La part du citoyen

Le dossier · Chapitre 1

Chapitre 1 · 2 / 11

Un président américain peut-il « éteindre » la France ?

Prends ton téléphone. Il y a de fortes chances que ta carte bancaire, ton dossier médical, ta boîte mail et l'appli qui te réveille le matin passent, à un moment, par une entreprise américaine. La question de cette pièce est bête comme chou : si Washington le décidait, est-ce que tout ça pourrait s'éteindre — et à quel âge as-tu remis les clés sans t'en apercevoir ?

Un mot d'avertissement avant d'ouvrir le dossier : les gens que tu vas lire ont été convoqués par une commission d'enquête qui soupçonnait déjà une dépendance. Ce sont ses invités, pas la vérité révélée. Notre boulot ici, c'est justement de trier : qu'est-ce qui est établi (la loi existe, telle chose est arrivée), et qu'est-ce qui reste disputé (est-ce que ça arrivera, et à quel point).

Le mot qui a donné son titre à cette pièce

Un ancien secrétaire d'État au numérique, sous serment, a lâché le scénario noir sans détour.

[ÉTABLI que la phrase a été prononcée — pas que le scénario se réalisera.] Devant la commission, Cédric O — qui a piloté le numérique du gouvernement de 2017 à 2022 — a formulé la crainte dans les termes exacts qui donnent son titre à cette pièce.

« Nous vivons dans un monde où le gouvernement américain pourrait choisir demain d'éteindre la lumière. Il est donc impératif de réduire notre dépendance. »

M. Cédric O (ancien secrétaire d'État au numérique, M. Cédric O, 2026-05-13)

Retiens la nuance : il dit pourrait, pas va le faire. C'est une inquiétude, pas un fait comptable. Pour savoir si elle tient debout, il faut instruire — et ça commence par la loi.

Ce qui est solide : la loi passe les frontières

La première pièce du dossier n'est pas un bouton rouge. C'est un texte de loi, et sur celui-là, tout le monde est d'accord.

Établi Le Cloud Act, c'est la loi américaine de 2018 qui permet à un juge américain de réclamer des données détenues par une entreprise américaine, même si ces données dorment sur un serveur à Paris. Autrement dit : ton coffre-fort peut être en France et rester ouvrable avec une clé fabriquée à Washington. La Cour des comptes en a donné la définition la plus nette devant les députés.

« Je pense notamment au Cloud Act de 2018 qui permet à un juge américain, en cas d'enquête criminelle, d'exiger le transfert de données – relatives à des personnes ou à des entités – détenues par des fournisseurs de services situés aux États-Unis, même si ces données sont hébergées en dehors du territoire américain, sans avoir à passer par des procédures d'entraide judiciaire internationale. »

Emmanuel Marcovitch (Cour des comptes, M. Emmanuel Marcovitch, 2026-03-17)

À côté du Cloud Act, il y a le FISA — le Foreign Intelligence Surveillance Act. Sa fameuse section 702 autorise depuis 2008 les services américains à surveiller quelqu'un pour une seule raison : ne pas être américain. Toi, moi, l'entreprise d'à côté.

« depuis 2008, la section 702 du Foreign Intelligence Surveillance Act (Fisa) autorise l'administration américaine à écouter et à regarder tout ce que l'on fait, pour peu qu'on ne soit pas citoyen américain. »

Thierry Breton (ancien commissaire européen au marché intérieur, M. Thierry Breton, 2026-04-15)

Et voici le point qu'on peut trancher sans hésiter, parce que le corpus est constant du premier au dernier témoin : déménager les serveurs en France ne coupe pas la prise juridique. Ce qui compte, ce n'est pas est la machine, c'est de quelle nationalité est le fournisseur. Le président de la commission l'a résumé en une phrase.

« La localisation ne change en rien l'extraterritorialité du droit. »

Philippe Latombe (président de la commission, M. Arnaud Caudoux, 2026-04-21)

« Les États-Unis ont ainsi un accès total à toutes les données qui sont soit la propriété d'un fournisseur de cloud américain, soit sous sa garde ou sous son contrôle, sans limite géographique. »

Max Schrems (juriste, association NOYB, M. Max Schrems, 2026-03-26)

Voilà le socle. Il n'est pas disputé. La suite, elle, l'est beaucoup plus.

L'homme qui a été « éteint » pour de vrai

Pour comprendre à quoi ressemble la coupure, la commission avait un cas clinique : un magistrat français débranché en direct.

[ÉTABLI que ce cas est arrivé.] (magistrat français, juge à la Cour pénale internationale — il témoignait de sa propre mise sous sanctions par les États-Unis). Après avoir approuvé un mandat d'arrêt visant le Premier ministre israélien, Guillou a été inscrit à l'été 2025 sur la liste de l'OFAC — le bureau du Trésor américain qui tient la liste noire des personnes avec qui aucune entreprise touchant de près ou de loin aux États-Unis n'a le droit de faire affaire. Résultat concret : des services numériques du quotidien lui ont fermé la porte.

