Dans un billet de blog, Brad Smith, le président de Microsoft, veut rassurer entreprises et organisations publiques européennes en annonçant un nouvel engagement : aucune data européenne confiée aux services Microsoft n’a besoin de quitter l’Europe.
Les hyperscalers US sont sous pression. Face au Cloud Act, aux réglementations européennes de plus en plus intransigeantes, à la levée de boucliers soulevée par des initiatives comme le Data Hub français stocké sur Azure et aux sirènes du futur Gaia-X, les entreprises européennes y réfléchissent désormais à deux fois avant de placer le moindre workload sur les clouds dépendant du droit américain.
Microsoft a beau faire en sorte de se conformer aux normes européennes (et même aller plus loin encore), de permettre aux clients Azure de spécifier où les données doivent être précisément conservées et traitées, de fournir des solutions de chiffrements où les entreprises gèrent elles-mêmes les clés utilisées, et défendre à coup de batailles juridiques les données contre les accès réclamés par le gouvernement américain, tout ceci ne suffit bien évidemment pas aux yeux des administrations et de bien des DSI et responsables d’entreprise.
Le problème est en partie idéologique et géopolitique mais aussi en partie technique. Car même lorsque les entreprises choisissent spécifiquement des serveurs européens pour leurs données et l’exécution de leurs workloads, certaines données de diagnostics, de logs, de statistiques d’utilisation des ressources, et autres données essentielles au support peuvent remonter vers les équipes techniques américaines.
Microsoft sait, comme les autres grands acteurs américains, qu’il va falloir aller beaucoup plus loin que se conformer au RGPD et autres règlementations ou encore adhérer aux Policy Rules de Gaia-X.
« Aller plus loin » est justement tout le propos de l’initiative « EU Data Boundary for the Microsoft Cloud » qui vient d’être annoncée. Celle-ci concerne tous les services cloud fondamentaux de Microsoft à commencer par Azure, Microsoft 365 et Dynamics 365. Elle consiste à revisiter les implémentations et l’organisation technique pour s’assurer que toutes données liées au stockage et aux traitements – et notamment tout ce qui est logs, diagnostics, données de support technique – ne quittent jamais les datacenters européens de Microsoft.
« Cette initiative s’inscrit dans notre engagement de soutenir la vision de l’UE d’une « Europe digne de l’ère numérique » et de reconnaître le rôle que le secteur technologique doit jouer pour aider l’Europe à réaliser ses aspirations de souveraineté numérique, explique Brad Smith. En plus du traitement en Europe des données personnelles de nos clients du secteur public et commercial, nous créons également un Centre d’excellence en ingénierie de la vie privée à Dublin pour guider nos clients européens dans le choix des bonnes solutions pour intégrer une protection robuste des données dans leurs charges de travail Cloud, y compris pour répondre aux exigences réglementaires ».
Au-delà des bonnes intentions et des promesses (qui n’engagent que ceux qui les reçoivent comme chacun le sait), cette initiative illustre l’inquiétude montante des acteurs américains face aux volontés souverainistes de plus en plus affirmées de l’Europe. Une telle initiative est évidemment un investissement lourd pour les grands acteurs du cloud mais c’est aussi le moindre qu’ils puissent et doivent faire pour continuer d’opérer en Europe. Parallèlement, c’est aussi aux acteurs clouds européens désormais de s’inscrire dans les mêmes dynamiques d’innovation que les grands clouds américains pour faire valoir leur valeur et permettre à Gaia-X de tenir ses promesses.
Microsoft a publié une FAQ autour de l’initiative « Microsoft EU Data Boundary »