L’avenir du cloud computing passera-t-il par la localisation des données en fonction de la provenance géographique des internautes ? Pour la clientèle européenne de Microsoft, oui. Du moins, c’est l’engagement qu’a pris la firme de Redmond le 6 mai 2021 dans un billet de blog signé par Brad Smith, le directeur juridique de l’entreprise américaine. Le chantier est déjà en cours et doit être achevé d’ici la fin 2022.
« Si vous êtes un client du secteur commercial ou bien dans l’Union européenne, nous irons au-delà de nos engagements actuels en matière de stockage des données et nous vous permettrons de traiter et stocker toutes vos données dans l’UE. Autrement dit, nous n’aurons pas besoin de déplacer vos données en dehors de l’Union », claironne celui qui occupe aussi un poste de président chez Microsoft.
Cette modification s’appliquera « à tous les principaux services de cloud de Microsoft » : sont cités Azure (qui permet d’exploiter les ressources informatiques de Microsoft au lieu d’avoir à les constituer en interne), Microsoft 365 (la suite bureautique de l’éditeur, avec Word, Excel, PowerPoint, etc.) et Dynamics 365 (un ensemble d’applications professionnelles).
Brad Smith énumère les données qui sont concernées par cette nouvelle politique : on trouve toutes les données personnelles figurant dans les informations de diagnostic et celles générées par les services du groupe, ainsi que les données personnelles qui servent dans le cadre d’une assistance technique. Cela s’ajoute au stockage des données dans l’UE, qui est déjà proposé, précise le directeur juridique.
« Les services de cloud de Microsoft sont déjà conformes aux directives de l’UE, voire les dépassent, même avant le plan que nous annonçons aujourd’hui », assure Brad Smith. « Nous offrons déjà aux clients du privé et du public la possibilité de stocker leurs données dans l’UE, et de nombreux services en nuage Azure peuvent déjà être configurés pour traiter les données dans l’UE également ».
Microsoft indique disposer de data centers dans treize pays européens (Allemagne, Autriche, Danemark, Espagne, France, Grèce, Irlande, Italie, Norvège, Pays-Bas, Pologne, Suède et Suisse). Le premier a été ouvert en 2009. Microsoft précise que si la Norvège et la Suisse ne sont pas membres de l’Union européenne, les deux pays sont néanmoins inclus dans son projet.
Un contexte juridique mouvant pour Microsoft
Dans son billet de blog, Microsoft ne cache évidemment pas que cette annonce est aussi la conséquence d’un environnement juridique changeant, comme l’arrivée du Règlement général sur la protection des données (RGPD) en 2018 et l’invalidation du Privacy Shield en 2020 (il s’agit d’un accord passé en 2016 entre la Commission européenne et Washington au sujet de l’envoi, aux USA, des données des internautes européens).
Les engagements de Microsoft sur ce terrain sont-ils toutefois crédibles ? L’entreprise, de nationalité américaine, est concernée par le Cloud Act. Ce texte décrit de quelle façon et dans quel cadre les autorités américaines peuvent contraindre les entreprises américaines à fournir les données sur leurs serveurs, y compris les serveurs situés à l’étranger, en cas de mandat ou d’assignation en justice.
Ce risque juridique a été une source de polémique concernant le Health Data Hub. Cette plateforme pour les données de santé (qui sont des données sensibles) est l’objet depuis des mois d’une controverse. Le Health Data Hub s’appuie sur un centre de données aux Pays-Bas, mais qui est opéré par une société américaine. De ce fait, cette éventualité n’est pas totalement écartée. Ce souci sera bientôt réglé.
Face à la menace judiciaire du Cloud Act, Microsoft assure dans une foire aux questions annexe qu’il utilisera des leviers juridiques pour s’y opposer. « Nous contesterons toute demande gouvernementale concernant les données personnelles d’un client du secteur public ou commercial de l’UE, quelle que soit l’administration, lorsqu’il existe une base légale pour le faire », est-il avancé.
Une promesse en l’air ? Il s’avère que la firme de Redmond s’est déjà frottée par le passé aux autorités américaines devant les tribunaux. En 2016 notamment, le groupe avait bataillé en justice contre Washington jusqu’à une cour d’appel américaine dans le cadre d’un affaire impliquant des mails, stockés hors des USA, en Irlande plus précisément, d’un individu soupçonné de trafic de drogue.
Elle promet aussi de se monter transparente : « Si elle est contrainte de divulguer ou de donner accès aux données d’un client, l’entreprise l’en informera rapidement et lui fournira une copie de la demande, sauf si la loi l’interdit.» Enfin, elle s’engage à « fournir une compensation pécuniaire aux utilisateurs de nos clients si nous divulguons des données en violation du RGPD qui causent un préjudice.»
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
