Mis en place par Microsoft, l’EU Data Boundary a pour objectif d'apporter de la transparence et de fournir à ses clients plus de contrôle sur leurs données. (crédit : Pixabay / DeltaWorks)
En travaux depuis 2022, l'initiative de Microsoft EU Data Boundary apportant un cadre pour garantir que les données cloud de ses clients en Europe sont bien stockées et traitées au sein de l'UE est finalisée. Un analyste reconnait que c'est un pas en avant, mais qu'une véritable souveraineté des données n'est pas garantie.
Dans un billet de blog, Microsoft a annoncé l'achèvement de la troisième et dernière phase de son initiative initiative EU Data Boundary. Pour rappel, celle-ci permet à ses utilisateurs européens du secteur commercial et public de stocker et traiter les données personnelles anonymisées de leurs clients pour les principaux services cloud de Microsoft, y compris 365, Dynamics 365, Power Platform et la plupart des services Azure, dans les régions de l'UE et de l'AELE (Association européenne de libre-échange). En outre, l'éditeur annonce qu'il stockera aussi les données relatives aux services professionnels issues des interactions avec l'assistance technique pour les principaux services cloud dans les régions de l'UE et de l'AELE.
Selon un Q&A de l'entreprise, la première phase de l'initiative, lancée en janvier 2023, s'est concentrée sur « l'augmentation du stockage et du traitement locaux des données des clients au sein de l'UE et de l'AELE ». Cette phase a été suivie en janvier 2024 par une seconde phase qui concernait les données personnelles anonymisées, que Microsoft définit comme des données modifiées pour supprimer les identifiants directs traités et stockés dans les régions de l'UE/AELE. »
Si cette annonce va dans le sens d'une amélioration de la résidence des données en Europe, elle ne constitue pas pour autant une panacée. Car si Microsoft affirme que les données des clients resteront stockées et traitées dans l'UE et l'AELE, l'entreprise ne garantit pas une véritable souveraineté des données, a déclaré Phil Brunkard, conseiller exécutif à Info-Tech Research Group UK. Les lois américaines, telles que le Cloud Act, « accordent toujours au gouvernement américain le pouvoir d'accéder à ces données », a-t-il poursuivi. « La question est donc de savoir si les gouvernements européens peuvent réellement restreindre ce type d'accès. Un simple décret américain pourrait-il passer outre ces engagements ? Dans ce cas, la résidence n'est pas nécessairement synonyme de contrôle », a-t-il demandé. Et il ajoute que « le statut du Royaume-Uni est en dehors de l'UE, et l'annonce de Microsoft ne précise pas comment les entreprises basées au Royaume-Uni s'intègrent dans ce cadre et l'on ne peut que supposer que les mêmes principes s'appliquent et que Microsoft continuera à s'aligner sur les exigences spécifiques du Royaume-Uni en matière de protection des données, quelle que soit la position de l'UE. » Phil Brunkard conseille ainsi aux entreprises de l'UE de ne pas prendre les annonces de Microsoft pour argent comptant. « Elles doivent plutôt lire entre les lignes et examiner minutieusement toutes les exceptions, exclusions et conditions inévitables. Si ces entreprises veulent vraiment donner la priorité à une véritable souveraineté des données, elles devraient s'appuyer sur des partenaires fournisseurs locaux qui hébergent les services de Microsoft en mesure d'offrir des garanties plus solides que les données restent sous la juridiction européenne sans aucune interférence extérieure. »
Une annonce pas inattendue mais nécessaire
Le fournisseur a quant à lui indiqué que si l'EU Data Boundary conserve la majorité des données personnelles au sein de l'UE/AELE, « certains transferts de données limités peuvent s'avérer nécessaires pour les opérations de sécurité à l'échelle mondiale. Ces données sont utilisées pour améliorer la détection des menaces, les enquêtes, les mesures correctives et la prévention dans toutes les régions. » Elle précise qu'elle utilise des protections telles que « le chiffrement, l'anonymisation et des contrôles d'accès stricts, garantissant que seul le personnel de sécurité autorisé y accède », justifiant que les « renseignements sur les menaces mondiales obtenus grâce à ces transferts sont essentiels pour détecter et atténuer les cyberattaques ». Robert Kramer, vice-président et analyste principal chez Moor Insights & Strategy, fait remarquer de son côté que l'annonce de Microsoft n'était pas inattendue, « mais je pense qu'elle était nécessaire ». Selon lui, « les données sont le composant le plus important des entreprises, en particulier pour l'IA et le cloud. Tout le monde parle de l'IA et des données, mais il est extrêmement important de comprendre la conformité et la sécurité. À ce titre, l'EU Data Boundary apporte de la transparence et fournit aux clients plus de contrôle sur leurs données. » Dans la situation présente, ce dernier conseille de « travailler en amont plutôt qu'en aval, car en travaillant en amont, on comprend que la conformité est une question importante, de même que la confiance des clients et la transparence. »
Suivez-nous