Les institutions sous perfusion des Big Tech

Au dernier Forum économique mondial de Davos, en janvier 2026, notre Premier ministre Bart De Wever soulignait que nous aurions intérêt, en Europe, à devenir « indépendants sur le plan technologique ». Au même moment, les relations transatlantiques connaissaient une crise sans précédent à la suite des menaces agitées par Donald Trump au sujet du Groenland. Et De Wever d’entrevoir que, dans cinq ans, nous aurions peut-être à remercier le président américain de « nous avoir réveillés juste à temps ».

Le site officiel du Premier ministre belge – premier.be – ne sera-t-il alors plus hébergé sur les serveurs de l’entreprise américaine Akamai ? Et la communication électronique de son administration ne passera-t-elle plus par les logiciels du géant Microsoft ?

Le SPF Chancellerie du Premier ministre est loin d’être le seul de nos services publics à s’en remettre largement aux géants américains du numérique tels que Microsoft et Google. C’est ce qui ressort d’une analyse de 799 sites web d’institutions publiques belges réalisée par Apache.

Si les fournisseurs américains rompaient ces relations, beaucoup de services publics se retrouveraient sans messagerie électronique et un grand nombre de sites web gouvernementaux deviendraient inaccessibles, puisqu’ils sont hébergés sur des serveurs américains.

Microsoft partout !

Pour réaliser notre analyse, nous avons examiné les fournisseurs qui permettent d’envoyer des courriels à partir d’un nom de domaine qui ne leur appartient pas, par exemple premier.be. Un de ces fournisseurs sort nettement du lot : Microsoft. Certains services publics utilisent plusieurs serveurs de messagerie, mais Microsoft est présent presque partout.

La Flandre est l’entité la plus liée à Microsoft. Plus de 91 % des services publics flamands analysés utilisent le logiciel de messagerie de cette entreprise, et près de 98 % des communes flamandes font appel à ses services pour leur communication électronique.

Quatre des six communes flamandes qui n’ont pas recours à Microsoft utilisent Google, et une fait appel à Barracuda, autre fournisseur américain. Il n’y a que dans une commune flamande où nous n’avons trouvé aucune trace de serveurs de messagerie américains : Furnes.

Au niveau fédéral, près de 85 % des services examinés utilisent le logiciel de messagerie de Microsoft. Le constat est le même dans les communes bruxelloises (à 78,9 % chez Microsoft) et dans les administrations provinciales (80 %).

Dans les communes wallonnes, la proportion est légèrement moindre : un peu moins de 71 % utilisent Microsoft. Dix-neuf communes wallonnes (soit 7,3 %) optent pour le fournisseur belge Win, une filiale de Nethys, qui à son tour fait partie de l’intercommunale liégeoise Enodia, anciennement Publifin, dont la réputation est pour le moins chargée.

En Wallonie, on s’héberge US

En ce qui concerne les fournisseurs d’hébergement web – qui enregistrent les sites sur leurs serveurs et les rendent accessibles aux internautes –, le tableau est un peu plus diversifié.

Une large majorité des sites web fédéraux analysés sont hébergés en Belgique ou dans l’Union européenne (voir graphique p. 69). Les principaux hébergeurs sont le service public Belnet (42,75 %), l’asbl Smals (12,2 %) – l’organisation ICT des institutions publiques – et le fournisseur privé belge Combell (9,9 %). Le fournisseur américain le plus utilisé est Akamai (8,4 %).

Un peu moins de 40 % des sites d’organismes publics flamands sont hébergés par des entreprises américaines. La majorité de ces organismes ont recours à un service d’hébergement web belge ou européen. Combell (25,8 %) et l’hébergeur limbourgeois Level27 (14 %) sont ici les plus représentés.

Seules 12 communes flamandes sur 285 optent pour un hébergeur web américain. Les autres se tournent vers des entreprises européennes. Plus de la moitié (55 %) des sites des communes flamandes sont hébergés par LCP, une entreprise établie à Oostkamp. Level27 (16,5 %) et Combell (11,2 %) suivent à bonne distance.

Les 261 communes wallonnes présentent un tout autre tableau. Plus de 58 % d’entre elles font passer leur trafic web par la société américaine Cloudflare (qui fournit 52,5 % de l’ensemble des communes). Fait notable également : en Belgique francophone, beaucoup de communes optent pour l’hébergeur français OVHcloud (18 %).

Les communes bruxelloises se distinguent quant à elles par le choix d’Irisnet. Dix communes sur 19 ont pour hébergeur ce partenariat public-privé entre la société française Orange, l’organisme public bruxellois pour la numérisation Paradigm et la Région de Bruxelles-Capitale.

Une dépendance extrême

« Ce n’est pas une surprise que les institutions et communes flamandes dépendent à ce point de Microsoft en matière de courrier électronique », avance Hans Graux, le pré­sident de la Commission de contrôle flamande (VTC), qui veille au respect du RGPD – le règlement européen relatif à la protection des données – par les instances administratives flamandes.

« D’ailleurs, il ne s’agit pas seulement de courrier électronique : la Flandre a aussi recours à d’autres services de Microsoft. » Ce choix s’inscrit dans le contrat-cadre relatif aux services dits de « poste de travail numérique » de Microsoft, qui court de 2022 à 2029, et dont les pouvoirs locaux peuvent aussi bénéficier. Ce contrat permet également aux services publics d’utiliser des applications de collaboration telles que Teams, SharePoint et l’outil d’intelligence artificielle Copilot.

