Ce qui se passe en Europe ne reste pas nécessairement en Europe – Microsoft ne peut garantir que les données des clients européens ne soient pas accessibles aux autorités américaines. L’inquiétude et l’incertitude sont réelles : au-delà du transfert de données, certains s’interrogent sur la possibilité qu’en cas de nouvelles tensions transatlantiques, des services cloud puissent être restreints, voire interrompus. L’Europe est en alerte — et accélère résolument sa stratégie en matière de souveraineté numérique.
Paris, juin 2025
Le directeur juridique de Microsoft France a dû reconnaître lors d'une audition publique devant le Sénat français, que les données des citoyens européensn' étaient pas protégées contre une eventuelle divulgation au gouvernement américain (source: frandroid.com). Toutefois précisé qu’un tel cas ne s’était encore jamais produit. Microsoft ne pourrait refuser une demande d'information des autorités américaines que si celle-ci était formellement infondée. En conséquence, l’entreprise examinerait attentivement la validité de chaque demande.
Contexte : Comme toutes les entreprises américaines, Microsoft est tenu, en vertu du CLOUD Act , de transmettre des données aux autorités des États-Unis.
Karim Khan, procureur général de la Cour pénale internationale, s’est soudainement retrouvé sans accès à ses e-mails. Coïncidence ?
Ou une conséquence des sanctions imposées à la Cour par le président américain Donald Trump (source: ChannelNews) ?
La cause reste incertaine, mais cet incident semble avoir agi comme un signale dalerte. Peu après, la Cour pénale internationale a annoncé qu'elle abandonnerait Microsoft Office au profit d'une alternative open source allemande.
La Haye, novembre 2025
La souveraineté numérique commence là où les organisations sont les plus vulnérables : dans la communication.
Aujourd’hui, toute organisation qui souhaite communiquer en conformité avec le RGPD a besoin de plus qu’un simple « hébergement en Europe » ou de promesses marketing : elle a besoin d’une plateforme de communication souveraine permettant un contrôle total des données de contact, des données de connexion et des métadonnées, sans dépendre de juridictions étrangères ni de tensions géopolitiques.
« Les promesses de sécurité de Microsoft reposent sur du sable. »
« Nous ne pouvons pas prendre le risque que nos échanges scientifiques, nos données sensibles et nos innovations stratégiques soient exposés à des acteurs non européens. »
L'Europe ne se contente plus de parler de souveraineté numérique.
Le débat autour de la souveraineté numérique n’est plus purement théorique. Les capitales européennes sont engagées dans des discussions approfondies sur la manière dont les institutions publiques et les organismes gouvernementaux peuvent renforcer l’indépendance de leur infrastructure numérique. L’objectif est clair : réduire la dépendance à l’égard des fournisseurs de cloud et de plateformes non européens et renforcer le contrôle des processus de communication critiques.
L'Europe agit.
- Le Danemark abandonne Windows et Office.
- La France a déjà migré 550 000 postes de travail dans l'administration scolaire vers des logiciels open source.
- L'Italie commence à convertir son armée à l'open source.
- L'Autriche a déjà achevé ce processus.
- L'Allemagne a l'intentionde revoir l'ensemble de l'écosystème numérique du Bundestag.
Pour les autorités publiques, les collectivités locales et les industries réglementées en particulier, la question se pose de savoir comment concilier communication conforme au RGPD, résidence des données et souveraineté effective des données.
Après tout, le simple fait de stocker des données en Europe ne garantit pas la souveraineté numérique.
Le facteur décisif est de savoir qui a accès, sur le plan technique et juridique, à la communication, à la connexion et aux métadonnées, et à quelle juridiction le fournisseur est soumis.
