Microsoft avoue ne pas garantir la confidentialité des données

La réponse a le mérite d’être claire. Face aux sénateurs le 10 juin dernier, Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a répondu sans détour que « si nous sommes contraints par une décision de justice américaine, nous devons remettre les données ».

Ce n’est pas vraiment un scoop pour les experts spécialisés dans la confidentialité des données et qui connaissent par cœur les articles du Cloud Act. Cette loi américaine a été promulguée en 2018 à la suite des difficultés rencontrées par le FBI pour obtenir des données via des fournisseurs de services par le biais de mandats du Store Communications Act, qui a lui-même été légiféré avant que le cloud ne devienne une réalité.

Le Cloud Act est une loi qui donne au gouvernement américain le pouvoir d’obtenir des données numériques détenues par des entreprises technologiques basées aux États-Unis, que ces données soient stockées sur des serveurs dans le pays ou à l’étranger. Elle est censée contraindre ces entreprises, par le biais d’un mandat ou d’une citation à comparaître, à accepter la demande.

Or, Microsoft est tenu de respecter le Cloud Act. L’article 102 précise que cette loi s’applique aux « communications service providers that are subject to jurisdiction of the United States ». Microsoft Corporation et ses filiales (dont celle en France) font donc partie de ces « service providers ».

Une autre vidéo embarrassante, mais cette fois pour la classe politique française, est celle de l’ancienne ministre de la Santé. Le même jour que le représentant de Microsoft, Agnès Buzyn a avoué que la seule solution pour héberger la Plateforme des données de santé (appelée aussi Health Data Hub) était celle de l’américain Microsoft.

Microsoft ou rien

Devant cette commission d’enquête sénatoriale, Agnès Buzyn a mis en avant des notes produites par son ancien cabinet et celle de la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC). « Aucune des notes qui me sont remontées de mes services n’a à aucun moment mis en balance le fait que l’on avait d’autres possibilités », a-t-elle ajouté. « L’arbitrage, je l’ai pris en pleine connaissance de cause, sur le fait que c’était Microsoft ou rien […] Les notes étaient formelles sur le fait qu’aucun acteur n’apportait ni la capacité de stockage, ni les conditions de sécurité de Microsoft, de ce fait, on ne m’a donné aucun choix. »

Ces deux vidéos confirment le très faible niveau de connaissance de la classe politique en général (mais cela vaut aussi pour de nombreux chefs d’entreprise) sur la confidentialité des données et la place incontournable prise par le géant américain. Et cette situation ubuesque perdure depuis des années. De nombreuses administrations, hôpitaux et collectivités utilisent ainsi Microsoft 365, souvent sans conscience des conséquences juridiques (incompatibilité notamment avec le RGPD).

Mais s’affranchir des GAFAM et en particulier de Microsoft n’est pas simple. Cela impose de sortir de sa « zone de confort » et de trouver des alternatives malgré ce verrouillage de l’écosystème. Une fois engagé, sortir de Gmail, Chrome, Windows ou Office s’avère complexe : formats propriétaires, synchronisation cloud, dépendance aux API…

Il existe plusieurs alternatives valables qui peuvent répondre à différents besoins et budgets. Concernant la messagerie et la collaboration, on peut citer les Suisses de ProtonMail et d’Infomaniak ou encore CryptPad, une suite collaborative chiffrée (texte, tableur, sondages…), auto-hébergeable ou hébergée.

Des villes comme Grenoble, Nantes ou Lyon ont expérimenté ou adopté des outils libres comme LibreOffice, Nextcloud, ou des solutions hébergées localement pour remplacer les services cloud de Microsoft. Quant à l’Université de Strasbourg, elle a migré une partie de ses services vers Zimbra pour la messagerie et LibreOffice pour la bureautique, dans une logique de réduction des coûts et de respect du RGPD.