La part du citoyen

Extraterritorialité du droit américain & kill switch

Cloud Act, FISA et accès des autorités américaines

Le corpus documente abondamment (69 citations, 23 auditions) la mécanique juridique de l'extraterritorialité américaine et fait apparaître un large consensus sur le diagnostic, mais des clivages nets sur sa portée réelle et sur les parades possibles.

Constats partagés. Plusieurs intervenants décrivent le même socle juridique. Selon Emmanuel Marcovitch (Cour des comptes, M. Emmanuel Marcovitch), le Cloud Act de 2018 « permet à un juge américain, en cas d'enquête criminelle, d'exiger le transfert de données [...] détenues par des fournisseurs de services situés aux États-Unis, même si ces données sont hébergées en dehors du territoire américain, sans [...] procédures d'entraide judiciaire internationale ». Thierry Breton (M. Thierry Breton) et Henri d'Agrain (Cigref, M. Henri d’Agrain) rappellent que la section 702 du FISA autorise depuis 2008 la surveillance de tout non-citoyen américain, d'Agrain notant un dispositif chinois « comparable » (loi de 2017). Un point revient comme un refrain : la localisation des serveurs ne protège pas. « La localisation ne change en rien l'extraterritorialité du droit », tranche le président Latombe (M. Arnaud Caudoux) ; pour Max Schrems (NOYB, M. Max Schrems), c'est la nationalité du fournisseur, non le lieu du serveur, qui déclenche l'accès américain. Vincent Strubel (Anssi, M. Vincent Strubel) ajoute qu'« aucune réponse purement technologique » n'y répond, « le chiffrement ne protège pas du Cloud Act », d'où une logique « nécessairement binaire ».

Clivages. Sur le kill switch, Aiman Ezzat (Capgemini, M. Aiman Ezzat) juge le risque « très faible » à court terme (fonctionnement « pendant des mois ») ; la rapporteure Chatelain oppose aussitôt la rupture des contrats américains avec Anthropic, et Cédric O (M. Cédric O) affirme que Washington « pourrait demain [...] éteindre la lumière ». Sur le chiffrement, Arnaud Caudoux (BPIFrance, M. Arnaud Caudoux) soutient qu'à clés propres il neutraliserait l'extraterritorialité, avant de concéder que « la localisation [...] n'empêche pas l'exercice de l'extraterritorialité ». Charles-Antoine Beyney (DataOne, M. Charles-Antoine Beyney) défend qu'un hébergeur-« enveloppe » (« nous ne savons pas ce que transportent les camions ») échappe au droit américain, seul comptant « le lieu d'enregistrement de la société » — thèse contestée par le président. Face à la table ronde des hyperscalers (des représentants en France des Gafam), Corine de Bilbao (Microsoft) plaide un Cloud Act sans « accès automatique, massif ou non ciblé », mais reconnaît « un cas » d'entreprise privée transmis en trois ans ; Frédéric Geraud de Lescazes (Google) admet coopérer avec la justice, y compris américaine. Chatelain conclut que l'esquive répétée « est une réponse : oui, vous accepteriez de transmettre des données ».

Exemples et chiffres. Le Health Data Hub illustre le dilemme : Laurent Vilbœuf (M. Laurent Vilboeuf) évoque le « kill switch » (arrêt des mises à jour de sécurité) et une fonctionnalité bloquant l'accès des ingénieurs Microsoft ; Hela Ghariani (Mme Hela Ghariani) chiffre à 302 les hébergeurs de santé listés par l'ANS. Thomas Courbe (DGE, M. Thomas Courbe) recense « 17 offres certifiées SecNumCloud » et impute le blocage d'un cadre européen à une réticence « d'ordre politique ». Henri Verdier (M. Henri Verdier) cite le cas d'un individu privé « en l'espace d'une nuit » d'Uber, Amazon, Netflix via PayPal ; Latombe (des acheteurs publics, des représentants en France des Gafam) invoque le juge Guillou, sanctionné, privé de services américains jusqu'à Gmail.

Qui en parle

Interventions regroupées (69 citations · 23 auditions)

Domaine : Extraterritorialité du droit américain & kill switch · Sujet : cloud-act-fisa

Couverture : 69 citations · 15 positions · 23 auditions

_Slugs bruts fusionnés : cloud-act-extraterritorialite, cloud-act-fisa-extraterritorialite, fisa-702-surveillance-usa, fisa-702, extraterritorialite-donnees, acces-donnees-hebergeur, lois-extraterritoriales, dependance-us-extraterritorialite, extraterritorialite-droit-us_