La souveraineté numérique ne se limite pas à un simple hébergement en Europe :
- Contrôlez votre propre infrastructure de communication
- Éviter les dépendances (verrouillage des fournisseurs)
- Transparence concernant les flux de données et les métadonnées
- Conformité aux exigences réglementaires telles que le RGPD
Pour les organisations, cela met en évidence une chose :
pour rester opérationnelles à long terme, elles ont besoin d'une solution de communication souveraine qui réponde à la fois aux considérations techniques, juridiques et géopolitiques.
« L’Europe ne veut pas être cliente des grands entrepreneurs et des grands services fournis par les États-Unis ou par la Chine. Nous voulons clairement concevoir nos propres solutions. »
Solution de communication indépendante fabriquée en Allemagne
Souveraineté totale sur les données avec XPhone Connect
XPhone fournit une solution de communication unifiée qui offre aux organisations une véritable indépendance numérique. En tant que plateforme de communication souveraine « made in Germany », XPhone est exclusivement soumise à la législation européenne en matière de protection des données, sans dépendre de juridictions non européennes ni être exposée à un accès extraterritorial.
Contrairement aux modèles purement basés sur le cloud, vous décidez vous-même du modèle d'exploitation : sur site dans votre propre centre de données ou dans un cloud privé contrôlé. Cela garantit une souverainetétotale sur les données relatives à la communication, à la connexion et aux métadonnées,y compris les informations de présence et les enregistrements détaillés des appels.
Avec XPhone, les entreprises élaborent leur stratégie de communication numérique de manière indépendante, résiliente et pérenne,sans adoption forcée du cloud et sans compromis en matière de sécurité ou de capacités d'intégration.
Découvrez un logiciel UC conforme au RGPD et fabriqué en Europe :
COMMUNICATION TECHNOLOGIQUEMENT INDÉPENDANTE AVEC XPHONE
CONSERVER LE CONTRÔLE TECHNIQUE ET ORGANISATIONNEL
Aucune dépendance vis-à-vis d'un fournisseur
Tous les trunks SIP, contrôleurs de session en périphérie, matériels et terminaux peuvent être utilisés et facilement remplacés.
Identité et souveraineté des répertoires
XPhone fonctionne directement avec l'Active Directory du client. Les données d'identité (qui travaille où, dans quel service et avec quel numéro de téléphone) ne quittent pas l'entreprise.
Aucune fuite de télémétrie et de métadonnées
Ce qui se passe dans XPhone reste dans XPhone ou sur le serveur de l'entreprise.
Utilisation autonome de l'IA
Les clients décident eux-mêmes des fournisseurs, des flux de données et des limites des fonctions de l'IA.
Logiciel développé en Europe
XPhone est exclusivement soumis à la législation européenne, par exemple au RGPD. Les lois extraterritoriales telles que le CLOUD Act ou les sanctions internationales n'ont aucune incidence sur la disponibilité du logiciel ni sur la protection et la sécurité des données.
Autonomie cryptographique
Avec XPhone, les clients contrôlent leur propre PKI (infrastructure à clé publique) et leur chaîne de certificats. Les certificats TLS, mTLS pour la fédération SIP et les clés SRTP sont entre les mains de l'opérateur. Cela signifie qu'il n'y a pas de dépôt de clés externe et aucun fournisseur de cloud n'a théoriquement accès au décryptage.
En savoir plus ne coûte rien – obtenez des conseils sans engagement :
Modèle d'exploitation sécurisé
Grâce à une installation sur site ou à un hébergement dans un cloud privé, les données de communication e de contact restent sur le serveur de l'entreprise et donc sous votre contrôle.
Souveraineté en matière de politique de licence
Les clients peuvent utiliser la version sous licence de XPhone pendant une durée illimitée, même sans maintenance active. La modèle de licence est transparente et l'étendue des fonctions est fixée contractuellement.
Souveraineté sur les protocoles et les interfaces
XPhone s'appuie sur des protocoles ouverts et standardisés (SIP, WebRTC, API REST). Cela permet une communication sécurisée à long terme, évite la dépendance vis-à-vis d'un fournisseur et garantit la transparence des flux de données.
