La souveraineté numérique figure en bonne place à l’ordre du jour des organisations européennes, mais le débat est plus complexe qu’il n’y paraît. Microsoft met en œuvre la souveraineté sur quatre niveaux, mais cela offre-t-il pour autant une garantie totale ?
Les tensions géopolitiques, les nouvelles législations telles que NIS2 et l’essor rapide de l’IA amènent les entreprises et les gouvernements d’Europe à réfléchir de manière de plus en plus critique à l’identité de ceux à qui ils confient leurs données. Les questions relatives à l’emplacement des données, à l’accès et au contrôle ne sont plus réservées au secteur public, mais résonnent aussi plus fréquemment auprès des entreprises privées.
Cette réalité n’échappe pas non plus à Microsoft. « La tendance vers la souveraineté ne peut plus être niée », déclare Frank Callewaert, CTO régional pour Microsoft au Benelux, lorsqu’il nous reçoit à l’Innovation Hub de Microsoft, situé au cœur du quartier européen à Bruxelles. « Nous voyons des conflits géopolitiques partout dans le monde. Les entreprises se demandent comment elles doivent y faire face. »
Les turbulences dans la relation entre l’Union européenne et les États-Unis mettent également sous pression la position de Microsoft en tant que fournisseur de cloud public. En tant qu’entreprise américaine, peut-elle garantir la souveraineté en Europe ? Au nom de Microsoft, M. Callewaert n’élude aucune question.
Quatre dimensions
Selon M. Callewaert, il n’existe pas de réponse simple à la question « qu’est-ce que la souveraineté ». « C’est un concept large : chacun utilise sa propre définition et ses propres accents. Les entreprises doivent d’abord déterminer ce que cela signifie pour elles. Nous nous basons sur les trois catégories de Gartner : les données, l’opérationnel et le technique, et nous y ajoutons une quatrième dimension : la cybersécurité ».
« La souveraineté des données n’est pas nouvelle en soi : le secteur public se pose des questions sur l’emplacement des données depuis l’introduction du RGPD. Le RGPD reste l’étoile polaire dans cette discussion. La souveraineté opérationnelle signifie que le client conserve le contrôle de ses données, la souveraineté technologique doit garantir que les données du client lui appartiennent et restent les siennes. Microsoft n’est que le “sous-traitant” des données des clients. »
« Nous ajoutons nous-mêmes un quatrième volet : la cybersouveraineté. Les acteurs étatiques sont particulièrement actifs. C’est pourquoi nous partageons, par exemple, nos informations de sécurité avec le CCB », explique M. Callewaert.
Légal, technologique et opérationnel
Pour tenir ces quatre promesses, Microsoft dispose de leviers tant légaux que technologiques et opérationnels. M. Callewaert : « Chaque région de centres de données locale est organisée comme un bâtiment soumis au droit national et européen et relève de la responsabilité d’un conseil d’administration européen. Depuis septembre 2025, des engagements explicites de résilience sont mentionnés dans nos contrats. Nous développons ainsi la capacité d’“européaniser” notre cloud de bout en bout en Europe. »
Sur le plan technologique, Microsoft investit dans le chiffrement et la restriction d’accès. « La Data Boundary stipule que les données des clients européens restent au sein de l’UE », poursuit M. Callewaert. « Les données sont doublement chiffrées par défaut, au repos et en transit. Les clients qui le souhaitent peuvent ajouter un chiffrement supplémentaire ou gérer leurs propres clés. Les administrateurs de Microsoft n’ont alors pas accès aux clés : le client en porte la responsabilité. Pour de nombreuses organisations, cela sera suffisant, mais dès cet été, nous offrirons également la possibilité de conserver les clés sur son propre matériel. »
Enfin, M. Callewaert souligne la couche opérationnelle. Dans les centres de données, une séparation stricte entre l’accès physique et l’accès logiciel aux serveurs est appliquée. « Celui qui voit physiquement les serveurs ne sait pas ce qui tourne dessus, et inversement. Chaque intervention reçoit une mission spécifique et une limite de temps. En utilisant ce que l’on appelle la “lockbox”, les clients ont accès aux journaux et disposent d’un “bouton d’urgence” pour bloquer les interventions. »
« Un nouvel ajout est Data Guardian. Nos services cloud sont développés à l’échelle mondiale. Nous organisons le support autant que possible depuis l’Europe, mais il est impossible d’avoir toutes les connaissances ici. Les questions mutuelles entre les équipes d’ingénieurs sont documentées et partagées avec le client. Lors d’un support international, il y a toujours un suivi effectué depuis l’Europe. »
La puissance du cloud
Avec cette méthode de travail, Microsoft couvre déjà, selon M. Callewaert, de nombreux besoins de souveraineté. « Mais il existe des organisations qui recherchent les “extrêmes”. C’est pourquoi nous investissons à nouveau dans des alternatives locales, évoluant à partir de l’hyperconvergence. » Un exemple est Azure Local, que M. Callewaert décrit comme un « mini-ensemble pour Azure sur du matériel certifié ».
