Cloud Act : nouveau cas Microsoft — des données hébergées en Irlande livrées aux autorités américaines

Ce nouveau cas Cloud Act est significatif pour deux raisons : il concerne des données hébergées en Europe (Irlande, datacenter Dublin d'Azure), et il intervient malgré le cadre EU-USA Data Privacy Framework censé encadrer les transferts. Les faits montrent que le Cloud Act prévaut sur les arrangements diplomatiques lorsqu'il s'agit d'une injonction judiciaire américaine directe.

Ce qui s'est passé

• Enquête du DOJ américain sur une fraude financière impliquant une entreprise européenne
• Injonction judiciaire adressée directement à Microsoft Corp (entité américaine), pas à Microsoft Ireland
• Microsoft a contesté l'injonction jusqu'en appel, puis a obtempéré
• Les clients concernés n'ont pas été notifiés — le Cloud Act autorise les injonctions de confidentialité
• Les données en question : e-mails professionnels et documents SharePoint de dirigeants de l'entreprise visée

Ce que ça change (et ne change pas) juridiquement

Ce cas ne crée pas de nouvelle jurisprudence — le Cloud Act s'applique depuis 2018. Il confirme que même avec l'EU AI Act et le RGPD, une injonction judiciaire américaine visant une entité mère américaine peut donner accès à des données hébergées en Europe sans notification préalable des personnes concernées.

Les offres « EU Sovereign Cloud » de Microsoft (avec des opérateurs mandataires européens) sont conçues pour bloquer ce type d'accès — mais elles restent plus coûteuses et moins disponibles que l'offre standard.