Le mercredi 8 avril 2026, le juge Nicolas Guillou de la Cour pénale internationale témoignait pendant une heure sur sa situation, dans le cadre des auditions menées par la commission d’enquête parlementaire sur les vulnérabilités systémiques dans le secteur du numérique français.
En août 2020, il délivrait un mandat d’arrêt international contre le premier ministre Israëlien, Benyamin Netanyahou. Quelques jours plus tard, l’Office for Foreign Assets Control (OFAC) qui dépend du département du trésor américain, prenait contre lui des sanctions. Actuellement, 11 juges dont 3 procureurs de la CPI font l’objet de sanctions à plus ou moins fort niveau (Thierry Breton fait lui aussi l’objet de sanctions, mais moins dures que celles de Nicolas Guillou).
Ce juge explique que sa vie numérique est devenue un laboratoire du kill switch, que peut subir n’importe quelle personne, publique, privée, physique ou morale, n’importe où dans le monde.
Quelles sont les sanctions ?
Au premier chef, une sanction physique : celle de l’interdiction de pénétrer sur le sol américain pour lui et sa famille (ce qui aurait signifié l’expulsion de ses enfants du territoire s’ils avaient fait leurs études aux États-Unis). Puis, d’autres plus hybrides, comme le gel de tous ses avoirs. Enfin, des sanctions numériques comme l’effacement de sa vie numérique, par ailleurs traquée. En pratique, il explique que AXA a refusé de traiter ses demandes de remboursements de soins médicaux, que sa carte bleue a été annulée et qu’il lui a été impossible de réserver sur Expedia ou l’Olympia, d’utiliser les services de Booking, d’Apple, de Netflix, de Microsoft Outlook et 365, etc. La liste n’est d’ailleurs pas exhaustive, il se limite à quelques exemples.
Alors que se passe-t-il exactement ? Pour AXA, il n’y avait pourtant pas de prestations aux USA, pas de paiement en dollars… mais il apprend que l’intermédiaire, la société MSH International, entreprise pourtant française, a des accords avec les États-Unis et applique donc les sanctions prises. Pour le gel de ses avoirs, sa carte bleue française a été invalidée du jour au lendemain, sans que la banque ne puisse rien y faire, car les banques françaises ont contractuellement donné le monopole aux réseaux Visa et Mastercard. Aucune banque française ne délivre plus aujourd’hui de carte bleue sur le seul réseau CB (le GIE cartes bancaires) et la seule coexistence de Visa et Mastercard sur votre carte suffit à ce que les sanctions s’appliquent et qu’aucune banque en France n’accepte de vous fournir un moyen de paiement (ce juge n’a toujours pas de carte de paiement depuis lors). Le gel des avoirs s’applique partout, même quand l’entité est européenne : par exemple, la banque des nations unies serait elle aussi concernée, ne serait-ce que parce que son siège est situé aux USA.
De quoi parle-t-on en réalité ?
On parle de l’extraterritorialité des lois américaines et des sanctions associées.
Vous connaissiez les lois extraterritoriales américaines : le FISA act et sa fameuse section 702 (lequel vient d’être renouvelé) et le Cloud Act adopté en 2018 ? Elles permettent de sanctionner toute entreprise étrangère pour des délits effectués n’importe où dans le monde, dès lors qu’une seule parmi plusieurs conditions est remplie : l’existence de transactions en dollars, des échanges de courriels ou l’hébergement de données sur des serveurs basés aux États-Unis, la présence d’une filiale dans ce pays ou y être coté sur un marché financier. L’extraterritorialité des sanctions est radicale : c’est l’interdiction, pour toute personne physique ou morale (même une filiale) américaine, de fournir des services aux personnes sous sanctions de l’État. Par conséquent, il suffit qu’un seul intermédiaire de la chaîne soit américain pour que les sanctions s’appliquent.
Mais comment de telles sanctions peuvent-elles s’appliquer alors que vous n’avez aucun contrat ni aucun lien avec les États-Unis ? Simple et implacable : cela s’appelle la « surconformité ». Elle consiste, pour un acteur privé, à limiter les contrats de services (ou refuser un service), afin d’éviter toute sanction potentielle de la part des États-Unis. Les sociétés américaines ne pouvant pas échapper ou contourner les sanctions prises par leur état, les sociétés étrangères et notamment françaises sont auditées sur l’application des sanctions ; et si elles ne les appliquent pas, elles sont elles aussi sanctionnées. Pour l’assureur AXA, l’application des sanctions a eu un double avantage : cesser les remboursements et ne pas subir de sanction qui la paralyserait.
