la nature.

Notre réponse

L'audit sans copie

Nous mesurons la posture de sécurité de votre Microsoft 365 sans jamais emporter vos données. L'analyse lit votre configuration (les réglages), pas votre contenu (ni e-mails, ni fichiers), et vous le vérifiez vous-même dans vos propres journaux Microsoft. Méthode : ZKPA (Zero-Knowledge Posture Assessment), hébergement en Europe, briques open source.

Recevez votre bilan dès l'ouverture

Questions fréquentes

CLOUD Act, M365 et audit

Le CLOUD Act s'applique-t-il si mes données sont hébergées en Europe ?
Oui. Il vise l'entreprise sous juridiction américaine qui détient les données, indépendamment du lieu de stockage. C'est ce que Microsoft France a reconnu ne pas pouvoir neutraliser (Sénat, juin 2025).

Un audit de sécurité doit-il forcément copier mes données ?
Non. On peut mesurer la posture en lisant la configuration et en le prouvant dans vos journaux, sans emporter de copie (audit sans copie / ZKPA).

Suis-je concerné si je suis une petite structure ?
Oui : la protection ne dépend pas de votre taille mais de qui détient et peut exiger vos données.