Réponse à l’appel de l’Europe : stocker et traiter les données de l’UE dans l’UE

 |   Brad Smith, président, Microsoft

Aujourd’hui, nous annonçons un nouvel engagement pour l’Union européenne. Si vous êtes un client du secteur commercial ou public dans l’UE, nous irons au-delà de nos engagements actuels en matière de stockage des données et nous vous permettrons de traiter et de stocker toutes vos données dans l’UE. En d’autres termes, nous ne devrons pas déplacer vos données en dehors de l’UE. Cet engagement s’appliquera à tous les principaux services de cloud computing de Microsoft : Azure, Microsoft 365 et Dynamics 365. Nous commençons immédiatement à travailler sur cette étape supplémentaire, et nous achèverons d’ici la fin de l’année prochaine la mise en œuvre de tous les travaux d’ingénierie nécessaires à son exécution. Nous appelons ce plan « EU Data Boundary for the Microsoft Cloud ».

La nouvelle mesure que nous prenons s’appuie sur notre portefeuille déjà solide de solutions et d’engagements qui protègent les données de nos clients, et nous espérons que la mise à jour d’aujourd’hui est une nouvelle étape pour répondre aux clients qui veulent des engagements encore plus importants en matière de résidence des données. Nous continuerons à consulter nos clients et les autorités de réglementation au sujet de ce plan dans les mois à venir, y compris en ce qui concerne les ajustements nécessaires dans des circonstances particulières comme la cybersécurité, et nous irons de l’avant en tenant compte de leurs commentaires.

Les services en nuage de Microsoft sont déjà conformes aux directives de l’UE, voire les dépassent, même avant le plan que nous annonçons aujourd’hui. Nous offrons déjà à nos clients du secteur commercial et du secteur public la possibilité de stocker leurs données dans l’UE, et de nombreux services en nuage Azure peuvent déjà être configurés pour traiter les données dans l’UE également. En outre, nous utilisons un cryptage de classe mondiale et des solutions de lockbox robustes qui répondent aux directives réglementaires actuelles. Bon nombre de nos services permettent aux clients de contrôler le cryptage de leurs données grâce à l’utilisation de clés gérées par eux, et nous protégeons les données de nos clients contre tout accès abusif par n’importe quel gouvernement dans le monde.

Nous avons déjà commencé les travaux d’ingénierie afin que nos principaux services en nuage puissent à la fois stocker et traiter dans l’UE toutes les données personnelles de nos clients commerciaux et du secteur public de l’UE, s’ils le souhaitent. Ce plan inclut toutes les données personnelles contenues dans les données de diagnostic et les données générées par les services, ainsi que les données personnelles que nous utilisons pour fournir une assistance technique. Nous étendrons également les contrôles techniques tels que Lockbox et le chiffrement géré par le client pour les données des clients dans l’ensemble des services cloud principaux de Microsoft. Nous intégrerons ces EU Data Boundary Solutions dans nos principaux services en nuage afin d’améliorer nos offres actuelles pour les clients. Nous organiserons un EU Cloud Customer Summit cet automne, au cours duquel nous vous en dirons plus sur ces travaux.

La mise au point d’aujourd’hui s’inscrit dans le cadre de notre engagement envers la vision de l’UE d’une « Europe prête pour l’ère numérique » et constitue une reconnaissance du rôle que le secteur technologique doit jouer pour aider l’Europe à réaliser ses aspirations numériques. Outre le traitement des données personnelles de nos clients commerciaux et du secteur public en Europe, nous créons également un Privacy Engineering Center of Excellence à Dublin afin d’aider nos clients européens à choisir les bonnes solutions pour intégrer une solide protection des données dans leurs charges de travail en nuage, notamment pour répondre aux exigences réglementaires. Nous nous engageons à contribuer à la construction de « Tech Fit 4 Europe ».

Notre EU Data Boundary pour le Microsoft Cloud sera alimenté par nos investissements substantiels et continus dans une infrastructure de centres de données européenne expansive. Nous avons ouvert notre premier centre de données en Europe en 2009, et l’annonce d’aujourd’hui s’appuiera sur les centres de données que nous avons annoncés ou que nous exploitons actuellement dans 13 pays : Allemagne, Autriche, Danemark, Espagne, France, Grèce, Irlande, Italie, Norvège, Pays-Bas, Pologne, Suède et Suisse. Ces centres de données alimentent des services en nuage qui aident nos clients européens à réaliser leurs ambitions de transformation numérique et à accroître leur compétitivité avec l’assurance de pouvoir opérer en conformité avec toutes les lois et réglementations applicables. En plus des clients situés dans les États membres de l’UE, les clients en Norvège et en Suisse ont également accès au EU Data Boundary.

Microsoft a depuis longtemps démontré son engagement à respecter et à dépasser les exigences des lois européennes sur la protection des données. Par exemple, nous avons été la première grande entreprise technologique à affirmer notre conformité avec le RGPD et à étendre les droits et protections essentiels du RGPD à nos clients consommateurs dans le monde entier – et pas seulement à ceux de l’UE. En outre, suite au projet de recommandations du Comité européen de protection des données (CEPD) sur les mesures que les entreprises devraient mettre en œuvre à la suite de la décision Schrems II, nous avons annoncé notre initiative Defending Your Data, qui va au-delà des recommandations du CEPD. Nous contesterons toute demande gouvernementale de données personnelles d’un client du secteur public ou d’une entreprise de l’UE, quel que soit le gouvernement, lorsqu’il existe une base légale pour le faire. Et nous fournirons une compensation monétaire aux utilisateurs de nos clients si nous divulguons des données en violation du RGPD qui causent un préjudice.

Microsoft continuera à faire tout ce qui est en son pouvoir pour encourager les dirigeants gouvernementaux des deux côtés de l’Atlantique et au-delà à régler rapidement les problèmes d’accès légal.  Nous sommes encouragés par les discussions en cours entre la Commission européenne et le gouvernement des États-Unis en vue d’élaborer un nouveau cadre pour les données personnelles des Européens qui sont transférées aux États-Unis. Nous avons bon espoir qu’une solution sera trouvée dans un avenir proche.

Les clients peuvent trouver plus d’informations ici.