Et tous les acteurs procèdent de la même manière : appliquer des sanctions de manière préventive, sans information du client ou de l’utilisateur, sans préavis, sans solution et sans juge. C’est la même méthode qui s’applique à chaque fois : comme en 2025 pour le cas de Karim Khan, procureur de la CPI, un simple executive order signé le 6 février 2025 par le président des États-Unis a suffi a contraindre la CPI à appliquer les sanctions américaines (voir l’article de Gabriel Minchola).
Le danger de l’extraterritorialité des sanctions est la menace ciblée : la simple menace suffit à modifier le comportement d’un acteur, qu’il soit public ou privé. Il peut s’agir de la peur de voter une loi au risque de se retrouver sanctionné, la peur de défendre une entreprise ou une personne sensible pour un avocat, la peur des acteurs publics de mener telle ou telle politique par peur d’éventuelles sanctions. Dans une situation de peur généralisée, la menace suffit à anéantir l’état de droit en France et en Europe, en commandant les décisions de personnes qui ne veulent pas de problèmes. Et elle s’applique à tout le monde : aux juges, aux parlementaires, aux services de la commission européenne en matière de concurrence, aux services de l’UE qui, par exemple, refuseraient d’appliquer le DMA (la législation sur les marchés numériques) ou le DSA (le règlement européen sur les services numériques), les décideurs publics ou privés… puisqu’elles sont basées sur la crainte.
Comment le contrôle est-il opéré ?
Simple : vous confiez déjà toute votre vie numérique à un GAMAM (Google, Amazon, Méta, Apple, Microsoft) en raison de l’extrême dépendance des Français et des Européens aux outils américains . Ils vérifient les noms, prénoms, date de naissance, lieu de naissance, notamment, et recoupent vos informations dans les bases. Quand vous avez un compte créé sous Netflix, c’est facile. Mais quand vous n’avez pas de compte, les sociétés sont prévenues comme l’explique le juge Guillou qui précise n’avoir pas pu terminer une réservation via Expedia, même sans compte enregistré, car au moment d’entrer son adresse mail, la machine s’est affolée et lui a demandé de nombreuses autres informations anormales… Dans une entrevue, l’excellent Gael Duval (fondateur de Muréna, un OS libre pour smartphones) a rappelé qu’au moins 10 Mo de données sont étaient envoyés quotidiennement à Google ou Apple pour vous traquer : la télémétrie (par exemple, les frappes de votre clavier), la géolocalisation, les IP, etc. Sans compter les fonctionnalités mouchard comme Copilot de Microsoft, l’enregistrement automatique de tous vos documents « Word » sur Azure, la fonctionnalité de surveillance de Teams, l’utilisation de réseaux sociaux comme Facebook qui vous suggère des contacts en fonction des personnes que vous avez fréquentées la veille…
Il faut rappeler que le régime des sanctions a été pris en commun par les USA et l’Europe, afin de lutter contre le terrorisme, sans contrôle du juge (même si la CJUE a tenté de rétablir l’autorisation d’un juge en 2008 avec l’arrêt Kadi). Mais cette forme de « plénitude des sanctions » s’est retournée contre des citoyens qui n’avaient rien à voir avec le terrorisme, simplement sur exécutive order du président des États-Unis. C’est d’ailleurs une partie du débat qui s’est joué à l’occasion du projet de loi « Résilience » dans le cadre de la directive NIS2, le député Philippe Latombe et le sénateur Olivier Cadic ayant dénoncé en février 2026 l’obstruction de la DGSI au texte de cybersécurité au motif qu’il interdisait l’introduction de portes dérobées (backdoors) dans les messageries.
Les lois extraterritoriales et les sanctions appliquées sont un redoutable outil économique pour les américains, car les entreprises françaises et européennes se voient infliger des amendes très importantes, des accords de poursuite différée, des obligations de conformité : ce sont près de 20 milliards de dollars qui ont été payés depuis 2008. Par exemple, la banque BNP Paribas a été contrainte de payer en 2015 une amende de 8,9 milliards de dollars, accusée d’avoir contourné des sanctions américaines imposées à l’encontre de Cuba, de l’Iran et du Soudan, entre 2004 et 2012. Airbus a payé 3,6 milliards de dollars. C’est la présidence de Barack Obama qui a accéléré le rythme des sanctions.