Positions exprimées

  • M. Tomasz Blanc (M. Tomasz Blanc) : Les lois extraterritoriales américaines, au premier rang desquelles le Cloud Act, rendent inacceptable de confier des données sensibles à des tiers américains, qui exposeraient dossiers judiciaires, fichiers de police et secret fiscal à des justices étrangères. _(tranchant 5)_
  • Mme Marie-Laure Denis (Mme Marie-Laure Denis) : La sécurité des données ne se réduit pas au cyber : tant qu'un fournisseur est soumis à une loi extra-européenne prévoyant l'accès aux données, le risque subsiste. Les données les plus sensibles (santé, biométrie) doivent être hébergées par des systèmes non soumis à ces lois. _(tranchant 4)_
  • M. Charles-Antoine Beyney (M. Charles-Antoine Beyney) : DataOne n'est qu'une « enveloppe » (électrons, eau refroidie, sécurité physique) sans accès légal ni technique aux données ; l'exposition à la souveraineté doit s'apprécier chez les clients, pas chez l'hébergeur, même si son capital devenait majoritairement étranger. _(tranchant 4)_
  • M. Charles-Antoine Beyney (M. Charles-Antoine Beyney) : L'entreprise n'est pas soumise au Patriot Act ni au droit américain car seul compte le lieu d'enregistrement de la société ; une cotation au Nasdaq ou la perte d'accès au dollar ne changeraient rien à sa situation. _(tranchant 4)_
  • M. Vincent Strubel (M. Vincent Strubel) : Le droit extraterritorial (Cloud Act, FISA, loi chinoise) est un risque réel, déjà utilisé contre nous, qu'aucune réponse technologique — pas même le chiffrement — ne neutralise ; la protection ne peut être que binaire. _(tranchant 4)_
  • MM. Thomas Courbe (M. Thomas Courbe) : L'Europe doit se doter d'un cadre juridique inspiré de SecNumCloud contre les accès extraterritoriaux ; le blocage est politique (crainte de contentieux avec les États-Unis) et la France reste minoritaire mais déterminée. _(tranchant 4)_
  • M. Aiman Ezzat (M. Aiman Ezzat) : Le risque de kill switch est très faible à court terme ; les environnements opérés en Europe par des Européens peuvent continuer à fonctionner des mois. _(tranchant 3)_
  • M. Michel Paulin (M. Michel Paulin) : L'accessibilité des données via le Cloud Act et le FISA rend l'hébergement chez les acteurs américains non conforme au RGPD, y compris pour les données de santé, et l'État peut légitimement intervenir même pour le privé. _(tranchant 3)_
  • M. Thierry Breton (M. Thierry Breton) : L'Europe est trop souple face à la surveillance extraterritoriale américaine (FISA 702, Cloud Act) qui brise la confiance sur les données. _(tranchant 3)_
  • M. Luca Belli (M. Luca Belli) : Les pressions américaines (droits de douane de 50 %, sanctions extraterritoriales) ont un effet dissuasif réel sur la régulation, mais leur principal effet est un wake-up call qui révèle à la classe politique le coût de la dépendance structurelle. _(tranchant 3)_
  • M. Fabrice Coquio (M. Fabrice Coquio) : La filiale Digital Realty France est de droit français et opère sous règles françaises, mais la maison-mère cotée à Austin (NYSE) est bien soumise au droit américain — ce qu'il confirme sans détour. _(tranchant 3)_
  • (table ronde) (des représentants en France des Gafam) : Le Cloud Act et le FISA sont strictement encadrés : pas d’accès automatique ou massif, intervention d’un juge requise, demandes systématiquement contestées et transmises au client ; les groupes affirment n’avoir jamais divulgué de données d’administrations publiques françaises (Microsoft reconnaît toutefois un cas d’entreprise privée en trois ans). _(tranchant 3)_
  • (table ronde) (des acheteurs publics) : Jossa relativise le risque personnel d'extraterritorialite (loyaute intacte, application pleine du droit francais, du RGPD et de la loi Sren) tout en reconnaissant la realite des conflits de droits. _(tranchant 2)_
  • M. Arnaud Caudoux (M. Arnaud Caudoux) : La localisation en Europe n'annule pas l'extraterritorialité juridique, mais la présence physique des serveurs sur le sol européen reste préférable et importante. _(tranchant 2)_
  • M. Cédric O (M. Cédric O) : Le risque d'une coupure décidée par le gouvernement américain (« éteindre la lumière ») est réel et impose de réduire la dépendance et de durcir les règles d'achats publics, surtout dans le régalien. _(tranchant 2)_

Citations (verbatim, sourcées)

« En l'espace d'une nuit, il a perdu l'accès à des services tels qu'Uber, Amazon, Netflix, Deliveroo, et même à certains services français, dès lors qu'à un moment donné de la chaîne logistique ou du processus de paiement intervient un acteur soumis au droit américain, comme PayPal. »

