Computences

Accueil
« Franchement, pourquoi le FBI s’intéresserait-il à mes données ? »

« Franchement, pourquoi le FBI s’intéresserait-il à mes données ? »

, ,
Image de Jean-Christophe Burneau

Jean-Christophe Burneau

Les derniers articles

Objets connectés et fuites de données

Commentaires

L’expert-comptable, radar du SI !

Changer de modèle d’IA ? Déjà ?

La question est légitime. Le sujet est plus vaste que cette simple question.

D’abord, remettons les faits à plat.

Début 2025, Microsoft a fourni au FBI des clés de récupération BitLocker concernant trois PC ciblés par une enquête. Le point décisif est le suivant : ces clés avaient été laissées dans le cloud. Microsoft assume d’ailleurs recevoir environ 20 demandes de ce type par an et précise que, la plupart du temps, l’accès est impossible quand l’utilisateur n’a pas stocké sa clé dans le nuage.

Il faut donc être très précis sur ce qui s’est passé.

Microsoft n’a pas remis une « clé maître » universelle permettant d’ouvrir les données de tous ses clients.Une clé de récupération BitLocker est liée à un appareil, à un volume ou à un compte donné. Elle peut être stockée dans un compte Microsoft personnel ou professionnel de l’organisation. En clair : il ne s’agit pas d’une backdoor globale, mais d’un accès possible lorsque la clé a été confiée au fournisseur.

C’est là que le sujet devient critique pour une PME.

Le vrai problème n’est pas seulement : « mes données sont-elles chiffrées ? »

Le vrai problème est : « qui contrôle réellement les clés qui permettent de les lire ? »

Si la clé est chez vous, la situation n’est pas la même que si elle est sauvegardée dans l’environnement du fournisseur. Et si le fournisseur peut techniquement y accéder, il peut aussi, dans certains cas, être juridiquement contraint de les communiquer.

C’est exactement pour cela que la question ne se limite pas à la technique.

Elle devient juridique.

Le Department of Justice américain explique lui-même que le CLOUD Act ne crée pas un « accès illimité » aux données du cloud, mais qu’il clarifie l’obligation des fournisseurs soumis à la juridiction américaine de produire des données relevant de leur possession, garde ou contrôle, quel que soit le lieu de stockage. Le même document précise aussi que la collecte indiscriminée ou de masse n’est pas autorisée dans ce cadre et qu’un mandat reste soumis à des standards juridiques élevés.

Autrement dit : héberger vos données « en Europe » ne suffit pas à clore le débat.

Si votre fournisseur est soumis au droit américain, l’argument « mes serveurs sont en France » ne répond pas à la vraie question, qui est celle de la juridiction applicable au fournisseur et de sa capacité à répondre à une réquisition.

C’est précisément ce que rappelle la CNIL lorsqu’elle souligne que des données stockées par une entreprise soumise à un droit extra-européen peuvent être exposées au risque d’être communiquées à une autorité étrangère.

C’est aussi pour cette raison que le cas du Health Data Hub est devenu emblématique.

Cette plateforme regroupe des données de santé pseudonymisées afin de favoriser la recherche et l’évaluation du système de santé. Or son hébergement chez Microsoft Azure a été massivement contesté. En 2020, le Conseil d’État a considéré qu’on ne pouvait pas exclure un risque de transfert ou de communication aux services de renseignement américains et a demandé des garanties supplémentaires dans l’attente d’une solution pérenne. La CNIL a, elle aussi, jugé problématique l’hébergement par une société de droit américain, y compris pour des données pseudonymisées.

En 2026, l’État a engagé une nouvelle étape pour sortir de cette dépendance, avec un marché transitoire visant à traiter une copie de la base sur une infrastructure souveraine certifiée SecNumCloud (qualification que l’ANSSI réserve aux offres cloud les plus sécurisées).