Update and patch sovereignty
The customer decides when and whether updates are installed.
« Grâce au concept du numéro unique, vous êtes toujours joignable sur votre poste téléphonique professionnel et vous ne pouvez passer des appels externes qu'à partir de ce numéro. Le fait que l'appel provienne d'un poste téléphonique urbain est comme une carte-clé en or. Si nos employés appellent une agence fédérale en utilisant leur numéro privé, par exemple, ils n'obtiendront tout simplement aucune information. »
450
des agences gouvernementales et des institutions publiques font déjà confiance à XPhone.
55.000
employés des institutions publiques travaillent en conformité avec le RGPD grâce à XPhone.
1 M DE LICENCES
utilisées à travers le monde par des administrations et des entreprises.
FAQ : Souveraineté numérique avec XPhone
Souveraineté numérique, souveraineté des données, sécurité des données, protection des données : quelle est la différence ?
La protection des données se concentre sur la collecte et l'utilisation des données personnelles : qui y a accès ? Comment les données sont-elles traitées ? Elle ne concerne pas directement la protection effective des données, qui relève de la sécurité des données : comment sont-elles stockées ?
Comme toutes les données ne sont pas personnelles, la souveraineté des données fait référence à l'ensemble des données générées par un individu, une entreprise ou une institution publique, en particulier au contrôle de ces données. Environ 400 millions de téraoctets sont générés chaque jour dans le monde, dont 720 000 heures de vidéos sur YouTube, environ 5,3 milliards de photos et plus de 376 milliards d'e-mails envoyés.
Seuls ceux qui gardent le contrôle de leurs propres données peuvent finalement exercer leur souveraineté numérique et déterminer ce qu'il en advient, quand et comment, à condition qu'ils puissent utiliser et gérer leurs outils numériques de manière indépendante, sans dépendre des fournisseurs de services cloud ou des juridictions étrangères.
En quoi la souveraineté numérique diffère-t-elle de la sécurité informatique ?
La sécurité informatique protège les systèmes sur le plan technique (par exemple, cryptage, contrôles d'accès), tandis que la souveraineté numérique désigne le contrôle juridique, organisationnel et technique des systèmes et des données. Seule la combinaison des deux permet d'atteindre une véritable indépendance.
Qu'est-ce que le CLOUD Act et que doivent faire les organisations européennes ?
La loi américaine CLOUD Act ( Clarifying Lawful Overseas Use of Data Act ) oblige depuis 2018 les entreprises américaines à divulguer des données dans le cadre d'enquêtes. Cela permet aux autorités américaines d'accéder à des données personnelles, professionnelles, voire classifiées, même si ces données sont générées et stockées à l'étranger. La loi CLOUD Act prime sur le droit européen, les droits en matière de protection des données et les mécanismes de protection juridique des citoyens concernés.
Microsoft a publiquement présenté le CLOUD Act comme « normal » et affirme qu'il se défendra contre les demandes injustifiées. En réalité, Microsoft a répondu à des milliers de demandes de données par an émanant des autorités américaines, comme le montre son rapport sur la transparence ; les clients n'en ont généralement pas connaissance. L'initiative « EU Data Boundary » de Microsoft, qui vise à protéger les données des clients européens, est une promesse marketing et non une protection juridique contre le CLOUD Act.
- Utilisez le chiffrement côté client: cela permet à l'utilisateur de contrôler ses clés ; le fournisseur n'y a pas accès.
- Utilisez des plateformes open source et basées dans l'UE: cela soumet automatiquement la technologie et les fournisseurs aux exigences européennes en matière de protection des données et de conformité.
- Construisez des architectures fédérées et « zero trust »: celles-ci garantissent un contrôle décentralisé et restreignent l'accès sur la base d'autorisations rigoureuses.