Henri Verdier — Fondation Inria (audite, audition de M. Henri Verdier, 2026-03-10)

_Cas concret et daté de rétorsion extraterritoriale par decret américain, qui rend tangible la vulnérabilité systémique._

« Son interlocuteur lui avait alors répondu qu'il n'avait pas de preuves. »

Henri Verdier — Fondation Inria (audite, audition de M. Henri Verdier, 2026-03-10)

_Anecdote (via Guillaume Poupard) qui résume le déni culturel des dirigeants sur le risque d'hébergement chez un hyperscaler américain._

« j'ai prêté serment donc je dois dire la vérité : j'ai toujours pensé que c'était une erreur. »

Henri Verdier — Fondation Inria (audite, audition de M. Henri Verdier, 2026-03-10)

_Prise de position explicite, formulée sous serment, sur le contrat Palantir-DGSI — un des passages les plus tranchants de l'audition._

« Je pense notamment au Cloud Act de 2018 qui permet à un juge américain, en cas d'enquête criminelle, d'exiger le transfert de données – relatives à des personnes ou à des entités – détenues par des fournisseurs de services situés aux États-Unis, même si ces données sont hébergées en dehors du territoire américain, sans avoir à passer par des procédures d'entraide judiciaire internationale. »

Emmanuel Marcovitch — Cour des comptes (audite, audition de M. Emmanuel Marcovitch, 2026-03-17)

_Définition précise et sourcée du risque juridique extraterritorial qui fonde toute la problématique de souveraineté sur les données._

« les hyperscalers américains installent des data centers partout en Europe, ce qu'ils font valoir dans leur communication comme un gage de souveraineté. »

Emmanuel Marcovitch — Cour des comptes (audite, audition de M. Emmanuel Marcovitch, 2026-03-17)

_Démonte l'argument marketing du « cloud de confiance » : localiser les data centers en Europe ne suffit pas à garantir la souveraineté._

« dès lors qu'il s'agit d'entreprises américaines, elles sont susceptibles de subir des pressions du gouvernement et de la justice des États-Unis dans le cadre du Cloud Act ou du Foreign Intelligence Surveillance Act (Fisa), nous n'avons aucune garantie du respect de cette souveraineté. »

Emmanuel Marcovitch — Cour des comptes (audite, audition de M. Emmanuel Marcovitch, 2026-03-17)

_Affirme l'absence totale de garantie face au droit extraterritorial américain, quel que soit le lieu d'hébergement, et l'opacité des entreprises concernées._

« afin de nous protéger contre les risques de l'atteinte liée aux lois extraterritoriales et aux pressions exogènes de toute nature. »

M. Laurent Vilbœuf — Plateforme des données de santé (Health Data Hub) (audite, audition de M. Laurent Vilboeuf, 2026-03-17)

_Formule la finalité géopolitique explicite de la migration souveraine : se prémunir contre l'extraterritorialité juridique américaine, au-delà du seul enjeu technique._

« Je pense notamment à l'arrêt d'urgence des mises à jour, le kill switch . Dans ce cas, les premières mises à jour qui disparaitraient seraient celles relatives aux mesures de sécurité. »

M. Laurent Vilbœuf — Plateforme des données de santé (Health Data Hub) (audite, audition de M. Laurent Vilboeuf, 2026-03-17)

_Nomme le risque de souveraineté résiduel le plus concret : un fournisseur étranger pourrait couper les mises à jour, à commencer par les correctifs de sécurité — argument fort pour la migration._

« nous avons mis en place une fonctionnalité qui permet à la plateforme de refuser aux ingénieurs de Microsoft tout accès aux données. »

M. Laurent Vilbœuf — Plateforme des données de santé (Health Data Hub) (audite, audition de M. Laurent Vilboeuf, 2026-03-17)

_Détaille une mesure concrète de reprise de contrôle sur un hébergeur américain, mais admet implicitement qu'un tel garde-fou a dû être ajouté a posteriori._

« La donnée est un trésor, notamment pour les grandes entreprises qui ont besoin de masses de données pour entraîner leurs algorithmes, à une époque où l'intelligence artificielle est en plein développement. »

Mme Cyrielle Chatelain (rapporteur, audition de M. Laurent Vilboeuf, 2026-03-17)

_Déplace le débat du risque de réidentification vers la valeur stratégique de la masse de données de santé comme carburant des modèles d'IA — enjeu de souveraineté d'un autre ordre._

« Serait-il pertinent, selon vous, d'aligner la certification HDS sur les exigences de souveraineté de la qualification SecNumCloud ? »

Mme Cyrielle Chatelain (rapporteur, audition de M. Laurent Vilboeuf, 2026-03-17)

_Ouvre une piste normative concrète : conditionner l'hébergement de données de santé (y compris privé, type Doctolib) à des critères de souveraineté aujourd'hui absents du référentiel HDS._