Il ne s’agit pas encore d’une migration totale hors d’Azure, mais d’une étape intermédiaire. Les candidatures évoquées incluent notamment Cloud Temple avec Atos, OVHcloud avec Docaposte, Orange Business et S3NS

Ce détour par le Health Data Hub est utile pour une raison simple.

Il montre qu’un sujet souvent perçu comme « théorique » devient très concret dès qu’il s’agit de données sensibles, de dépendance à un grand fournisseur et de compatibilité entre exigences européennes et droit américain. Il montre aussi autre chose : quitter un cloud peut prendre des années. Le calendrier du Health Data Hub a été plusieurs fois repoussé, précisément parce qu’une bascule immédiate est techniquement impossible.

C’est un enseignement clé pour les PME.

Le risque n’est pas seulement l’accès juridique à la donnée.

Le risque est aussi la dépendance. Quand toute votre messagerie, votre CRM (gestion de la relation client), vos sauvegardes, vos documents, votre annuaire d’entreprise, vos postes et parfois vos outils métiers reposent sur un même écosystème, sortir de cet environnement devient long, coûteux et parfois paralysant. Le cas du Health Data Hub illustre exactement ce type de verrouillage progressif.

À ce stade, beaucoup de dirigeants objectent encore : « Très bien. Mais pourquoi le FBI irait-il regarder les données d’une PME française ? »

La réponse la plus honnête est la suivante : dans la très grande majorité des cas, le FBI ne s’intéresse pas à la PME pour elle-même.

Il s’intéresse à ce qui transite par elle, à ce qu’elle héberge, à ce qu’elle documente, ou à ce qu’elle permet de reconstituer dans une enquête.

Et c’est là que le sujet change complètement de perspective.

Premier cas réaliste : votre PME travaille avec un client, un fournisseur, un partenaire ou un distributeur impliqué dans une enquête américaine.

Dans ce cas, ce que les enquêteurs cherchent peut être très banal en apparence : contrats, factures, historiques d’échanges, journaux d’accès, pièces jointes, devis, données de connexion, documents de projet, suivis de livraison, informations de facturation. La PME n’est pas nécessairement suspecte. Elle peut simplement être un maillon de la chaîne de preuve. Le Department of Justice indique d’ailleurs, à propos des données d’entreprise, que les procureurs doivent chercher les données directement auprès de l’entreprise si c’est pratique et si cela ne compromet pas l’enquête, ce qui montre bien que les données d’entreprise font partie des cas envisagés.

Deuxième cas : votre PME est victime, témoin ou point de passage d’une cyberattaque internationale.

Dans une enquête sur un rançongiciel, un groupe d’escroquerie, un réseau d’hameçonnage ou une intrusion plus large, vos journaux techniques, vos boîtes mail, vos fichiers de configuration, vos sauvegardes ou les données d’un poste chiffré peuvent intéresser les enquêteurs pour reconstituer les faits. Là encore, l’entreprise n’est pas forcément visée comme auteur. Elle peut être victime ou simple témoin. Le fait que Microsoft ait remis des clés de récupération dans une enquête sur des machines ciblées illustre précisément ce type de logique ciblée.

Troisième cas : votre PME appartient à une chaîne de sous-traitance, d’export, de R&D ou de fourniture qui touche un secteur sensible.

Industrie, électronique, santé, énergie, défense, composants, logiciels embarqués, IA, biotech : dans ces univers, une PME peut détenir des morceaux d’information très utiles sur un projet, une technologie, une relation commerciale, une livraison, une homologation, un prestataire, une version logicielle, une chaîne d’approvisionnement ou un calendrier. Une PME n’est pas « trop petite » pour être pertinente dans une enquête. Elle est souvent assez petite pour sous-estimer la valeur de ses propres données. Cette observation relève d’une déduction stratégique à partir des types de données que les autorités peuvent légalement rechercher auprès d’un fournisseur et des catégories d’informations business couramment hébergées dans le cloud.

Quatrième cas : la PME héberge des données de salariés, de clients ou de partenaires qui intéressent l’enquête non pas pour l’entreprise elle-même, mais pour un individu ou un compte déterminé.