« Cette dépendance est extrêmement grande et rend aussi l’administration vulnérable, surtout au vu des tensions géopolitiques actuelles. » Graux rappelle par exemple la récente controverse qui a secoué la Cour pénale internationale (CPI) de La Haye, dont le procureur Karim Khan, notamment, s’est vu imposer des sanctions par Donald Trump en février dernier. Pour se conformer à ces sanctions, la CPI a été contrainte de clôturer le compte de messagerie Microsoft de l’intéressé. Depuis, elle a décidé d’abandonner Microsoft au profit d’OpenDesk, une solution open source développée par les autorités allemandes.

« Je ne pense pas que de telles situations se produiraient en Flandre, mais il est possible, en théorie, que des fournisseurs privés américains paralysent le système en cas de pressions politiques, explique Graux. L’idée qu’il n’y a pas d’autre choix est apparemment bien ancrée au sein des institutions, mais elle est fausse. Ces autres choix sont peut-être moins connus, mais on ne peut pas se permettre de faire primer la facilité d’utilisation sur la souveraineté numérique. »

Données en péril

Le mode d’action brutal de Trump met en outre en péril les garanties juridiques existantes en matière de protection des données, au point que le cadre de protection des données UE–États‑Unis vacille. Par cet accord, les États‑Unis garantissent à l’Union européenne que les données de ses citoyens et entreprises seront traitées conformément aux règles européennes. Sans ce cadre, les pouvoirs publics et les entreprises des pays de l’Union ne pourraient plus, en principe, faire appel à des fournisseurs de services numériques américains.

Les deux cadres précédents ont été invalidés par la Cour de justice de l’UE à la suite de plaintes introduites par le militant autrichien de la protection de la vie privée Maximilian Schrems. Avec son organisation NOYB (None of your Business), celui-ci remet également en question le cadre actuel – et il n’est pas le seul.

Le nœud du problème, selon les critiques, est que les garanties américaines reposent non pas sur une législation états-unienne univoque en matière de vie privée, mais sur un patchwork de directives et de règles comprenant notamment des décrets présidentiels adoptés par le prédécesseur de Trump, Joe Biden.

« Ce sont des garanties et des accords sur papier, mais la question est de savoir si le gouvernement américain, sous Trump, respectera ces accords, précise Graux. Nous faisons actuellement confiance à une partie qui clame haut et fort son opposition à la règlementation numérique européenne. »

Dès le début de son second mandat, Trump a ouvert une nouvelle brèche dans le cadre de la protection des données en congédiant tous les membres démocrates d’un organe de surveillance « indépendant ». Cet organe, censé veiller à ce que les services de renseignement américains respectent les normes européennes, est depuis lors à l’agonie. Or, il constituait, pour la Commission européenne, un argument permettant de considérer la protection des données américaine comme « adéquate ».

La loi américaine relative au cloud (Cloud Act) et une clause de la loi sur la surveillance des services de renseignement étrangers (Foreign Intelligence Surveil­lance Act), notamment, suscitent l’inquiétude. Elles permettent en effet aux autorités et aux services de renseignement américains de contraindre une entreprise américaine – par exemple Microsoft – à donner accès à des données même si celles-ci sont stockées sur des serveurs européens par sa filiale européenne. « Dès lors que l’entreprise en question est contrôlée par une entité américaine, ces lois américaines sont d’application », avertit Graux.

The Intercept a révélé en février que, à la demande de la très controversée agence américaine de l’immigration ICE (Immigration and Customs Enforcement), Google a donné accès à de nombreuses données à caractère personnel sur un militant et journaliste étudiant britannique. Récemment, le New York Times a également rapporté que Google, Meta et Reddit, entre autres, ont communiqué des informations sur des utilisateurs qui ont critiqué cette agence.

Il est possible que les institutions publiques américaines obtiennent bientôt un accès par défaut aux données biométriques des citoyens européens. Sous la direction de la Commission européenne, les États membres de l’UE négocient avec les États-Unis les contours d’un nouveau cadre censé régir l’accès américain aux banques de données contenant notamment les empreintes digitales et les captures biométriques faciales des citoyens européens. Les États-Unis font de cet accès une condition au maintien de l’exemption de visa pour les voyageurs européens. Selon le site d’information Euractiv, le projet d’accord prévoit que le nouveau cadre « complète et remplace » les accords existants entre les pays de l’UE et États-Unis en matière de protection des données.

Lors d’une audition au Sénat français en juin 2025, Anton Carniaux, le directeur juridique de Microsoft France, a assuré que l’entreprise mettait tout en œuvre juridiquement pour résister à ces demandes d’accès. À la question de savoir si, lorsqu’une telle demande des autorités américaines est correctement formulée, Microsoft est obligé de transmettre les données, il a répondu par l’affirmative, mais a ajouté que, jusqu’à présent, « cela n’a affecté aucune entreprise européenne ou aucun organisme du secteur public ».

Hans Graux invite néanmoins les autorités belges et européennes à regarder le risque en face. « Le gouvernement américain peut contraindre une entreprise à garder le silence sur une demande d’accès à ses données. Comme il n’existe alors pas de preuve que cet accès a effectivement été donné, ce risque est traité avec trop de désinvolture. Pourtant, on aurait tort de croire que de telles situations ne se produisent pas. »