« personne chez Microsoft n’a accès à quoi que ce soit qui se passe dans Bleu. »

M. Aiman Ezzat — Capgemini (audite, audition de M. Aiman Ezzat, 2026-03-26)

_Affirmation centrale sur l'étanchéité de Bleu, socle de sa qualification de cloud souverain malgré la technologie Microsoft._

« Le risque d’un kill switch me paraît très faible. À court terme, que ce soit pour Bleu ou pour les centres de calcul de nos clients, il n’y a pas de kill switch , ils peuvent continuer à fonctionner pendant des mois. »

M. Aiman Ezzat — Capgemini (audite, audition de M. Aiman Ezzat, 2026-03-26)

_Minimisation d'un scénario clé de la commission (coupure d'accès américain), en tension directe avec la mise en garde du président._

« au vu de la façon dont le gouvernement américain a mis fin à tous ses contrats avec Anthropic parce que cette entreprise refuse la surveillance de masse des Américains, elle ne paraît pas si improbable. »

Mme Cyrielle Chatelain (rapporteur, audition de M. Aiman Ezzat, 2026-03-26)

_La rapporteure ancre le risque de pression politique américaine dans un fait concret pour contrer la minimisation d'Ezzat._

« Les États-Unis ont ainsi un accès total à toutes les données qui sont soit la propriété d’un fournisseur de cloud américain, soit sous sa garde ou sous son contrôle, sans limite géographique. »

M. Max Schrems — NOYB (None of your business) (audite, audition de M. Max Schrems, 2026-03-26)

_Énonce le cœur juridique de la dépendance : la nationalité du fournisseur, pas la localisation du serveur, détermine l'accès américain — ce qui vide de sa substance l'argument du « cloud hébergé en Europe »._

« si les États-Unis l’obligeaient, en vertu du Cloud Act , à transmettre des données, il serait contraint de le faire. »

Alexandra Lutz — Data for Good (audite, audition de Table ronde, ouverte à la presse, sur les infrastructures numériques, 2026-04-02)

_Aveu de Microsoft France au Sénat : la preuve par l'acteur lui-même que la localisation ne protège pas du droit extraterritorial._

« Si ces acteurs prenaient une décision unilatérale, cela ne signifierait pas seulement ne plus avoir accès à son téléphone, mais potentiellement ne plus avoir accès aux services publics, aux services bancaires ou aux données des entreprises. »

Alexandra Lutz — Data for Good (audite, audition de Table ronde, ouverte à la presse, sur les infrastructures numériques, 2026-04-02)

_Dramatise l'ampleur systémique de la dépendance : le risque déborde largement l'usage individuel._

« Dans le cas du cloud, le Cloud Act américain peut toujours s’appliquer, ce qui crée des zones d’incertitude juridique difficiles à lever complètement. »

Francesca Musiani — CIS-CNRS (audite, audition de Table ronde, ouverte à la presse, sur les infrastructures numériques, 2026-04-02)

_Pose la limite intrinsèque du cloud hybride SecNumCloud : l'exploitation encadrée ne neutralise pas le droit étranger._

« Penser que des accords de non-divulgation puissent résister à une demande de la National Security Agency (NSA) est un leurre. »

M. Bernard Benhamou — Institut de la souveraineté numérique (audite, audition de M. Bernard Benhamou, 2026-04-02)

_Démonte l'argument des garanties contractuelles face à l'extraterritorialité du renseignement américain._

« Ce que je sais, c’est que j’ai la nationalité française ; la nationalité américaine, je n’en suis pas sûr. »

Edward Jossa — Ugap (audite, audition de des acheteurs publics, 2026-04-09)

_Le president de l'Ugap ne peut pas ecarter avec certitude une double nationalite americaine, ce qui alimente la question de sa soumission potentielle au droit americain (FISA) a la tete du premier acheteur public._

« Si la question se pose, c’est parce que le Fisa ( Foreign Intelligence Surveillance Act ) s’applique à tous les citoyens américains. »

Philippe Latombe (president, audition de des acheteurs publics, 2026-04-09)

_Le president justifie sa question sur la nationalite par le risque juridique reel : le FISA fait de tout citoyen americain un point d'entree possible pour la surveillance et les pressions._

« Nous l’avons constaté hier en auditionnant le juge Guillou, dont la vie, en raison du refus de certaines sociétés américaines de lui fournir des services, est devenue un enfer. »

Philippe Latombe (president, audition de des acheteurs publics, 2026-04-09)

_Cas concret invoque par le president pour montrer que l'extraterritorialite n'est pas theorique : un individu sanctionne se voit couper des services numeriques par des entreprises americaines._