Le Department of Justice précise qu’un mandat peut porter sur le contenu des communications ainsi que sur les enregistrements et informations relatifs à un client ou à un abonné d’un fournisseur, sous réserve des standards applicables. En pratique, cela signifie qu’une entreprise peut se retrouver concernée parce qu’un utilisateur, une machine ou un compte figure dans le périmètre d’une investigation, même si l’entreprise elle-même n’est pas accusée.

Cinquième cas : l’accès recherché vise à gagner du temps ou à éviter qu’une demande directe à l’entreprise n’alerte les personnes visées.

Le Department of Justice précise que les fournisseurs peuvent notifier les titulaires de compte, sauf si un juge a émis une ordonnance de protection interdisant cette notification. Cette simple possibilité montre que la question de l’information du client n’est pas automatique. Pour un dirigeant, cela veut dire qu’il ne faut pas raisonner uniquement en termes de « je serai forcément contacté si quelqu’un veut mes données ».

À ce stade, il faut répondre frontalement à l’argument le plus fréquent :

« Je n’ai rien à cacher. Donc je m’en fiche. »

C’est une erreur de raisonnement.

Pas parce qu’il faudrait dramatiser.

Mais parce que ce n’est pas le bon critère.

Le sujet n’est pas : « avez-vous quelque chose d’illégal à cacher ? »

Le sujet est : « vos données ont-elles de la valeur, révèlent-elles des éléments sensibles, et souhaitez-vous vraiment ne pas maîtriser qui peut y accéder, dans quelles conditions, sous quelle loi et avec quel niveau de contrôle ? »

Une PME peut n’avoir absolument rien d’illégal à dissimuler et avoir pourtant tout intérêt à protéger ses données pour des raisons très concrètes.

Par exemple, vos données commerciales.

Votre base clients, votre pipe commercial, vos offres en cours, vos remises, vos marges, vos conditions de paiement, vos négociations, vos historiques de support ou de renouvellement racontent énormément de choses sur votre activité. Elles révèlent vos clients prioritaires, vos dépendances commerciales, vos cycles de vente, vos faiblesses, vos lignes de produit les plus rentables et parfois vos difficultés. Dans une PME, ce n’est pas un « détail administratif ». C’est la carte de votre activité. Cette conclusion est une inférence raisonnable à partir de la nature des données d’entreprise couramment stockées sur des services cloud et du fait que le droit américain peut viser « all records and other information pertaining to a customer or subscriber » auprès d’un fournisseur soumis à sa juridiction.

Vos données financières sont tout aussi critiques.

Trésorerie, prévisionnel, structure de coûts, comptes analytiques, contrats-cadres, volumes, commissions, prix de revient, conditions d’achat : ce sont des informations qui décrivent la santé réelle de l’entreprise. Beaucoup de dirigeants ne se rendent compte de cette sensibilité que lorsqu’ils vivent un contentieux, une due diligence, une fraude ou une crise de trésorerie. Là encore, le problème n’est pas la honte ou le secret. Le problème est la maîtrise. Cette partie relève d’une analyse métier, mais elle s’appuie sur les catégories de données d’entreprise susceptibles d’être hébergées chez des fournisseurs cloud et sur le cadre juridique rappelé par le Department of Justice et la CNIL.

Vos données RH méritent la même attention.

Contrats de travail, rémunérations, évaluations, informations médicales éventuelles, données disciplinaires, justificatifs, échanges sensibles avec les managers, dossiers d’inaptitude, documents liés à des départs ou à des conflits : même lorsqu’elles ne représentent pas un intérêt policier direct, elles portent un risque fort de confidentialité, de réputation et de conformité. La CNIL rappelle justement que certaines données sensibles doivent être particulièrement protégées et recommande, dans les situations les plus exigeantes, le recours à un prestataire exclusivement soumis au droit européen.

Vos données techniques et industrielles peuvent être encore plus sensibles.