L'hébergement dans l'UE est-il suffisant pour atteindre la souveraineté numérique ?
Non. Le stockage des données en Europe (résidence des données) ne signifie pas automatiquement souveraineté numérique. Les facteurs décisifs sont de savoir si les fournisseurs ou les sociétés mères sont soumis à des lois extraterritoriales et si l'accès administratif ou la gestion des clés échappent à leur contrôle. La souveraineté numérique exige donc plus qu'un simple hébergement dans l'UE. Elle exige une indépendance juridique, technique et organisationnelle.
Que signifie « vendor lock-in » dans le domaine des communications unifiées et pourquoi empêche-t-il la souveraineté numérique ?
Le verrouillage fournisseur désigne la dépendance vis-à-vis d'un fournisseur spécifique. Les produits ou services liés à un fournisseur particulier ne fonctionnent généralement que dans un écosystème défini, souvent intégrés de manière transparente à d'autres produits du même fournisseur, et peuvent même créer une valeur ajoutée lorsqu'ils sont combinés. Le passage à des produits alternatifs entraîne souvent des difficultés (mot-clé : incompatibilité) et/ou des coûts importants. Parmi les exemples de telles plateformes de communication, on peut citer Microsoft Teams et Zoom Phone :
- Microsoft Teams utilise un protocole de signalisation propriétaire. Une connexion SIP n'est possible que via des contrôleurs de session en périphérie certifiés avec « routage direct » ou via la route « Operator Connect » payante. Étant donné que Microsoft décide quels fabricants de SBC sont certifiés, les clients ont un choix limité et dépendent de la politique de certification de Microsoft. De plus, l'utilisation de Teams nécessite Azure Active Directory (Entra ID) comme fournisseur d'identité. Cela signifie que l'annuaire de l'entreprise se trouve dans le cloud de Microsoft et est donc potentiellement vulnérable aux attaques.
-
En revanche, Zoom Phone prend en charge le trunking SIP, mais uniquement via l'architecture « BYOC » propre à Zoom, qui achemine le trafic via l'infrastructure cloud de Zoom. Un véritable traitement SIP local sans implication du cloud n'est pas fourni. Même avec l'intégration SSO via SAML/OIDC, les données utilisateur, les profils utilisateur, les listes de contacts et les structures organisationnelles sont répliquées dans le cloud de Zoom.
- XPhone n'enferme pas ses clients dans une signalisation propriétaire: les clients peuvent configurer XPhone sur leur infrastructure existante ou moderniser de manière flexible les bases techniques sans limiter les fonctionnalités de la solution UC. XPhone fonctionne également sans système téléphonique.
Qu'est-ce qu'une infrastructure à clé publique (PKI) et comment contribue-t-elle à la souveraineté numérique ?
Une infrastructure à clé publique (PKI) désigne un système structuré qui peut être utilisé pour générer, gérer, distribuer et vérifier des certificats numériques. Ceux-ci servent à identifier de manière sécurisée les individus, les machines et les services par voie numérique et sont utilisés pour sécuriser les communications informatiques.
Le fait de disposer de leur propre PKI permet aux organisations et aux gouvernements :
- utiliser leurs propres clés et certificats numériques au lieu de devoir s'en remettre à des autorités de certification publiques (CA). Cela réduit la dépendance vis-à-vis des fournisseurs étrangers et atténue les risques géopolitiques.
- Définir quelles identités numériques (utilisateurs, appareils tels que les téléphones IP et les services) sont fiables. Les données VoIP sont transmises sur des réseaux publics. La PKI peut être utilisée pour s'assurer qu'un partenaire de communication est bien celui qu'il prétend être, ce qui est particulièrement important pour protéger les infrastructures critiques (KRITIS).
- Distribuer de manière sécurisée les clés de chiffrement pour les données VoIP : seules les parties autorisées peuvent déchiffrer les conversations. Cela protège contre l'écoute clandestine et renforce la souveraineté des données.