« On peut donc présumer qu’ils transmettraient volontiers les données qui pourraient leur être réclamées au titre du Cloud Act. »

Cyrielle Chatelain (rapporteur, audition de des acheteurs publics, 2026-04-09)

_La rapporteure lie l'alignement politique d'Accenture sur l'administration Trump au risque concret de transmission de donnees sous Cloud Act, pour justifier de changer d'operateur._

« Le Patriot Act, le Cloud Act, toutes ces nouvelles lois brisent, au fond, cette confiance. »

Thierry Breton — Ancien commissaire européen au marché intérieur (audite, audition de M. Thierry Breton, 2026-04-15)

_Relie explicitement les lois américaines d'extraterritorialité à la rupture du socle de confiance qui structure toute son audition._

« depuis 2008, la section 702 du Foreign Intelligence Surveillance Act (Fisa) autorise l’administration américaine à écouter et à regarder tout ce que l’on fait, pour peu qu’on ne soit pas citoyen américain. »

Thierry Breton — Ancien commissaire européen au marché intérieur (audite, audition de M. Thierry Breton, 2026-04-15)

_Alerte sur un angle mort de la souveraineté des données : la surveillance légale américaine des non-citoyens, dont le renouvellement est en débat au Congrès._

« Cet angle mort est un risque objectif pour les données personnelles des citoyens. »

Marie-Laure Denis — Cnil (audite, audition de Mme Marie-Laure Denis, 2026-04-15)

_Affirme que la maturité cyber ne suffit pas : tant qu'un fournisseur est soumis à une loi extra-européenne prévoyant l'accès aux données, le risque subsiste — argument central pour l'hébergement souverain._

« Vu la nature de la plateforme à laquelle s'est liée S3NS et la composition de son capital, je peux dire que l'Anssi a ouvert si ce n'est un portail, du moins un portillon. »

Sophie-Laurence Roy (president, audition de Mme Marie-Laure Denis, 2026-04-15)

_Métaphore forte de la présidente de séance suggérant que la qualification SecNumCloud accordée à S3NS (5 % Google, techno Google Cloud) ouvre une brèche dans la souveraineté qu'elle est censée garantir._

« Donc, en aucune façon, même en appliquant le droit extraterritorial américain et même si le gouvernement fédéral avait accès à nos serveurs chez un fournisseur de cloud américain, il ne pourrait déchiffrer ces données. »

M. Arnaud Caudoux — BPIFrance (audite, audition de M. Arnaud Caudoux, 2026-04-21)

_Thèse centrale et contestée : le chiffrement à clés propres neutraliserait l'extraterritorialité américaine._

« La localisation ne change en rien l'extraterritorialité du droit. »

M. Philippe Latombe (president, audition de M. Arnaud Caudoux, 2026-04-21)

_Rappel juridique fondamental du président qui vide de sa portée l'argument de la domiciliation en Europe._

« Je suis d'accord que la localisation en France ou en Europe n'empêche pas l'exercice de l'extraterritorialité. Pour autant, je pense que vous pourriez en convenir, je préfère avoir mes données et mes serveurs sur le territoire européen que sur le territoire américain. »

M. Arnaud Caudoux — BPIFrance (audite, audition de M. Arnaud Caudoux, 2026-04-21)

_Concession de Caudoux qui recentre sur un argument physique plutôt que juridique._

« Si le sujet était simple, nous ne serions pas là. »

M. Arnaud Caudoux — BPIFrance (audite, audition de M. Arnaud Caudoux, 2026-04-21)

_Formule qui acte le désaccord de fond avec le président tout en reconnaissant la complexité irréductible du sujet._

« plus on pense être dépendant des infrastructures américaines, plus on y stocke nos données, et plus ils peuvent à partir de là développer des services. »

Mme Cyrielle Chatelain (rapporteur, audition de M. Arnaud Caudoux, 2026-04-21)

_La rapporteure théorise la dépendance comme discours autoréalisateur, à propos du Health Data Hub._

« Des paliers ont été définis, comme l’obligation d’inscrire de manière systématique dans les contrats des hébergeurs HDS la transparence sur leur exposition à des lois extracommunautaires, et de rendre cette information publique sur le site de l’Agence du numérique en santé (ANS), qui liste l’ensemble des 302 hébergeurs de données de santé. »

Mme Hela Ghariani — Plateforme des données de santé (Health Data Hub) (audite, audition de Mme Hela Ghariani, 2026-04-29)

_Décrit le levier de transparence retenu à défaut de SecNumCloud immédiat : rendre publique l'exposition des hébergeurs de santé aux lois étrangères, tout en admettant que cela ne suffit pas._

« Il prévoit une dérogation permettant à certains États d’héberger ces données chez des acteurs dépendants de législations étrangères disposant d’une décision d’adéquation avec le RGPD, ce que la France ne fera pas, la loi Sren ayant déjà fixé notre cadre. »

