Clarifier la notion de souveraineté… Mais sans tout régler, loin de là

Avec EU Data Boundary, Microsoft implémente des frontières européennes au sein de son cloud. Après les données clients, les données techniques sont aussi désormais entièrement opérées au sein de cet espace. C’est la phase 3 du projet.

La phase 3, avec l’achèvement de la frontière des données de l’UE en février 2025, garantit que lorsque les clients de l’UE et de l’AELE demandent une assistance technique pour des services tels que Microsoft 365, Power Platform et Dynamics 365, les données de services professionnels fournies par les clients (telles que les journaux) et générées par Microsoft (telles que les notes de cas d’assistance) sont désormais stockées dans les régions de l’UE et de l’AELE. Pour certains services Azure, une action supplémentaire du client peut être requise pour obtenir l’engagement de stockage des données des services professionnels.

« L’adhésion à l’offre assure les entreprises européennes que données et traitements resteront au sein de l’Union Européenne et que les opérations de maintenance seront réalisées par du personnel européen », commente Julie Brill, Corporate Vice President & Chief Privacy Officer, Microsoft.

Un « cloud global » peut s’adapter

Microsoft sentirait-il le vent tourner ? L’offre avait été annoncée en mai 2021, soit quelques mois après l’invalidation du Privacy Shield, le successeur du Safe Harbor qui facilitait les flux de données entre l’Union européenne et les Etats-Unis. La première étape, lancée en janvier 2023, permettait le stockage et le traitement des données clients en Europe pour les services dits de « base ». En janvier 2024, la deuxième étape avait permis d’inclure les données personnelles pseudonymisées.

Cette initiative vise à répondre aux préoccupations croissantes en matière de souveraineté numérique dans l’UE. Microsoft cherche à démontrer qu’un « cloud global » peut adapter son fonctionnement pour respecter les exigences locales en Europe, étape que l’éditeur qualifie lui-même d’« importante dans le développement d’un numérique de confiance », selon Paul Lorimer, Vice-President, Microsoft 365, dans un billet de blog : « Nous croyons que la technologie cloud peut être innovante, sécurisée et conçue pour honorer les valeurs européennes ».

Microsoft EU Data Boundary, partiel et partial

Voilà qui permet de clarifier la situation pour les entreprises et les organismes qui utilisent ses solutions, soutient le promoteur d’Azure. Mais sans tout régler, loin de là.

En effet, l’entreprise américaine reste soumis au Clarifying Lawful Overseas Use of Data (Cloud) Act. Ce texte permet aux autorités américaines d’ordonner la divulgation de données stockées en Europe par des organismes américains. Ce fût, d’ailleurs, l’un des arguments avancés par la Cour de justice de l’Union européenne lors de l’invalidation du Privacy Shield