Nos données sont chez Amazon. Nos dossiers de santé, nos données fiscales, nos informations personnelles : hébergés par des entreprises soumises au droit américain. Le Cloud Act de 2018 permet au gouvernement des États-Unis d'y accéder sans passer par nos tribunaux, sans notre accord. Ce n'est pas une hypothèse. C'est la loi en vigueur.
Les alternatives existent. Les solutions européennes existent. Il manque la volonté de les imposer, et des règles pour que les administrations françaises ne puissent plus déroger par défaut.
Nos données sont américaines
Au niveau européen, 70 % du marché du cloud est capté par Amazon (AWS), Microsoft (Azure) et Google (Synergy Research). En France, ces trois géants ont capté 70 % de la croissance du cloud public d'infrastructures en 2022 (Markess by Exaegis). Le Cloud Act américain de 2018 permet au gouvernement américain d'accéder aux données stockées par ces entreprises, y compris en Europe, sans l'accord du pays concerné. Cela inclut les données de santé des hôpitaux français, les données fiscales des entreprises, et les données personnelles des citoyens.
La Cour de justice de l'Union européenne a déjà invalidé deux accords de transfert de données UE-États-Unis (en 2015 et en 2020) en raison de cette incompatibilité juridique. Le Health Data Hub, qui centralise les données de santé de millions de Français, est encore hébergé sur Microsoft Azure en mars 2026. Un appel d'offres pour migrer vers un cloud européen certifié a été lancé en février 2026, avec une migration prévue fin 2026.
Les alternatives européennes existent déjà : OVHcloud, Scaleway, S3NS (joint-venture Thales-Google sous contrôle français, qualifiée SecNumCloud par l'ANSSI en décembre 2025). La Suite territoriale, pilotée par l'Agence nationale de la cohésion des territoires (ANCT) en partenariat avec l'ANSSI et la DINUM, est déployée depuis janvier 2026 pour 24 000 petites collectivités. Lyon, Marseille et l'Île-de-France migrent hors Microsoft. Le mouvement est lancé. Il faut l'étendre.
Par ailleurs, les États-Unis appliquent leurs lois aux entreprises européennes via leur droit extraterritorial. BNP Paribas a payé 8,9 milliards de dollars d'amende en 2014 pour des transactions en dollars. Alstom a été contraint de vendre sa branche énergie à General Electric après une mise en cause pour corruption. Tout contrat libellé en dollars ou toute filiale américaine suffit à soumettre une entreprise française au droit américain.
- Imposer la préférence européenne dans les marchés publics pour les données sensibles (santé, défense, fiscalité) : si une solution certifiée conforme au règlement général sur la protection des données existe en Europe, elle doit être utilisée. Dérogation possible uniquement en l'absence démontrée d'alternative, par procédure motivée et publique
- Rapatrier le Health Data Hub sur cloud européen certifié, conformément à l'appel d'offres lancé en 2026
- Donner à la direction interministérielle du numérique un pouvoir de veto sur les budgets informatiques des ministères, sur le modèle britannique (tout projet au-dessus de 100 000 livres passe par une validation centrale)
- Étendre le mandat de l'agence nationale de la sécurité des systèmes d'information aux collectivités territoriales : aujourd'hui, son mandat se limite à l'État et aux opérateurs d'importance vitale
- Adopter une loi de blocage européenne contraignante contre l'extraterritorialité américaine
Le guichet unique DossierFacile pour l'accès au logement privé (voir fiche Logement, axe 5) illustre cette logique : les données personnelles restent dans les bases des administrations sources.
On n'accepterait pas que l'armée française roule en Ford. Pourquoi accepte-t-on que nos hôpitaux stockent leurs données chez Amazon ?