Mme Hela Ghariani — Plateforme des données de santé (Health Data Hub) (audite, audition de Mme Hela Ghariani, 2026-04-29)

_Affirme un choix national ferme : la France n'utilisera pas la dérogation autorisant l'hébergement chez des acteurs soumis à des lois étrangères, se positionnant au-dessus du socle européen._

« Par conséquent, je n’ai pas à satisfaire le Patriot Act ni à subir une quelconque forme d’ingérence étrangère. »

Charles-Antoine Beyney — DataOne (audite, audition de M. Charles-Antoine Beyney, 2026-04-29)

_Thèse centrale de la défense de DataOne : n'étant qu'un fournisseur d'infrastructure sans accès aux données, l'entreprise s'estime hors de portée du droit américain._

« Monsieur le président, je vais vous répondre très franchement : je ne sais même pas de quoi vous me parlez. Je suis désolé de le dire ainsi, mais je ne connais pas ces directives ni ces textes. »

Charles-Antoine Beyney — DataOne (audite, audition de M. Charles-Antoine Beyney, 2026-04-29)

_Un dirigeant d'infrastructure critique admet publiquement ignorer le cadre juridique (FISA 702, provision 504) que le président lui oppose : révèle le fossé entre les opérateurs techniques et le débat de souveraineté juridique._

« c’est comme si nous étions propriétaires d’une autoroute : nous ne savons pas ce que transportent les camions qui y transitent. »

Charles-Antoine Beyney — DataOne (audite, audition de M. Charles-Antoine Beyney, 2026-04-29)

_Métaphore fondatrice de la posture de DataOne : l'hébergeur n'est responsable que du contenant, jamais du contenu — argument repris pour écarter toute responsabilité de souveraineté sur les données._

« Être coté au Nasdaq ne soumet en rien DataOne au Patriot Act. Ce qui compte, c’est le lieu d’enregistrement de la société, et je n’entends pas placer DataOne dans le giron américain. »

Charles-Antoine Beyney — DataOne (audite, audition de M. Charles-Antoine Beyney, 2026-04-29)

_Ligne de défense sur l'extraterritorialité, immédiatement contestée par le président qui rappelle que le dollar s'exerce hors Patriot Act._

« Si demain je n’ai plus accès au dollar, cela ne me posera aucun problème. Je ne suis pas une banque. Je peux renégocier mes contrats en euros, en bitcoins, ou toute autre monnaie »

Charles-Antoine Beyney — DataOne (audite, audition de M. Charles-Antoine Beyney, 2026-04-29)

_Minimise l'exposition à l'arme du dollar, illustrant une divergence de fond avec le président sur la portée réelle de l'extraterritorialité._

« Aucune réponse purement technologique ne permet de faire face à ces risques puisque le chiffrement ne protège pas du Cloud Act et encore moins d’un kill switch . »

M. Vincent Strubel — Anssi (audite, audition de M. Vincent Strubel, 2026-04-30)

_Affirme qu'aucune technologie ne neutralise le droit extraterritorial, ce qui renvoie à la nationalité des fournisseurs._

« lorsqu’il s’agit de se prémunir contre l’application du droit extraterritorial, la logique ne peut être graduelle et est nécessairement binaire. »

M. Vincent Strubel — Anssi (audite, audition de M. Vincent Strubel, 2026-04-30)

_Explique pourquoi une notation graduelle du cloud ne peut remplacer une certification face au risque juridique._

« L’exemple le plus connu est celui de la section 702 du Foreign Intelligence Surveillance Act (Fisa) américain. La Chine dispose d’un dispositif comparable avec sa loi sur le renseignement du 27 juin 2017. »

M. Henri d’Agrain — Cigref (audite, audition de M. Henri d’Agrain, 2026-04-30)

_Nomme précisément les instruments juridiques d’accès aux données (US et Chine), fondement de l’exigence d’immunité extraterritoriale._

« Il ne s’agissait pas tant de naïveté que d’un impensé ; la question ne se posait pas réellement il y a dix ans. »

M. Henri d’Agrain — Cigref (audite, audition de M. Henri d’Agrain, 2026-04-30)

_Nuance intéressante sur la responsabilité des dirigeants européens : non pas naïveté mais angle mort collectif._

« Face aux risques posés par les lois extraterritoriales américaines, nous avons refusé les offres des grands acteurs étrangers pour développer Nubo, notre cloud interne interministériel. »

M. Tomasz Blanc — DGFIP (audite, audition de M. Tomasz Blanc, 2026-05-07)

_Décision fondatrice : refus assumé des hyperscalers au nom du risque extraterritorial, au profit d'un cloud interne._

