Le Congrès américain réclame les messages d’agents européens via Microsoft et Google
Ce que la communauté belge de la vie privée et des technologies dénonce depuis des années se confirme aujourd’hui : communiquer via des services cloud américains, c’est communiquer sous surveillance américaine.
Bruxelles, 17 mars 2026
Le 16 mars 2026, la Chambre des représentants des États-Unis a formellement rappelé à dix grandes entreprises technologiques (Alphabet (Google), Amazon, Apple, Meta (Facebook, Instagram, WhatsApp), Microsoft, OpenAI, Reddit, Rumble, TikTok et xAI) leur obligation de transmettre à la Commission judiciaire l’ensemble de leurs communications avec les institutions européennes. Les lettres, signées par le président de la Commission Jim Jordan, visent spécifiquement les messages échangés par des fonctionnaires européens dans le cadre du Digital Services Act (DSA).
Le déclencheur est révélateur : un haut fonctionnaire de la Commission européenne a conseillé à ses collègues de passer à des applications chiffrées avec suppression automatique des messages, précisément parce qu’ils craignent que ces communications ne tombent entre des mains américaines. Cette crainte est fondée. Elle illustre aussi exactement la préoccupation que les organisations de défense de la vie privée et des droits numériques en Belgique et en Europe expriment depuis des années.
« Quiconque envoie ses courriels professionnels via Microsoft 365 ou Google Workspace écrit sur un papier qui peut être saisi par une puissance étrangère. »
Les citations à comparaître désormais appliquées datent de novembre 2025 et antérieurement. Ce que les lettres ajoutent : le Congrès confirme expressément que l’obligation est continue: les nouveaux messages, les messages temporaires et les communications chiffrées entrent tous dans son champ d’application, dès lors qu’ils transitent par les plateformes concernées.
Qu’est-ce que cela signifie pour les institutions publiques belges ?
Microsoft 365 est l’environnement de messagerie standard de 80 % des communes, écoles, hôpitaux et services fédéraux belges. Il en va de même pour Google Workspace. Ces deux entreprises sont désormais formellement soumises à une obligation légale américaine de conserver leurs données de communication interne et de les transmettre au Congrès américain sur demande.
La Commission européenne propose un produit dit « Sovereign Cloud » de Microsoft et Google à titre rassurant, mais celui-ci n’offre aucune protection juridique : les sociétés mères restent soumises au CLOUD Act américain, qui les contraint à donner accès aux données, même lorsque celles-ci sont physiquement stockées en Europe.
Qu’est-ce que le CLOUD Act ? Le Clarifying Lawful Overseas Use of Data Act (2018) autorise les autorités américaines à exiger des données auprès d’entreprises technologiques américaines, quel que soit l’endroit où ces données sont physiquement stockées. Un hôpital belge utilisant Microsoft Exchange Online relève donc de ce régime, même si les serveurs sont situés à Dublin ou à Bruxelles.
Qu’est-ce que FISA 702 ? L’article 702 du Foreign Intelligence Surveillance Act autorise les services de renseignement américains (dont la NSA) à intercepter les communications de personnes non américaines situées hors des États-Unis sans mandat individuel, lorsque ces communications transitent par des prestataires américains. Cela s’applique aux courriels envoyés par des journalistes via Microsoft ou Google, si ces communications sont jugées pertinentes pour les intérêts de sécurité nationale américains. FISA 702 a été prolongé en 2024 jusqu’au 20 avril 2026, et sa réautorisation fait actuellement l’objet d’un débat au Congrès. Il constitue l’un des griefs centraux soulevés par la Cour de justice de l’Union européenne à l’encontre des précédents accords transatlantiques sur les données (Schrems I et II).
Quels executive orders sont pertinents ? L’Executive Order 12333 (1981, plusieurs fois étendu) autorise les services de renseignement américains à mener une surveillance étrangère en dehors du territoire américain, avec un contrôle judiciaire limité. L’EO 14086 (2022, Biden) a introduit des garanties supplémentaires dans le cadre du Cadre de protection des données UE-États-Unis, mais celles-ci sont jugées insuffisantes par les spécialistes européens du droit de la vie privée. L’avenir de ce cadre est incertain compte tenu de l’évolution des relations politiques entre les États-Unis et l’UE. Sous l’administration américaine actuelle, plusieurs organes de contrôle ont en outre été affaiblis ou démantelés, ce qui compromet davantage l’application pratique de ces garanties.
BeLibre cartographie la situation belge
BeLibre est actif depuis début 2025 en tant qu’initiative indépendante cartographiant la dépendance numérique du secteur public belge. Via belibre.be/map, nous publions des données de recherche sur les institutions publiques belges (communes, écoles, hôpitaux, zones de police) qui ont externalisé leur infrastructure de messagerie auprès de prestataires américains. Les tendances que nous observons ne sont pas l’exception : elles sont la norme.
Ces recherches s’inscrivent dans une demande de longue date de la communauté technologique et de la vie privée belge de prendre au sérieux la souveraineté numérique comme enjeu de gouvernance publique. Les événements de cette semaine donnent à cette demande une nouvelle urgence.
BeLibre appelle à l’action
BeLibre appelle les décideurs politiques à tenir explicitement compte des risques juridiques extraterritoriaux lors de la passation de marchés pour des services cloud et de communication. Des alternatives techniques existent : des plateformes européennes et open source pour la messagerie, la gestion documentaire et les communications sont disponibles, évolutives et souvent moins coûteuses.
La souveraineté numérique n’est pas une préoccupation abstraite. C’est un devoir de gouvernance.
À propos de BeLibre
BeLibre (belibre.be) est une initiative belge, active depuis 2025, qui cartographie la dépendance du secteur public à l’égard des infrastructures cloud américaines et sensibilise à la souveraineté numérique.
Contact presse Jurgen Gaeremyn · jurgen@belibre.be
Sources
- Lettres de la H. Comm. on the Judiciary à Alphabet, Amazon, Apple, Microsoft, OpenAI - 16 mars 2026 (judiciary.house.gov)
- Politico : « EU tech enforcer tells officials not to be scared by US threats » - 16 février 2026
- iBestuur : Les États-Unis assignent les géants technologiques au sujet de leurs communications avec les régulateurs européens - 17 mars 2026