« Ce principe n’est pas nouveau. Nous y travaillions déjà avant que la souveraineté ne fasse surface. Il offre une bonne réponse aux organisations qui souhaitent s’appuyer sur l’on-prem. Azure Local offre la possibilité de mettre en place, en théorie, un environnement cloud et de couper ensuite la connectivité. Les mondes de l’on-prem et du cloud sont ainsi rapprochés ».
Microsoft étend également cette possibilité à ses services de cloud et d’IA. Récemment, l’entreprise a introduit la possibilité d’exécuter les applications Microsoft 365 localement. M. Callewaert : « Auparavant, vous perdiez les applications de productivité si vous quittiez le cloud. Nous y apportons une réponse en rendant SharePoint, l’e-mail et le chat disponibles localement. AI Foundry permet aux clients d’utiliser des modèles d’IA sur leur propre matériel de manière identique au cloud public. Ainsi, le client contrôle lui-même l’endroit où tournent ses modèles d’IA ».
M. Callewaert reconnaît que les idées fausses sur la souveraineté sont encore très répandues. « Beaucoup d’entreprises pensent qu’elles peuvent simplement déplacer leur environnement existant. Mais si vous voulez faire tourner vous-même de grands modèles d’IA, vous avez besoin de beaucoup de matériel. La puissance du cloud public est encore souvent sous-estimée, tant pour la puissance de calcul que pour la sécurité. De nombreuses attaques ont lieu sur des environnements hébergés localement. »
Cloud Act
Malgré toutes les mesures, Microsoft souffre de plus en plus d’une perception négative. En tant qu’entreprise américaine, elle est soumise au Cloud Act américain : une législation qui stipule que le gouvernement peut demander l’accès aux données des entreprises, même si elles se trouvent en dehors des États-Unis. Les collègues français de M. Callewaert ont eux-mêmes admis récemment que Microsoft ne peut pas promettre une « souveraineté totale ».
M. Callewaert nuance immédiatement l’impact de la législation. « Le Cloud Act est un instrument par lequel le gouvernement peut, dans des circonstances très limitées, demander l’accès à des données en dehors des États-Unis, par exemple dans le cadre d’enquêtes sur des activités criminelles graves telles que le terrorisme, le trafic d’armes ou le trafic de drogue. Ce n’est pas un joker pour le gouvernement : chaque demande doit contenir une motivation, des preuves, une proportionnalité et une spécificité suffisantes pour une personne déterminée. »
Microsoft promet également de s’opposer autant que possible à de telles demandes. « Notre principe est que nous ne fournissons pas d’accès aux environnements des clients, mais en tant qu’entreprise, nous ne sommes pas au-dessus des lois. Chaque demande concernant une entreprise européenne sera évaluée par une équipe de juristes européens. Ensuite, nous transmettons la demande au client. Si cela ne suffit pas pour refuser la demande, nous examinons les moyens techniques et opérationnels. De toute façon, nous ne pouvons pas accéder à la demande si le client possède lui-même ses clés. »
Jamais dans notre histoire nous n’avons remis de données du secteur public à quelque gouvernement que ce soit.
Frank Callewaert, CTO Microsoft BeLux
« Nous faisons un rapport à ce sujet tous les six mois. Au cours des six derniers mois, sur 168 demandes concernant des données d’entreprise, 95 ont été immédiatement refusées. De plus, seule une fraction provient du gouvernement américain : nous recevons également de nombreuses demandes de pays européens comme la France et l’Allemagne. Jamais dans notre histoire nous n’avons remis de données du secteur public à quelque gouvernement que ce soit », rassure M. Callewaert.
Un thème durable
M. Callewaert s’attend à ce que la question de la souveraineté ne s’apaise pas de sitôt. Il souligne trois évolutions qui mettent sous pression la stratégie de données des entreprises. « Le rythme de l’innovation, stimulé par l’IA générative, n’a jamais été aussi rapide. Cela vaut tant pour le marché grand public que pour le monde des affaires. Les organisations ne veulent pas rater le train, mais ces applications nécessitent beaucoup de données. Deuxièmement, il y a le cadre légal avec les exigences de conformité associées, qui peuvent parfois ralentir l’adoption. »
La troisième évolution, et peut-être la plus marquante, est l’incertitude géopolitique actuelle. « La situation actuelle crée des questions qui ne se posaient peut-être pas auparavant. Il est bon que les entreprises et les gouvernements s’en préoccupent et osent remettre les choses en question. Microsoft n’est pas resté sourd à ces préoccupations », conclut M. Callewaert.