Phase II de EU Data Boundary. Microsoft élargit son plan de cantonnement transfrontalier européen aux données personnelles.

EU Data Boudary, extension. Microsoft coche la deuxième phase de son déploiement d’une offre de localisation de données dans l’Union européenne. La première phase date du début de l’année dernière, Microsoft avançant déjà une extension pour fin de 2023. L’éditeur a quasi tenu le calendrier.

Engagé à stocker et traiter les données de ses clients qui le souhaitent en Europe pour ses services en ligne incluant aussi bien Azure, Dynamics 365, Power Platform que 365, Microsoft élargit son plan de cantonnement transfrontalier européen aux données personnelles. La démarche est importante. Les efforts visant à comprendre où les informations numériques sont traitées et stockées, et même à co-localiser les données dans le même pays/région que les clients, peuvent être des considérations majeures dans le cadre des lois européennes sur la protection des données.

Données personnelles après les données clients

Dans un article de blog annonçant la deuxième phase, Julie Brill, Chief Privacy Officer and Corporate Vice President Global Privacy, Safety, and Regulatory Affairs, Microsoft, a déclaré que la mise à jour étend l’offre de localisation des données pour inclure le stockage et le traitement locaux de « toutes les données personnelles », y compris les journaux système automatisés. Pour rappel, la première phase du déploiement s’était concentrée sur ce que Microsoft appelle les « données client », c’est-à-dire les informations saisies activement par les clients, plutôt que sur l’ensemble plus large de données qui peuvent être générées à partir de l’activité des clients (par exemple via les journaux système).

Ces dernières années, Microsoft a fait face à une surveillance croissante de la part des autorités de protection des données de l’UE concernant les sorties de données de ses produits cloud. Le risque réglementaire pour le géant de la technologie est devenu particulièrement aigu lorsqu’un accord de transfert de données entre le bloc et les États-Unis a été invalidé par la Cour de justice, en juillet 2020. En cause : l’incompatibilité des pouvoirs de surveillance étendus des États-Unis et des lois européennes sur la protection de la vie privée -un conflit juridique qui a plongé à deux reprises les services cloud basés aux États-Unis avec des clients européens dans une impasse incertaine.

Localisation encore poreuse

Comme d’autres, Microsoft intensifie ses efforts de localisation des données dans l’UE -une communication nécessaire vis-à-vis du marché et une police d’assurance contre le risque de retour du risque réglementaire. En attendant, notent les experts, la localisation des données du premier éditeur mondial reste poreuse de par sa conception. Certaines données quittent encore le bloc, actuellement. Et cela continuera apparemment même après la troisième phase prévue du déploiement en décembre prochain dans la mesure où Microsoft n’a pas proposé de localisation totale des données ni de traitement ailleurs. Il s’agit simplement d’introduire progressivement davantage de localisation pour les flux de données au fil des années.

« Les données client n’incluent pas celles des services professionnels. Pour plus de clarté, les données client n’incluent pas non plus les informations utilisées pour configurer les ressources dans les services en ligne, telles que les paramètres techniques et les noms des ressources », prévient le fournisseur.

A noter que le périmètre de la limite des données de l’UE utilise ou peut utiliser des data centers Microsoft annoncés ou actuellement en exploitation en Autriche, en Belgique, au Danemark, en Finlande, en France, en Allemagne, en Grèce, en Irlande, en Italie, aux Pays-Bas, en Norvège, en Pologne, en Espagne, en Suède et en Suisse. « À l’avenir, Microsoft pourra établir des datacenters dans d’autres pays situés dans l’UE ou l’AELE pour fournir des services de limites de données de l’UE », fait savoir la société.