Microsoft affirme : souverain. La question reste : souverain face à quoi ?

27 mai 2026

4 min. Temps de lecture

Commentaire d’invité de Andreas Knols, Directeur des services cloud chez enfos

La décision de Microsoft d’implanter les données de M365 Copilot sur des serveurs allemands à l’avenir ne mérite ni une scepticisme réflexif ni un applaudissement sans critique. Elle mérite de la précision.

Les points clés en bref

Microsoft garantit une résidence physique des données : les requêtes et les données contextuelles de M365 Copilot sont traitées dans des centres de calcul allemands, et non plus aux États-Unis ou en Irlande.
Le CLOUD Act reste en vigueur : Microsoft est et demeure une entreprise américaine. L’adresse des serveurs n’affecte pas l’ordre juridique applicable en cas d’accès.
Le catalogue de critères du BSI, C3A, rend la souveraineté mesurable : résidence, portabilité, sous-traitants, droits d’accès et ordre juridique comme cadre opérationnel avant le déploiement.

Connexes :Google Gemini dans l’entreprise : ce que l’AI Act impose / SAP Sovereign Cloud France : conséquences pour les décideurs IT

Ce que Microsoft promet concrètement : une résidence physique des données pour les processus d’inférence au sein de l’Allemagne. Pour ceux qui utilisent Copilot dans Word, Teams ou Outlook, leurs requêtes et leurs données contextuelles sont traitées sur des serveurs situés dans des centres de calcul allemands – et non aux États-Unis, ni en Irlande. Pour de nombreuses entreprises que nous accompagnons sur le chemin vers le cloud, c’est une amélioration substantielle par rapport à la situation actuelle.

Et pourtant : cette étape répond à une question importante. Mais pas à la question cruciale.

Andreas Knols, Directeur enfos cloud — **Andreas Knols**, Directeur enfos cloud, responsable des services de cloud privé gérés depuis des centres de calcul en Allemagne.

Ce que la résidence physique ne règle pas

La juridiction. Microsoft est et demeure une entreprise américaine. Le CLOUD Act de 2018 oblige les entreprises américaines, sous certaines conditions, à divulguer des données sur demande officielle – indépendamment du pays où ces données sont physiquement stockées. Un centre de calcul allemand ne modifie pas la structure sociale de l’opérateur ; il change simplement l’adresse des serveurs.

Ceci n’est pas une accusation cachée. C’est une constatation de la situation juridique – et une constatation que Microsoft elle-même ne peut pas résoudre, car elle dépend de sa structure d’entreprise, et non de son infrastructure.

Si l’on lit dans le « souverainisme » de Microsoft une réponse complète à la question de la souveraineté, on a omis une dimension : où se trouve un serveur et quelle juridiction s’applique, en cas de doute, aux contenus qui y sont stockés, sont deux affirmations distinctes. La première a été précisée par Microsoft avec son annonce. La seconde reste ouverte.

Ce que le catalogue du BSI offre désormais

Précisément pour cette distinction, le catalogue de critères C3A du BSI, publié le 27 avril 2026, constitue l’outil adéquat. Il rend mesurables les exigences en matière de souveraineté – non pas comme un manifeste politique, mais comme un cadre opérationnel : résidence, portabilité, transparence concernant les sous-traitants, droits d’accès, et, explicitement, la législation applicable en cas d’accès.

Selon ce cadre, l’annonce de Microsoft répond à une partie significative des exigences. Elle ne les satisfait toutefois pas entièrement. Cela n’est pas une faiblesse de l’éditeur, mais le résultat d’une analyse honnête. Et c’est précisément là l’intérêt du catalogue : il impose la précision là où, jusqu’alors, des affirmations suffisaient.