Plans, schémas, nomenclatures, recettes, documents qualité, versions logicielles, configurations d’atelier, scripts, dépôts de code, tickets d’incident, procédures, méthodes d’essai, documentations clients, rapports de validation : souvent, c’est là que se niche le vrai patrimoine de la PME. Le Department of Justice affirme que le CLOUD Act ne permet pas d’obtenir des secrets industriels pour avantager commercialement des entreprises américaines, et rappelle que le vol de secrets d’affaires est pénalement réprimé. C’est une nuance importante. Mais ce n’est pas une raison pour minimiser l’enjeu de gouvernance sur des données qui représentent des années d’expertise.

Il faut aussi être honnête sur un autre point.

Le CLOUD Act n’autorise pas « n’importe quoi, n’importe quand, sur n’importe qui ».

Le document du Department of Justice insiste sur le fait que le texte n’a pas créé de nouveau type de mandat, qu’il n’a pas ouvert la porte à une collecte de masse indifférenciée et qu’il continue de s’appuyer sur des standards juridiques existants, en particulier la nécessité de justifier les demandes. Il faut donc éviter les formulations caricaturales du type « les autorités américaines peuvent lire librement toutes vos données ». Ce n’est pas exact. En revanche, dire qu’un fournisseur soumis à la juridiction américaine peut, dans certaines conditions légales, être tenu de produire des données placées sous son contrôle, y compris stockées hors des États-Unis, est conforme aux sources.

C’est précisément pour cela que le débat doit sortir de la posture idéologique.

Ni panique.

Ni naïveté.

Le sujet n’est pas de dire : « plus jamais aucun fournisseur américain ».

Le sujet est de savoir quelles données, dans quels outils, avec quelle sensibilité, avec quel niveau de chiffrement, avec quel contrôle des clés, avec quelle capacité de réversibilité, et sous quelle dépendance juridique.

Pour une PME, ce raisonnement est beaucoup plus utile qu’un débat abstrait sur la souveraineté.

Concrètement, quelles données d’une PME devraient immédiatement faire lever le sourcil du dirigeant ?

Je mettrais en priorité :

les données clients et prospects ; les contrats et pièces juridiques ; les offres et réponses à appels d’offres ; les marges, coûts et prévisionnels ; les données RH ; les sauvegardes ; les boîtes mail de direction ; les documents techniques et dépôts de code ; les journaux d’accès et historiques de connexion ; les coffres de mots de passe, les secrets d’infrastructure et, surtout, les clés de chiffrement. Ces catégories ne viennent pas d’une liste officielle unique, mais d’une lecture croisée des risques métiers d’une PME, de la logique juridique d’accès aux données décrite par le Department of Justice, et des préoccupations de protection rappelées par la CNIL. 

C’est d’ailleurs une erreur fréquente de croire que le chiffrement suffit.

Le chiffrement protège vraiment quand l’organisation maîtrise l’ensemble de la chaîne critique : politique de chiffrement, mode de récupération, sauvegarde, journalisation, contrôle d’accès, rotation éventuelle des secrets, et surtout lieu de stockage des clés de récupération. Les documents Microsoft montrent noir sur blanc que l’utilisateur peut retrouver sa clé dans son compte Microsoft ou, côté entreprise, dans le compte de l’organisation. Donc la bonne question n’est pas : « ai-je activé BitLocker ? », mais : « où se trouve la clé de récupération, qui peut la voir, et selon quelle procédure ? » 

Le parallèle avec le Health Data Hub devient alors très éclairant.

Même des données pseudonymisées, fortement encadrées, destinées à la recherche, ont été jugées suffisamment sensibles pour justifier des réserves, des garanties supplémentaires, puis une trajectoire de sortie d’un hébergeur soumis au droit américain. La CNIL rappelle explicitement que, dans ce dossier, le choix d’une société de droit américain était problématique, y compris pour des données pseudonymisées. Cela doit inviter les dirigeants de PME à éviter une conclusion trop rapide du type : « nos données ne sont pas sensibles, donc le sujet ne nous concerne pas ».

