Au travers de la création d’un plan nommé « EU Data Boundary for the Microsoft Cloud », Microsoft annonce que ses clients européens des secteurs privé et public pourront stocker et traiter leurs données au sein de l’Union européenne. Une annonce qui s’incrit dans un contexte juridique et réglementaire incertain et alors que les prestataires cloud américains ne peuvent pas garantir la confidentialité des données à caractère personnel des utilisateurs européens à l’égard des autorités américaines.
Les clients « n’auront pas à déplacer leurs données en dehors de l’UE pour utiliser les services Cloud de Microsoft« , indique Brad Smith, président de Microsoft dans un billet de blog. Il précise que cet engagement s’appliquera à l’ensemble de ses plateformes Cloud : Azure, Microsoft 365 et Dynamics 365.
Ce Cloud de Microsoft, qui veut s’inscrire dans les limites de l’Europe, s’appuyera sur les datacenters annoncés ou exploités actuellement dans 13 pays : Allemagne, Autriche, Danemark, France, Grèce, Irlande, Italie, Pays-Bas, Norvège, Pologne, Espagne, Suède et Suisse. Tout devrait être mis en place pour la fin 2022.
Brad Smith annonce aussi la création d’un centre d’excellence en ingénierie de la confidentialité à Dublin « pour guider nos clients européens dans le choix des bonnes solutions pour intégrer une protection robuste des données dans leurs charges de travail cloud, y compris pour répondre aux exigences réglementaires« .
Depuis 2016, plusieurs réglementations sur les données ont été mises en oeuvre aux États-Unis et dans l’Union Européenne (RGPD, US-EU Privacy Shield, Cloud Act), visant à établir un cadre juridique strict concernant les flux de données. Mais l’invalidation du Privacy Shield par la Cour de justice de l’UE en 2020 a mis en évidence l’incompatibilité entre les règles du RGPD et les règles extraterritoriales américaines, et fait porter des risques juridiques et commerciaux aux entreprises européennes recourant à des fournisseurs cloud américains.
Rappelons que la législation américaine autorise actuellement l’accès des autorités américaines aux données à caractère personnel, que les informations se trouvent sur ou en dehors du territoire des États-Unis. Les prestataires cloud américains ne peuvent pas garantir la confidentialité des données à caractère personnel des utilisateurs européens à l’égard des autorités américaines. Dans cette phase d’incertitude réglementaire et juridique, Brad Smith se veut pourtant confiant : « Nous prendrons des mesures supplémentaires pour minimiser les transferts de données client et de données personnelles en dehors de l’UE. Nous pensons que notre nouvelle initiative répondra aux exigences réglementaires et répondra aux besoins de nos clients européens qui recherchent des engagements encore plus importants en matière de localisation de données. »
Microsoft pense que ce plan fournira « la base technique et commerciale » pour soutenir « son engagement continu envers l’initiative GAIA-X« , la plateforme qui vise à établir un Cloud européen et souverain et s’efforce de créer un environnement dans lequel les données peuvent être partagées et stockés sous le contrôle des propriétaires et des utilisateurs des données.