« le Cloud Act américain nous rappelle que confier nos données à des tiers revient à accepter que les justices étrangères puissent s’immiscer dans nos dossiers judiciaires et nos fichiers de police. »

M. le général de corps d’armée Marc Boget — Anfsi (audite, audition de M. Tomasz Blanc, 2026-05-07)

_Traduit le risque extraterritorial en termes régaliens : accès étranger potentiel aux enquêtes et fichiers de police._

« L’expression de « colonie numérique des États-Unis » est parfois employée pour décrire la situation française. »

Aurélien Taché (president, audition de M. Thomas Courbe, 2026-05-07)

_Le président cadre l'audition par une formule forte sur la dépendance quasi-coloniale au numérique américain._

« Les débats mondiaux autour du concept de kill switch , cette capacité d’interrompre l’accès à des services numériques par une décision politique, ont notamment fait mûrir la réflexion de plusieurs États. »

Thomas Courbe — DGE (direction générale des entreprises) (audite, audition de M. Thomas Courbe, 2026-05-07)

_Identifie le kill switch comme catalyseur de la prise de conscience européenne sur la dépendance._

« le fond du problème est d’ordre politique puisque certains de nos partenaires, soucieux de préserver leur relation avec le gouvernement américain, craignent de créer un contentieux. »

Thomas Courbe — DGE (direction générale des entreprises) (audite, audition de M. Thomas Courbe, 2026-05-07)

_Nomme la vraie cause du blocage sur la protection extraterritoriale : la réticence politique des partenaires vis-à-vis de Washington._

« Il existe en France 17 offres certifiées SecNumCloud, qui assurent le plus haut niveau de protection, aussi bien sur le plan de la cybersécurité que de l’accès extraterritorial aux données. »

Thomas Courbe — DGE (direction générale des entreprises) (audite, audition de M. Thomas Courbe, 2026-05-07)

_Chiffre l'offre souveraine certifiée disponible pour les données sensibles._

« Il suffit d’imaginer le coût pour une économie nationale si l’administration américaine décidait, demain, d’utiliser la restriction ou l’interdiction de ces réseaux comme un levier de pression contre un pays ou une entité. »

M. Luca Belli — Fondation Getulio Vargas (FGV), Rio de Janeiro (audite, audition de M. Luca Belli, 2026-05-07)

_Formule le risque géopolitique de la dépendance aux réseaux de paiement US comme une arme potentielle — argument central pour l'autonomie stratégique._

« L’effet principal de cette pression ne réside finalement pas dans la menace directe, mais dans ce que l’on pourrait appeler un wake-up call , un réveil de la classe politique qui a enfin compris le coût et le risque de cette dépendance structurelle. »

M. Luca Belli — Fondation Getulio Vargas (FGV), Rio de Janeiro (audite, audition de M. Luca Belli, 2026-05-07)

_Retournement rhétorique : les pressions coercitives américaines produisent une prise de conscience salutaire sur la dépendance structurelle._

« La société Digital Realty France répond aux lois françaises, mais confirmez-vous que la maison-mère américaine dont vous dépendez répond aux lois américaines ? »

Mme Cyrielle Chatelain (rapporteur, audition de M. Fabrice Coquio, 2026-05-12)

_La rapporteure verrouille l'aveu de dépendance juridique de la structure de tête au droit américain._

« Tout à fait. »

M. Fabrice Coquio — Digital Realty (audite, audition de M. Fabrice Coquio, 2026-05-12)

_Confirmation nette que la maison-mère est soumise au droit américain, au cœur de la problématique d'extraterritorialité de la commission._

« Aujourd'hui, 99 % de notre capital est flottant ; ainsi, tout le monde peut être actionnaire de Digital Realty. »

M. Fabrice Coquio — Digital Realty (audite, audition de M. Fabrice Coquio, 2026-05-12)

_Justifie la structure capitalistique et la cotation américaine, révélant l'absence d'ancrage actionnarial souverain._

« Le Cloud Act n’autorise pas un accès automatique, massif ou non ciblé aux données des clients, bien au contraire »

Corine de Bilbao — Microsoft France (audite, audition de des représentants en France des Gafam, 2026-05-13)

_Ligne de défense centrale de Microsoft sur le Cloud Act, présentée comme un cadre judiciaire strict et non une porte dérobée._

« Je tiens également à préciser que Microsoft n’a jamais divulgué de données d’un client du secteur public français à des autorités étrangères, y compris américaines. »

Corine de Bilbao — Microsoft France (audite, audition de des représentants en France des Gafam, 2026-05-13)

_Affirmation forte destinée à rassurer sur le secteur public, qui sera nuancée plus tard par l’aveu d’un cas privé transmis._