« Ma vie personnelle est devenue un laboratoire de la perte de souveraineté. »

Nicolas Guillou (juge à la Cour pénale internationale, M. Nicolas Guillou, 2026-04-08)

Son explication du mécanisme est précieuse, parce qu'elle démonte une idée fausse. La sanction ne marche pas parce que Washington appuie sur un bouton : elle marche parce que ce sont des entreprises privées qui l'exécutent, souvent par excès de prudence, pour ne pas s'attirer d'ennuis.

« le système de sanctions repose sur une forme de privatisation. Les sanctions se traduisant principalement par un refus de services, ce sont les sociétés privées qui en sont le vecteur. »

Nicolas Guillou (juge à la Cour pénale internationale, M. Nicolas Guillou, 2026-04-08)

Ici, prudence de juge d'instruction. Guillou, lui, va plus loin et généralise à tout le monde : parce que toutes les cartes bancaires françaises sont adossées à Visa ou Mastercard, il estime que le levier ne vise pas que lui.

« en pratique, une décision du président américain peut déconnecter n'importe quel Français de tous ses moyens de paiement. »

Nicolas Guillou (juge à la Cour pénale internationale, M. Nicolas Guillou, 2026-04-08)

Ce « n'importe quel Français », c'est sa lecture, pas un fait acté. Ce qui est établi, c'est ce qui lui est arrivé à lui. L'extrapolation à 68 millions de personnes, on la range dans la case thèse, pas dans la case preuve.

Le cœur du procès : le « kill switch »

Passons à la pièce la plus explosive du dossier — et la plus disputée. Le kill switch, c'est l'idée qu'un fournisseur puisse couper le service à distance, comme un interrupteur. La forme la plus réaliste n'est même pas la coupure sèche : c'est l'arrêt des mises à jour, qui rend un système peu à peu obsolète et troué. C'est la plateforme des données de santé qui l'a décrit le plus simplement.

« Je pense notamment à l'arrêt d'urgence des mises à jour, le kill switch . Dans ce cas, les premières mises à jour qui disparaitraient seraient celles relatives aux mesures de sécurité. »

Laurent Vilbœuf (Plateforme des données de santé / Health Data Hub, M. Laurent Vilboeuf, 2026-03-17)

Disputé — et c'est le nœud de toute la pièce. La commission a entendu deux versions frontalement opposées sur la même question, et on ne les départagera pas ici : les deux camps, côte à côte.

Camp « à prendre au sérieux ». Le gendarme cyber de l'État ne tourne pas autour du pot. (directeur général de l'ANSSI, l'agence qu'on appelle quand un hôpital ou un ministère se fait pirater — il défendait qu'aucune parade purement technique ne neutralise le droit américain). Son point-clé : même le chiffrement, la technique reine, ne protège pas de ça.

« Aucune réponse purement technologique ne permet de faire face à ces risques puisque le chiffrement ne protège pas du Cloud Act et encore moins d'un kill switch . »

Vincent Strubel (directeur général de l'ANSSI, M. Vincent Strubel, 2026-04-30)

Un hébergeur français a même tourné en dérision la promesse des offres « hybrides » censées tenir un an sans correctifs américains.

« Chez Scaleway, nous faisons 72 mises à jour quotidiennes, dont une proportion non négligeable sont des mises à jour de sécurité. Je vois donc deux options : soit ils ont une technologie incroyable que je ne connais pas, soit ils connaissent déjà toutes les failles de sécurité qui seront découvertes dans les douze prochains mois et les ont déjà corrigées. »

Damien Lucas (Scaleway, des fournisseurs de cloud ., 2026-04-21)

Camp « improbable ». En face, les trois géants américains du cloud — qui pèsent à eux seuls 70 % du marché européen — ont été auditionnés ensemble et ont tenu la ligne inverse. (présidente de Microsoft France — elle défendait que le Cloud Act est strictement encadré et qu'une coupure serait économiquement absurde). Leur argument n'est pas technique, il est financier : couper reviendrait à se tirer une balle dans le pied.

« il serait suicidaire d'appliquer un kill switch »

Corine de Bilbao (présidente de Microsoft France, des représentants en France des Gafam, 2026-05-13)

« Le risque d'un kill switch me paraît très faible. À court terme, que ce soit pour Bleu ou pour les centres de calcul de nos clients, il n'y a pas de kill switch , ils peuvent continuer à fonctionner pendant des mois. »

Aiman Ezzat (Capgemini, M. Aiman Ezzat, 2026-03-26)

Nuance honnête : dans ce même camp, Google n'a pas balayé la question — il l'a jugée « majeure », en comparant la France à un pays qui dépendrait durablement d'une licence étrangère.

« La question du kill switch est donc majeure et fondamentale : pourrons-nous allumer la lumière demain matin ? »

Frédéric Geraud de Lescazes (Google Cloud, des représentants en France des Gafam, 2026-05-13)

Alors, qui a raison ? On ne le sait pas, et personne dans le corpus ne le prouve. Ce qu'on peut trancher, c'est le mécanisme : la capacité technique existe (couper des mises à jour, c'est trivial), et la loi n'offre aucun bouclier purement technique (Strubel). Ce qui reste ouvert, c'est la probabilité : suicidaire pour les uns, sérieuse pour les autres. Sur ce point précis, le dossier reste Disputé — et méfie-toi de quiconque te vend une certitude dans un sens ou dans l'autre.