Dimension de la souveraineté	Ce que Microsoft garantit actuellement	Ce qui demeure ouvert
Résidence physique	Les données d’inférence hébergées dans des centres de données allemands	Question de l’adresse résolue
Juridiction / Cloud Act	inchangé : structure d’entreprise américaine	Législation applicable en cas d’accès toujours indéterminée
Cadre BSI C3A	partie pertinente respectée	tous les critères non couverts

Ce que les décideurs devraient clarifier avant toute mise en œuvre

Ne pas éviter M365 Copilot. Ne pas prendre l’annonce au pied de la lettre et signer le contrat sans l’avoir lu.

Plutôt, se poser trois questions – idéalement avant de finaliser la décision de déploiement. Premièrement : quels engagements contractuels Microsoft garantit-il, et quels éléments ne figurent que dans l’annonce produit ? Deuxièmement : quelles obligations d’information Microsoft doit-il respecter vis-à-vis des autorités publiques, et selon quelle législation ? Troisièmement : si les réponses aux première et deuxième questions venaient à évoluer, puis-je migrer sans coûts prohibitifs ?

Nous posons ces questions dans chaque projet d’architecture cloud. Les réponses déterminent quelles données doivent être transférées vers quelle infrastructure – et lesquelles ne doivent pas l’être. Il ne s’agit pas d’une simple formalité de conformité ; c’est un véritable art architectural.

Le geste de Microsoft est un bon signal : le fait que le leader du marché réponde aux exigences de souveraineté nous concerne directement, en tant que professionnels du cloud. Mais un signal n’est pas un contrat. Celui qui pose aujourd’hui la bonne question architecturale n’aura pas à y répondre sous pression demain.

À propos de l’auteur : Andreas Knols dirige enthus cloud, l’offre de cloud privé géré d’enthus, et accompagne les entreprises moyennes dans la mise en place d’architectures cloud souveraines et résilientes.

Foire aux questions

Que garantit concrètement Microsoft avec le traitement souverain des données ?

Résidence physique des données pour les processus d’inférence en Allemagne. Les requêtes et les données contextuelles de M365 Copilot sont traitées sur des serveurs situés dans des centres de données allemands, ni aux États-Unis ni en Irlande.

Pourquoi la résidence physique des données ne suffit-elle pas à garantir la souveraineté ?

Parce qu’elle ne règle pas la question de la juridiction. Microsoft reste une entreprise américaine, et le CLOUD Act de 2018 oblige les fournisseurs américains à divulguer des données sous certaines conditions, indépendamment du lieu de stockage physique. L’adresse du serveur et l’ordre juridique applicable sont deux réalités distinctes.

Qu’apporte le catalogue de critères C3A du BSI ?

Il rend les exigences de souveraineté vérifiables. La grille opérationnelle couvre la résidence, la portabilité, la transparence concernant les sous-traitants, les droits d’accès et, explicitement, l’ordre juridique applicable en cas d’accès. Publié le 27 avril 2026.

Quelles trois questions les décideurs doivent-ils clarifier avant le déploiement ?

Premièrement : que garantit Microsoft contractuellement, et qu’est-ce qui figure uniquement dans l’annonce produit ? Deuxièmement : quelles obligations de divulgation Microsoft a-t-il envers les autorités étatiques, et sous quelle juridiction ? Troisièmement : si les réponses changent, puis-je changer de fournisseur sans coûts de migration prohibitifs ?

Cela signifie-t-il qu’il faut éviter M365 Copilot ?

Non. Mais la question architecturale doit précéder la décision de déploiement, et non la suivre. Les réponses déterminent quelles données appartiennent à quel environnement, et lesquelles n’y ont pas leur place. Il ne s’agit pas d’un exercice de conformité, mais d’une démarche architecturale rigoureuse.

Plus d’articles du réseau MBF Media

MyBusinessFuture

Sortir du cloud américain : ce que les PME doivent vérifier

Digital Chiefs

La souveraineté prime sur le prix : le nouveau signal des marchés publics

SecurityToday

NIS2 rencontre le CLOUD Act : qui est responsable de la faille liée aux pays tiers ?

Source image principale : panumas nikhomkhai / Pexels

Aussi disponible en

Español English Deutsch