Aucune data européenne confiée aux services Microsoft n’a besoin de quitter l’Europe. Sous pression, le promoteur d’Azure veut rassurer.

Rassurer. Microsoft se donne jusqu’à fin 2022 pour généraliser, sur ses principaux services cloud, la localisation et le traitement des données dans l’Union européenne. L’engagement, présenté dans un billet de blog par son président Brad Smith, précise qu’il s’appliquera à ses différentes plateformes cloud : Azure, Office 365 et Dynamics 365. 

Ce cloud, qui veut s’inscrire dans les limites de l’Europe, s’appuiera sur les data centers annoncés ou exploités actuellement dans 13 pays : Allemagne, Autriche, Danemark, France, Grèce, Irlande, Italie, Pays-Bas, Norvège, Pologne, Espagne, Suède et Suisse. Tout devrait être mis en place pour la fin 2022.

Méfiance des entreprises européennes

Les hyperscalers US sont sous pression. Face au Cloud Act, aux réglementations européennes de plus en plus intransigeantes, à la levée de boucliers soulevée par des initiatives comme Gaia-X, les entreprises européennes réfléchissent désormais à deux fois avant de placer le moindre workload sur les clouds dépendant du droit américain.

Pour rappel, la localisation et le traitement des données dans l’UE ne protège pas du Cloud Act. En tant que société de droit américain, Microsoft est soumis à cette loi. De là, la mise en place de garde-fous. Ses clauses contractuelles types ont fait l’objet d’un addendum. Il en ressort principalement deux initiatives. D’une part, s’opposer autant que possible aux demandes gouvernementales. De l’autre, dédommager les clients dont on divulguerait des données en violation du GDPR.

Microsoft dit vouloir «aller plus loin»

Il n’empêche. Même lorsque les entreprises choisissent spécifiquement des serveurs européens pour leurs données et l’exécution de leurs workloads, certaines données de diagnostics, de logs, de statistiques d’utilisation des ressources, et autres données essentielles au support peuvent remonter vers les équipes techniques américaines.

Dans le billet de blog, Microsoft dit vouloir «aller plus loin». Et de présenter l’initiative «EU Data Boundary for the Microsoft Cloud». Celle-ci consiste à revisiter les implémentations et l’organisation technique pour s’assurer que toutes données liées au stockage et aux traitements -notamment tout ce qui est logs, diagnostics, données de support technique- ne quittent jamais les data centers européens de Microsoft. Le promoteur d’Azure assure par ailleurs vouloir installer prochainement à Dublin un centre d’excellence en ingénierie de la vie privée.

Contester… pour rassurer

«Nous étendrons également les contrôles techniques tels que Lockbox et le chiffrement géré par le client pour les données client à travers les services cloud de base, indique encore Brad Smith. Nous intégrerons ces solutions EU Data Boundary dans nos services cloud de base afin d’améliorer nos offres actuelles. Nous organiserons cet automne un sommet européen des clients du cloud au cours duquel nous en partagerons davantage sur ce travail.»

En outre, à la suite du projet de recommandations de l’European Data Protection Board sur les mesures que les entreprises devraient mettre en œuvre à la suite de la décision Schrems II, Microsoft a annoncé l’initiative Defending Your Data, qui va au-delà des recommandations européennes.

Toujours pour rassurer, Microsoft assure «contester chaque demande gouvernementale concernant les données personnelles d’un secteur public de l’UE ou d’un client commercial -de n’importe quel gouvernement- lorsqu’il existe une base légale pour le faire»..

Microsoft a publié une FAQ autour de l’initiative Microsoft EU Data Boundary