Microsoft sentirait-il le vent tourner ? L'entreprise américaine a annoncé le 26 février 2025 la finalisation de son offre "EU Data Boundary for the Microsoft Cloud" qui permet aux utilisateurs de stocker et de traiter leurs données exclusivement au sein de l'Union européenne et de l'Association européenne de libre échange (AELE).
L'offre avait été annoncée en mai 2021, soit quelques mois après l'invalidation du Privacy Shield, le successeur du Safe Harbor qui facilitait les flux de données entre l'Union européenne et les Etats-Unis. La première étape, lancée en janvier 2023, permettait le stockage et le traitement des données clients en Europe pour les services dits de "base". En janvier 2024, la deuxième étape avait permis d'inclure les données personnelles pseudonymisées.
Les données techniques restent aussi en Europe
La troisième étape, et dernière, vient donc d'être finalisée. Désormais, lorsque les clients de l'UE et de l'AELE demandent une assistance technique pour des services tels que Microsoft 365, Power Platform et Dynamics 365, les données de services professionnels fournies par les clients (telles que les journaux) et générées par Microsoft (telles que les notes de cas d'assistance) sont désormais stockées dans les régions de l'UE et de l'AELE, explique la firme américaine.
Bien que Microsoft ne donne pas de chiffre exact, il précise que cette nouvelle étape est "l'aboutissement d'un effort d'ingénierie massif sur plusieurs années, menées par des centaines d'équipes de produits de Microsoft et des milliers de développeurs du monde entier".
Via cette offre, l'entreprise explique s'adresser aux secteurs privé et public particulièrement réglementés, qui doivent s'assurer que les données transitant par des services de cloud ne quittent pas le territoire européen. Mais, dans les faits, ces propos doivent être nuancés.
Certaines données pourront toujours être transférées
En effet, dans une foire aux questions dédiée à l'offre, Microsoft précise que des données peuvent toujours sortir de l'Union européenne "à des fins de cybersécurité mondiale". Il explique que ces transferts de données sont "essentiels" pour "maintenir une posture de sécurité globale solide, protégeant contre les cyberattaques sophistiquées". Dans ce cas, les utilisateurs des services ne peuvent pas s'opposer aux transferts de ces données.
Autre point intéressant : Microsoft précise bien que ses services sont déjà tous conformes à la réglementation européenne. Ainsi, "EU Boundary Data" permet d'aller "au-delà de la conformité". L'entreprise évoque également un gain de temps grâce à "la simplification du processus d'évaluation des risques de transferts de données" en réduisant "le nombre de scénarios de transfert potentiels devant être évalués".
Inquiétudes autour du recours aux hyperscalers
La stratégie commerciale de Microsoft doit être replacée dans un contexte de remise en cause des solutions commercialisées par des fournisseurs américains, alimentée par les inquiétudes liées à la protection des données des Européens. Largement dominants sur le marché européen, loin devant les entreprises françaises, les hyperscalers sont soumis à un arsenal de lois américaines qui autorisent, sous certaines conditions, les autorités américaines à accéder aux données des utilisateurs hébergées par ces entreprises, et ce, quelle que soit la localisation des data centers.
C'est parce que ces législations existent que la Cour de justice de l'Union européenne avait invalidé le Privacy Shield estimant que les Etats-Unis n'offraient pas un niveau équivalent à celui du RGPD. Son remplaçant, le Data Privacy Framework (DPF), adopté en juillet 2023, a instauré de nouvelles garanties procédurales pour les ressortissants européens.
Or, l'existence de ce texte est déjà remise en cause par les actions de Donald Trump. En janvier dernier, fraîchement investi, le président des Etats-Unis a ordonné la démission des trois membres démocrates du Privacy and Civil Liberties Oversight Board (PCLOB), un organisme chargé de veiller au respect des libertés civiles et de la vie privée dans les programmes de lutte contre le terrorisme aux Etats-Unis. Il s'agit de la présidente Sharon Bradford Franklin, ainsi que de Edward W. Felten et Travis LeBlanc.
Bruxelles interrogé sur l'avenir du DPF
Face à ce démantèlement, l'eurodéputé Javier Zarzalejos, président de la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE), a adressé un courrier au commissaire européen Michael McGrath, chargé de la Démocratie, de la Justice et de l'État de droit, à propos des conséquences de la démission forcée des membres du PCLOB. "Comme il ne reste qu’un membre sur cinq au conseil d’administration, le PCLOB n’est plus opérationnel car le niveau minimum de membres requis pour avoir un quorum n’est pas atteint", écrit-il dans sa lettre envoyée le 6 février 2025.
Autrement dit, les fournisseurs américains de cloud ont tout intérêt à préparer un renversement du DPF, ou tout le moins une remise en cause. Tandis qu'Amazon Web Services (AWS) a choisi une offre européenne, Google Cloud et Microsoft Azure ont choisi de tisser des partenariats avec des entreprises françaises ; le premier avec Thales et le second avec Orange et Capgemini.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
