Avec EU Data Boundary, Microsoft va proposer à ses clients européens de cantonner leurs données aux frontières de l’Union européenne. Un grand pas en avant. Mais sans effet sur le Cloud Act.

Microsoft réitère ses engagements auprès de ses clients européens, pour qui le contrôle des données est devenu un enjeu majeur. C’est l’objet du programme EU Data Boundary, effectif dès le 1^er janvier prochain. Si le géant américain proposait déjà des options permettant de garantir l’hébergement des données sur le sol européen, il entend réduire considérablement les flux de données en dehors de l’Europe.

Microsoft estime offrir la résidence et la proximité des données dans plus d’emplacements que tout autre fournisseur de cloud. Il permet des options de résidence pour l’ensemble de la suite de services en ligne Microsoft Cloud, y compris Microsoft 365, Dynamics 365, Power Platform et Azure.

« Pour répondre aux exigences des clients de l’UE et de l’AELE, nous avons ouvert et construisons des centres de données dans plus de 17 régions en Europe, commente Julie Brill, Corporate Vice President and Chief Privacy Officer, Microsoft. En 2020, nous avions annoncé notre intention de construire 9 nouvelles régions de centres de données. Depuis, nous avons réalisé des investissements dépassant les 12 milliards USD. Notre entreprise est aujourd’hui, en Europe, l’une des plus grandes sources d’investissement en capital dans l’avenir numérique. »

Des informations transparentes

Microsoft estime aussi que « ses services cloud respectent ou dépassent déjà les exigences de l’UE. » En outre, le nouveau programme doit permettre aux clients des secteur public et commercial de l’UE et de l’AELE de « faire traiter et stocker leurs données dans la région ». Qui plus est, Microsoft publiera une nouvelle documentation sur les flux de données sur la nouvelle page Web du centre de confiance de la limite de données de l’UE. L’idée ? Fournir des informations transparentes sur les données aux clients dont les services seront inclus dans la limite.

La solution concernera d’abord les données des consommateurs. Elle inclura ensuite d’autres catégories, a encore précisé la responsable des affaires réglementaires chez Microsoft. La deuxième phase doit être achevée d’ici à fin 2023. Et la la troisième en 2024, a-t-elle ajouté. Microsoft publiera une documentation détaillée sur ses engagements en matière de frontière. Celle-ci sera continuellement mise à jour, au fur et à mesure du déploiement des prochaines phases.

« Nos clients vont pouvoir se sentir plus en confiance, poursuit Julie Brill. Leurs conversations avec les régulateurs sur l’endroit où leurs données sont traitées et stockées seront donc plus claires. » Microsoft on l’a compris, veut rassurer la Commission européennes et les régulateurs européens.

Pas d’effet sur le Cloud Act

Un grand pas, donc. Mais pas suffisant. Cette nouvelle solution ne pourra, malheureusement, réduire les craintes autour de l’extraterritorialité de certaines lois américaines. En particulier le Cloud Act. Celui-ci donne la possibilité aux autorités d’accéder aux données hébergées par les entreprises nationales. Peu importe , d’ailleurs, où elles se trouvent…

Sur ce point, Microsoft répète son engagement à « contester toute demande gouvernementale de données personnelles d’un client des secteur public ou commercial de l’UE -quel que soit le gouvernement- lorsqu’il existe une base légale pour le faire ». Et de s’engager, aussi, à « fournir une compensation monétaire » aux clients si cet accès constituait une violation du GDPR entraînant un préjudice.