- Protéger la transmission des données vocales contre toute manipulation.
Pourquoi la protection des métadonnées est-elle importante dans les communications d'entreprise ?
Les métadonnées (qui communique avec qui, quand et pendant combien de temps) sont stratégiquement sensibles. Les informations sur qui communique avec qui, quand, pendant combien de temps, à partir de quel appareil et à partir de quel réseau sont souvent plus précieuses pour les services de renseignement que le contenu réel de la conversation. Les plateformes UC collectent ces données télémétriques, par exemple pour identifier et prévoir les pics de charge à l'aide de l'analyse des appels XPhone. Ce qui arrive à ces données est crucial :
- il a été prouvé que Zoom a transmis des données d'utilisation à Facebook (via le SDK Facebook dans l'application iOS), même pour les utilisateurs ne disposant pas d'un compte Facebook. La politique de confidentialité de Zoom autorise l'utilisation des données des clients à des fins d'« amélioration des produits » et de formation à l'IA. Il est possible de se désinscrire, mais ce n'est pas le paramètre par défaut.
- Microsoft Teams transfère les données d'utilisation telles que la durée des réunions, les temps de réponse, les modèles de communication et même le temps de concentration vers le cloud de Microsoft, où elles sont analysées. Cela se produit même si le client désactive cette fonctionnalité. C'est un point que l'Office fédéral allemand pour la sécurité de l'information critique explicitement dans ses recommandations pour Microsoft 365.
XPhonegénère égalementdes enregistrements détaillés des appelset des journaux de présence. Cependant, avec la solution sur site, contrairement aux plateformes cloud, les métadonnées restent toujours dans le réseau protégé de l'entreprise. La protection de ces données empêche de tirer des conclusions sur les structures organisationnelles et les modèles de communication, ce qui en fait un élément central de la conformité au RGPD et de la souveraineté numérique.
Quel rôle joue la stratégie de mise à jour ou de publication ?
Les plateformes de communication telles que Microsoft Teams ou Zoom déploient des mises à jour automatiquement et sans le consentement de l'utilisateur. Dans le meilleur des cas, des fonctionnalités apparaissent ou disparaissent involontairement, ou l'interface utilisateur change (pas toujours pour le mieux). L'impact peut être considérablement plus important lorsque les API sont dépréciées (classées comme obsolètes). Dans le pire des cas, les certifications existantes deviennent invalides sans que le client puisse l'empêcher. C'est un cauchemar en matière de conformité, en particulier dans les secteurs réglementés.
XPhone mise sur des mises à jour régulières, ce qui signifie que de nouvelles fonctionnalités et des ajustements réglementaires sont déployés régulièrement.Les clients peuvent décider à tout moment s'ils souhaitent installer une mise à jour ou continuer à utiliser le logiciel dans son état actuel.
Pourquoi l'utilisation des fonctions IA dans XPhone est-elle plus sûre que sur les plateformes cloud ?
Avec XPhone, la décision d'utiliser l'IA appartient entièrement au client : ceux qui souhaitent utiliser des serveurs MCP ou des connexions IA choisissent eux-mêmes les fournisseurs, les flux de données et les limites.
Chez Microsoft, Copilot traite les transcriptions de réunions, le contenu des chats et les fichiers provenant de Teams afin de générer des résumés et des suggestions. Ce traitement s'effectue dans le cloud. Les clients ne savent pas si et comment ces données sont utilisées pour l'entraînement des modèles d'IA. Microsoft a modifié ses conditions d'utilisation à plusieurs reprises, toujours en faveur d'une utilisation élargie des données. Zoom a également modifié ses conditions générales afin de permettre l'utilisation des données des clients pour l'entraînement de l'IA. Après une résistance massive, une option de désactivation a été introduite. Le fait qu'une option de désactivation soit nécessaire au lieu d'une option d'activation montre l'attitude fondamentale.