Imaginez que vos appels, vos messages, votre vie numérique entière soient aspirés à des milliers de kilomètres, stockés sur des serveurs européens par un géant américain, puis utilisés à votre insu par une armée étrangère. Ce scénario digne d’un thriller d’espionnage est aujourd’hui au cœur d’une plainte explosive déposée contre Microsoft.
Une plainte qui fait trembler Redmond
L’ONG Eko vient de franchir un cap décisif. Elle a saisi le régulateur irlandais de la protection des données (DPC) contre Microsoft pour violation présumée du Règlement Général sur la Protection des Données (RGPD). Au centre de l’accusation : le stockage illégal, sur le sol européen, de données de surveillance collectées par une unité très spéciale de l’armée israélienne.
Pourquoi l’Irlande ? Tout simplement parce que le siège européen de Microsoft est basé à Dublin, faisant du DPC l’autorité chef de file pour toutes les enquêtes RGPD concernant le géant de Redmond dans l’Union européenne. Le régulateur a déjà confirmé la réception de la plainte et annoncé qu’elle était « en cours d’évaluation ».
L’unité 8200 au cœur du scandale
Cette affaire met en lumière les activités de l’unité 8200, une branche du renseignement militaire israélien souvent comparée à la NSA américaine. Réputée pour ses capacités exceptionnelles en cyber-renseignement, cette unité aurait utilisé la plateforme cloud Microsoft Azure pour stocker d’énormes volumes de données téléphoniques interceptées.
Ces données proviendraient de civils palestiniens vivant à Gaza et en Cisjordanie. Des écoutes à grande échelle, des métadonnées de communications, des informations potentiellement sensibles : tout aurait transité par des serveurs situés en Irlande et aux Pays-Bas.
Le problème ? Le RGPD impose des règles extrêmement strictes sur le traitement des données personnelles des résidents européens, mais aussi sur le transfert et le stockage de données sensibles provenant de pays tiers, surtout lorsqu’elles sont utilisées à des fins de surveillance massive.
Comment tout a commencé
L’affaire a éclaté au grand jour début août, lorsqu’une enquête journalistique a révélé que l’unité 8200 utilisait activement Azure pour héberger ces données sensibles. Les révélations ont provoqué un séisme.
Microsoft, pris de court, a immédiatement annoncé le lancement d’une enquête interne. Fin septembre, la sentence tombait : l’accès de l’unité israélienne à la plateforme Azure était désactivé. Brad Smith, président de Microsoft, reconnaissait même publiquement que certaines parties du reportage étaient fondées.
« Nous avons trouvé des preuves qui corroborent certaines parties du reportage »
Brad Smith, président de Microsoft
L’accusation la plus grave : destruction de preuves
Mais c’est là que l’affaire prend une tournure encore plus sombre selon l’ONG Eko. D’après des lanceurs d’alerte internes à Microsoft, le géant américain aurait, immédiatement après les premières révélations, permis ou facilité la suppression massive de ces données sur ses serveurs européens.
En d’autres termes : avant même que les régulateurs européens ne puissent mettre le nez dedans, une grande partie des preuves aurait purement et simplement disparu. Une manœuvre qui, si elle était avérée, constituerait une violation supplémentaire du RGPD, qui impose pourtant la conservation des données en cas d’enquête potentielle.
Eko va plus loin et accuse Microsoft d’avoir « contrecarré la surveillance réglementaire » en laissant son client transférer ou effacer les données avant que quiconque ne puisse les examiner.
La réponse de Microsoft : « Le client est propriétaire de ses données »
Face à ces accusations, Microsoft se défend avec un argument bien rodé dans l’industrie du cloud : la responsabilité première incombe au client. Un porte-parole a ainsi déclaré que « nos clients sont propriétaires de leurs données » et que le transfert opéré en août relevait du choix exclusif de l’unité 8200.
Le géant américain assure également que ces opérations n’ont en rien entravé son enquête interne, qui a abouti à la coupure de certains services en septembre, puis au transfert complet des données vers un autre fournisseur.
Cette ligne de défense est classique : les fournisseurs de cloud se présentent souvent comme de simples « tuyaux » techniques, sans responsabilité éditoriale sur le contenu qui transite par leurs infrastructures.
Le RGPD face à la réalité du cloud souverain
Cette affaire met cruellement en lumière les limites du modèle actuel du cloud public. Quand des données ultra-sensibles transitent par des serveurs européens, même hébergées par des géants américains, le RGPD s’applique. Mais dans les faits, les autorités peinent souvent à exercer un contrôle réel.
Le stockage en Irlande ou aux Pays-Bas n’était pas un hasard : ces pays offrent des conditions fiscales avantageuses et une infrastructure de pointe. Mais ils placent aussi Microsoft sous juridiction européenne, théoriquement soumis aux exigences strictes du RGPD.
Or, dans cette affaire, des données de surveillance militaire ont été hébergées pendant des mois, voire des années, sans qu’aucun mécanisme de contrôle n’ait apparemment détecté l’anomalie.
Des précédents qui inquiètent
Cette plainte n’est pas isolée. Ces dernières années, plusieurs scandales ont révélé que des armées ou services de renseignement utilisaient des services cloud commerciaux pour traiter des données hautement sensibles.
On se souvient du contrat JEDI aux États-Unis, ou des révélations sur l’utilisation de services cloud par différents acteurs étatiques. À chaque fois, la même question revient : jusqu’où les géants du cloud peuvent-ils fermer les yeux sur l’usage qui est fait de leurs infrastructures ?
Le cas présent est d’autant plus sensible qu’il touche directement à un conflit en cours, avec des données concernant des populations civiles sous occupation.
Quelles conséquences possibles ?
Si la plainte aboutit, les sanctions pourraient être lourdes. Le RGPD prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires mondial annuel. Pour Microsoft, cela représenterait des milliards d’euros.
Mais au-delà de l’aspect financier, c’est toute la crédibilité du géant américain en Europe qui est en jeu. Déjà sous pression avec les questions de souveraineté numérique et les projets Gaia-X ou autres initiatives de cloud européen, Microsoft risque de voir sa position se fragiliser encore.
L’enquête du DPC irlandais s’annonce longue et complexe. Elle pourrait déboucher sur des demandes d’audit approfondi des pratiques de Microsoft en matière de contrôle de ses clients militaires ou étatiques.
Vers une prise de conscience collective ?
Cette affaire soulève des questions fondamentales. Jusqu’où les entreprises technologiques peuvent-elles rester neutres face à l’usage qui est fait de leurs outils ? Quand des données de surveillance massive transitent par l’Europe, qui est vraiment responsable ?
Le cloud public, par sa nature même, rend les frontières poreuses. Des données collectées à Gaza se retrouvent stockées en Irlande, traitées par une entreprise américaine, pour le compte d’une armée étrangère. Cette chaîne complexe illustre parfaitement les défis du numérique mondialisé.
Et pendant ce temps, les citoyens européens, mais aussi palestiniens, voient leurs données personnelles devenir des pions dans des jeux qui les dépassent largement.
L’issue de cette plainte pourrait marquer un tournant. Soit l’Europe affirme enfin sa capacité à faire respecter ses règles face aux géants du numérique, soit elle continue de constater, impuissante, que ses lois peinent à s’appliquer dans le monde virtuel du cloud.
Une chose est sûre : l’affaire Microsoft-unité 8200 n’a pas fini de faire parler d’elle.