Il y a aussi un angle souvent négligé : le coût stratégique d’un mauvais cadrage.

Le ROI attendu du Health Data Hub est passé de 54 millions d’euros à 500 000 euros, la Cour des comptes reliant ce décrochage aux oppositions, aux retards et aux blocages suscités par le choix initial de Microsoft Azure. Je ne dis pas qu’une PME vivra la même histoire à cette échelle. Mais le mécanisme est intéressant : une décision technique prise trop vite peut devenir un problème juridique, politique, contractuel, budgétaire et organisationnel pendant des années.

Alors, que devrait faire un dirigeant de PME qui veut être pragmatique plutôt qu’idéologique ?

D’abord, cesser de poser la mauvaise question.

La mauvaise question est : « le FBI s’intéresse-t-il à moi ? »

La bonne question est : « quelles données de mon entreprise peuvent, un jour, se retrouver dans le périmètre d’une enquête, d’un litige, d’une cyberattaque, d’un contentieux ou d’une réquisition sans que ce soit mon entreprise elle-même qui soit la cible principale ? »

Ensuite, faire un travail de cartographie.

Pas une usine à gaz. Une vraie cartographie utile.

Quelles sont nos données critiques ? Dans quels outils sont-elles stockées ? Quel fournisseur héberge chaque outil ? Sous quelle juridiction tombe ce fournisseur ? Qui contrôle les clés de chiffrement ? Où sont stockées les sauvegardes ? Peut-on sortir proprement des données ? En combien de temps ? À quel coût ? Qui, chez nous, sait répondre à ces questions sans appeler trois prestataires différents ?

Ce travail est infiniment plus précieux qu’un discours général sur la « souveraineté numérique ». Il permet de transformer un sujet anxiogène en décisions concrètes. Cette recommandation relève de la pratique de gouvernance, mais elle est directement cohérente avec les risques pointés par la CNIL, la logique du CLOUD Act décrite par le Department of Justice et le retour d’expérience du Health Data Hub.

Enfin, il faut accepter une vérité simple.

Dans beaucoup de PME, personne ne sait précisément : où sont toutes les données critiques ; où sont les sauvegardes ; où sont les clés de récupération ; quelles données sont chez un fournisseur américain ; quelles données sont récupérables rapidement ; quelles données seraient perdues ou inexploitables en cas d’incident.

Et c’est là que se situe le vrai risque.

Pas dans un fantasme d’espionnage généralisé.

Dans le fait de ne pas avoir de visibilité sur ce qui est réellement sous contrôle, techniquement et juridiquement.

Le sujet n’est pas de savoir si votre PME « intéresse le FBI ».

Le sujet est de savoir si vos données intéressent, documentent ou croisent un jour une enquête qui vous dépasse.

Le sujet est aussi de savoir si vous acceptez que le contrôle de vos données dépende d’un empilement de choix techniques, contractuels et juridiques que vous n’avez jamais vraiment regardés.

Microsoft n’a pas démontré qu’il pouvait lire indistinctement toutes les données de tous ses clients.

En revanche, cette affaire a rappelé quelque chose d’essentiel : lorsque les clés sont stockées chez le fournisseur, le chiffrement n’est plus seulement une question de sécurité. Il devient une question de gouvernance et de juridiction.

Et pour un dirigeant de PME, c’est déjà une raison suffisante pour ne pas « en avoir rien à foutre ».

Conclusion

Si vous dirigez une PME et que vous voulez objectiver le sujet sans tomber dans l’idéologie, commencez par trois questions :

Où sont réellement nos données critiques ? Qui contrôle réellement les clés ? Sous quelle loi dépend réellement notre fournisseur ?

C’est souvent à partir de là que le numérique redevient lisible.

Numériquement vôtre,
Monsieur Projets Numériques 🌟
L’expert qui vous explique le numérique

Book Consultation
Book Consultation
Retour en haut

Votre message a bien été envoyé, je vais le traiter rapidement.