Une citation à manier avec des pincettes

Le dossier contient une affirmation spectaculaire — et c'est justement pour ça qu'il faut la manier comme du verre.

(secrétaire général de l'Institut de la souveraineté numérique — il défendait qu'aucune régulation européenne ne tient sans base industrielle propre). Devant la commission, Benhamou a nommé le kill switch comme l'une des raisons pour lesquelles les lois européennes restent lettre morte.

« Un dernier point explique pourquoi les lois ne s'appliquent pas : la menace du kill switch , le bouton d'extinction. »

Bernard Benhamou (Institut de la souveraineté numérique, M. Bernard Benhamou, 2026-04-02)

Il est allé plus loin. Selon lui, des interlocuteurs du département d'État américain lui auraient confié que l'ordre aurait été donné de bloquer la mise en œuvre des textes européens de régulation. Attention : cette phrase-là, on ne la met pas entre guillemets comme un fait. C'est un propos rapporté par un seul témoin, à partir d'une source anonyme, invérifiable en l'état. Au conditionnel, attribué, et pas une ligne de plus. Le même Benhamou est en revanche sur un terrain solide quand il rappelle qu'une clause de confidentialité ne pèse rien face aux services de renseignement.

« Penser que des accords de non-divulgation puissent résister à une demande de la National Security Agency (NSA) est un leurre. »

Bernard Benhamou (Institut de la souveraineté numérique, M. Bernard Benhamou, 2026-04-02)

La défense des géants — et sa fissure

La règle du dossier, c'est que la défense la plus forte doit figurer dans le même écran que l'accusation. La voici, sans caricature.

Établi Les hyperscalers soutiennent que le Cloud Act n'est pas une porte dérobée : il faut un juge, une cause sérieuse, ils contestent chaque demande et préviennent le client. Microsoft affirme même n'avoir jamais livré de données du secteur public français.

« Je tiens également à préciser que Microsoft n'a jamais divulgué de données d'un client du secteur public français à des autorités étrangères, y compris américaines. »

Corine de Bilbao (présidente de Microsoft France, des représentants en France des Gafam, 2026-05-13)

Sauf que, sous serment, la même dirigeante a lâché la fissure quelques minutes plus tard : le « jamais » vaut pour le secteur public, pas pour le privé.

« Pour les entreprises privées, nous avons un cas dans les trois dernières années. »

Corine de Bilbao (présidente de Microsoft France, des représentants en France des Gafam, 2026-05-13)

Google, lui, a répondu franchement à la question que tout le monde tournait : oui, face à un juge, il coopère — y compris avec la justice américaine.

« Google Cloud respecte l'État de droit : si un juge allemand, canadien, chilien, américain ou français nous demande de coopérer, nous le faisons. »

Frédéric Geraud de Lescazes (Google Cloud, des représentants en France des Gafam, 2026-05-13)

Face aux esquives des deux autres, la rapporteure a posé son verdict — un verdict politique, qu'on te livre comme tel.

« à trois reprises, à une question très précise qui appelait simplement un « oui » ou un « non », il n'y ait pas eu de réponse est une réponse : oui, vous accepteriez de transmettre des données à la justice. »

Cyrielle Chatelain (rapporteure de la commission, des représentants en France des Gafam, 2026-05-13)

Et pour clore le cas Guillou par où on l'avait ouvert : devant la commission, Google a confirmé qu'un juge sanctionné ne pourrait même pas s'ouvrir une simple boîte Gmail.

« le juge Guillou ne pourrait pas ouvrir un compte Gmail ni utiliser la suite de Google s'il le demandait, même à titre particulier. »

Philippe Latombe (président de la commission, des représentants en France des Gafam, 2026-05-13)

Le vrai danger n'est peut-être pas le bouton rouge

Voilà où le dossier devient subtil. À force de fixer l'interrupteur géant, on rate peut-être la menace la plus vraisemblable : pas la coupure spectaculaire, mais la peur qu'elle installe dans la tête des décideurs.

C'est la mise en garde la plus profonde de Guillou — et elle ne parle plus de technique, elle parle de démocratie.

« Or si la peur dicte nos décisions, on en vient à un système qui se rapproche d'un régime autoritaire. »

Nicolas Guillou (juge à la Cour pénale internationale, M. Nicolas Guillou, 2026-04-08)

Traduit : le risque, ce n'est pas seulement qu'on te débranche ; c'est qu'un juge, un régulateur, un ministre hésite à faire son travail parce qu'il redoute de finir sur une liste. L'Europe a bien un outil pour riposter — un « règlement de blocage » qui interdirait aux entreprises d'appliquer des sanctions étrangères infondées — mais Guillou constate qu'il dort dans un tiroir, faute de courage politique. Le fond du problème, alors, n'est peut-être pas peut-on nous éteindre ? mais à qui avons-nous confié l'interrupteur, et est-ce que sa seule existence nous fait déjà baisser les yeux ?

Pose ta question au dossier.