« Un salarié de Microsoft a été licencié quelques jours après son audition devant une commission d’enquête du Sénat, pour laquelle il avait prêté serment. »

Philippe Latombe (president, audition de des représentants en France des Gafam, 2026-05-13)

_Le président met la pression sur la valeur du serment et rappelle le précédent Carniaux, testant la sincérité des réponses à venir._

« si un juge, après contestation, valide la demande d’accès du gouvernement américain à des données françaises, publiques ou privées, avez-vous l’obligation légale de les transmettre ? »

Cyrielle Chatelain (rapporteur, audition de des représentants en France des Gafam, 2026-05-13)

_Question juridique clé de la rapporteure, qui cherche à établir l’existence d’une obligation légale de transmission une fois les recours épuisés._

« Pour les entreprises privées, nous avons un cas dans les trois dernières années. »

Corine de Bilbao — Microsoft France (audite, audition de des représentants en France des Gafam, 2026-05-13)

_Aveu concret contredisant l’image d’une transmission « réduite à néant » : Microsoft a bel et bien transmis des données d’une entreprise privée._

« Google Cloud respecte l’État de droit : si un juge allemand, canadien, chilien, américain ou français nous demande de coopérer, nous le faisons. »

Frédéric Geraud de Lescazes — Google Cloud (audite, audition de des représentants en France des Gafam, 2026-05-13)

_Seule réponse frontale : Google reconnaît coopérer avec la justice, y compris américaine, ce que la rapporteure salue comme le seul aveu assumé._

« à trois reprises, à une question très précise qui appelait simplement un « oui » ou un « non », il n’y ait pas eu de réponse est une réponse : oui, vous accepteriez de transmettre des données à la justice. »

Cyrielle Chatelain (rapporteur, audition de des représentants en France des Gafam, 2026-05-13)

_Verdict politique de la rapporteure : l’esquive répétée vaut aveu, elle acte que les trois transmettraient les données à la justice américaine._

« Tout cela signifierait que le Cloud Act et le Fisa ne servent à rien ! »

Philippe Latombe (president, audition de des représentants en France des Gafam, 2026-05-13)

_Ironie du président soulignant l’invraisemblance des dénégations : si tout était si encadré, le Congrès ne rediscuterait pas le FISA._

« le juge Guillou ne pourrait pas ouvrir un compte Gmail ni utiliser la suite de Google s’il le demandait, même à titre particulier. »

Philippe Latombe (president, audition de des représentants en France des Gafam, 2026-05-13)

_Le président fait confirmer à Google (« Tout à fait ») qu’un juge de la CPI sanctionné par les États-Unis ne peut pas même ouvrir un Gmail personnel : extraterritorialité concrète._

« aucune demande adressée à AWS n’a été suivie d’une transmission au gouvernement américain de données appartenant à des entreprises ou des gouvernements situés hors des États-Unis. »

Arnaud David — AWS (audite, audition de des représentants en France des Gafam, 2026-05-13)

_Défense d’AWS reposant sur l’impossibilité technique d’accès (Nitro) : on ne peut transmettre que ce à quoi on a accès._

« J’ai l’impression que le débat progresse, principalement grâce – si je puis dire – au président Trump. »

M. Cédric O (audite, audition de M. Cédric O, 2026-05-13)

_Reconnaît que la prise de conscience européenne de sa dépendance doit paradoxalement à Trump._

« c’était bien beau de défendre la souveraineté, mais que le parapluie nucléaire sur l’Europe de l’Est était offert par les Américains, et que le jour où les Français seraient prêts à offrir la même protection aux Européens de l’Est, on pourrait discuter de souveraineté européenne. »

M. Cédric O (audite, audition de M. Cédric O, 2026-05-13)

_Rappelle le levier géopolitique (défense nucléaire) qui bride la souveraineté numérique européenne côté Est._

« Nous vivons dans un monde où le gouvernement américain pourrait choisir demain d’éteindre la lumière. Il est donc impératif de réduire notre dépendance. »

M. Cédric O (audite, audition de M. Cédric O, 2026-05-13)

_Formule le risque extraterritorial de coupure et le lie à un durcissement des achats publics régaliens._

« la France est le pays de l'Union européenne le plus ciblé par les ingérences numériques étrangères. »

Mme Anne Le Hénanff — Gouvernement (audite, audition de Mme Anne Le Hénanff, 2026-05-20)

_Établit la vulnérabilité informationnelle particulière de la France comme argument de régulation._

« il faut parer les risques de kill switch ou coupe-circuit, à savoir l'interruption brutale d'un service qui rendrait notre pays vulnérable. »

M. David Amiel — Gouvernement (audite, audition de Mme Anne Le Hénanff, 2026-05-20)

_Nomme le risque de coupure brutale d'un service critique comme dimension centrale de la vulnérabilité._