Existe-t-il une parade ?
Je lis et entends souvent que certaines solutions numériques affichées comme « souveraines » et des certifications pourraient empêcher ce kill switch. C’est faux pour un certain nombre d’entre-elles : les solutions comme « Bleu » (Orange-Capgemini-Microsoft) et « S3NS » (Thales-Google) s’appuient sur des solutions américaines. Ce qui signifie qu’un utilisateur sous sanctions amènera l’opérateur à appliquer, de sa propre initiative, les sanctions américaines afin d’éviter à son tour des sanctions contre sa propre plate-forme et ses utilisateurs, puisque le partenaire américain serait tenu de les appliquer. Et si c’est Bleu ou S3NS qui font l’objet d’un killswitch, alors la sécurité du service serait compromise en quelques mois, car aucune mise-à-jour de sécurité ne sera plus délivrée et le produit ne serait plus maintenu au bout de 6 mois… Quant à la certification SecNumCloud, elle n’est pas une garantie contre l’extraterritorialité des sanctions, mais simplement une règle de contrôle de sécurité (lire cet article) !
Et je rappelle que l’argutie qu’on entend régulièrement, qui consiste à affirmer que « vos données sont hébergées en France », n’est en aucun cas une garantie suffisante, ni de souveraineté, ni de confidentialité des données : l’extraterritorialité et la surconformité en sont la preuve. Le critère est l’utilisation d’outils américains. Je rappelle à cet égard ce qui est arrivé à Frédéric Pierucci, ancien président de GEC ASLTHOM, qui a été arrêté et jeté en prison pendant 30 mois aux aux États-Unis en 2013 en raison des lois extraterritoriales américaines, parce qu’il utilisait des logiciels américains. Ajoutez à cela que vous confiez votre vie, vos recherches même les plus banales, aux IA américaines, ce qui permet aux USA d’avoir accès à toutes vos données. Un strasbourgeois en a fait les frais il y a encore quelques jours, arrêté pour avoir voulu « tester la fiabilité et la surveillance de l’intelligence artificielle » en lui révélant lors d’une conversation son intention d’acheter une arme pour « tuer un agent du renseignement de la CIA, du Mossad ou de la DGSI ».
La parade réside soit dans une pile (stack) composée de solutions entièrement françaises, mais plus encore dans les logiciels libres (logiciels et systèmes d’exploitation). Dans le logiciel libre, le code est libre et donc librement auditable et les projets libres sont dirigés par des associations ou des organisations de fait, principalement internationales, composées d’équipes de codeurs professionnels ou amateurs (éclairés !). Si un état tentait d’imposer une sanction, le projet serait immédiatement forké pour revivre ailleurs sous une autre forme.
L’état vient seulement de le comprendre, puisque la DINUM vient d’annoncer le 8 avril 2026 avoir pour projet de réduire « ses dépendances extra-européennes », notamment par l’évolution du poste de travail en abandonnant progressivement le système d’exploitation Windows au profit de postes sous système d’exploitation Linux, avec une personnalisation de la distribution NixOS, et « la migration vers des solutions souveraines » pour la CNAM (Caisse nationale d’Assurance maladie) qui a annoncé il y a quelques jours « la migration de ses 80 000 agents vers des outils du socle numérique interministériel (Tchap, Visio et FranceTransfert pour le transfert de documents). »
Regardez la vidéo de l’audition :
Pour aller plus loin, un peu de lecture.
- « Quand la lutte anticorruption entrave la souveraineté industrielle : le cas Alstom et l’extraterritorialité du droit américain« , par l’Institut National des Affaires Stratégiques.
- Les posts de Sylvain Rutten sur Linkedin
- « Extraterritorialité du droit : quand le « lawfare » sert la guerre économique« , article de l’IHEDN du 4 septembre 2023.
- « L’extraterritorialité du droit américain : un levier de domination économique mondiale« , par le Portail de l’Intelligence Économique, article du 27 mai 2025.
- Frédéric Pierucci – L’extraterritorialité du Droit US en action.
