adzicnatasa - stock.adobe.com

« EU Data Boundary for the Microsoft Cloud » : un pas de plus vers un Azure européen

Microsoft annonce un plan qui cantonnera strictement les données dans l'Union européenne dès 2022. Il montre une prise en compte des problématiques locales. Mais des questions réglementaires sensibles demeurent.

Le 6 mai 2021, Microsoft annonçait « un nouvel engagement » pour la protection des données de ses clients européens. Avec un plan baptisé « EU Data Boundary for the Microsoft Cloud », les entreprises et les organisations publiques pourront cantonner strictement leurs données au sein de l’Union européenne.

Le plan est présenté par l’éditeur comme une « étape importante » dans le développement d’un « numérique de confiance ».

Dans ce type d’annonces, ce qui n’est pas dit est souvent aussi important que ce qui l’est. LeMagIT a donc demandé à Microsoft France, à un expert et à une avocate d’en préciser les tenants et les aboutissants.

Qu’est-ce que le plan « EU Data Boundary for the Microsoft Cloud » ?

Ce qui est dit. Le plan assure – juridiquement – que les données resteront au sein de l’Union européenne. A priori, donc, pas de transfert vers les États-Unis, même pour des questions de maintenance et de support. Mais l’assurance étant juridique, elle n’est pas tout risque (lire ci-après).

L’option concernera l’ensemble des « plateformes » de Microsoft, à savoir : Azure, Microsoft 365 (dont Office 365) et Dynamics 365 (CRM et ERP).

Dans un billet de blog, le Directeur Juridique de Microsoft, Brad Smith, précise deux points clefs.

« Nous irons au-delà de nos engagements actuels en permettant de traiter et de stocker toutes vos données dans l'UE. »
Brad SmithDirecteur Juridique de Microsoft

Premier point, ce plan apporte des garanties plus importantes en matière de localisation des données. « Nous irons au-delà de nos engagements actuels en matière de stockage [et] nous vous permettrons de traiter et de stocker toutes vos données dans l’UE. En d’autres termes, nous n’aurons pas besoin de déplacer vos données en dehors de l’UE ».

Une précision s’impose ici. Microsoft proposait déjà de stocker les données dans ses datacenters européens. Mais il existait des exceptions à cette localisation stricte.

« Il peut y avoir des circonstances exceptionnelles où nous pourrions être amenés à analyser des problèmes techniques liés aux données du client et qui pourraient nécessiter l’implication directe de notre engineering aux États-Unis », expliquait Bernard Ourghanlian, CTO et CSO de Microsoft France à nos confrères de France Inter, le 2 octobre 2020. « S’il y a un incident majeur à trois heures du matin (Pacific Time), nous réveillerons la personne qui a écrit la ligne de code pour qu’il la corrige. Il y a donc une obligation de lui donner tous les éléments pour qu’il puisse travailler ».

Le plan « EU Data Boundary for the Microsoft Cloud » est donc un effort supplémentaire de Microsoft pour garder, aussi, ces données en Europe.

Brad Smith insiste sur le fait qu’il ne s’agit pas d’une mise en conformité. « Les services cloud de Microsoft respectent ou dépassent déjà les règles européennes », écrit-il. Avec ce plan, l’éditeur veut aller plus loin « [y compris pour] les données personnelles contenues dans les données de diagnostic, les données générées par les services, ainsi que [celles] que nous utilisons pour fournir une assistance technique ».

Extension du domaine du chiffrement

Second point, Brad Smith promet qu’il sera plus largement possible de gérer ses clefs de chiffrement.

« Certains services offrent déjà ce que nous avons annoncé, mais ils seront couverts de façon uniforme. »
Microsoft France

« Nombre de nos services mettent [déjà] le contrôle du chiffrement dans les mains des clients en leur laissant gérer leurs clefs », rappelle le Directeur Juridique. « Nous l’étendrons ainsi que les contrôles techniques comme Lockbox ». Pour mémoire, Lockbox donne à l’utilisateur le contrôle de l’accès des ingénieurs de support Azure.

Les principaux services cloud de Microsoft sont concernés : Azure, Microsoft 365, Dynamics 365 et Power Platform. « Certains offrent déjà ce que nous avons annoncé, mais à l’avenir ils seront couverts de façon uniforme », nous précise Microsoft France.

Contestation des demandes d’accès par des tiers

Enfin, Brad Smith martèle que Microsoft étudiera méticuleusement les demandes d’accès par les autorités. « Nous défendons les données de nos clients contre tout accès abusif par n’importe quel gouvernement […] Nous avons annoncé l’initiative “Defending Your Data”, qui va au-delà des recommandations de l’EDPB [N.D.R. : qui regroupe les CNIL européennes]. Nous contesterons toute demande gouvernementale concernant les données personnelles […], quel que soit le gouvernement, lorsqu’il existe une base légale pour le faire ». Reste à définir ce qui est « abusif ». Et si les bases légales existent toujours.

Le plan « EU Data Boundary for the Microsoft Cloud » sera disponible en 2022. Microsoft devrait préciser l’offre lors au « European Cloud Summit » de cet automne.

Une offre européenne, mais toujours soumise au CLOUD Act

Ce qui n’est pas dit, à présent. Avant toute chose, LeMagIT tient à remercier Microsoft France qui a répondu à toutes les questions posées et qui a joué le jeu de la transparence.

Microsoft France a répondu à toutes nos questions et a joué le jeu de la transparence.

Première limite du « EU Data Boundary for the Microsoft Cloud », il y est principalement question de localisation. Que change cette localisation stricte vis-à-vis du risque légal d’une part (RGPD vs CLOUD Act) ? Et d’instrumentalisation du droit US d’autre part ?

« Rien. Cela ne change rien. C’est simple », répond sans détour Me Oriana Labruyère, avocate spécialiste des questions numériques et de la protection des données.

« La localisation des données est importante pour nos clients », assure pourtant Microsoft France au MagIT. « Nous pensons qu’elle peut renforcer notre capacité à contester juridiquement certaines demandes d’accès qui émanent de gouvernements non européens ».

Reste à préciser pourquoi et comment. Car d’autres experts, comme Stéphan Durey, associé au sein du groupe de conseil en organisation et SI Magellan Partners, sont d’accord avec Me Labruyère sur ce point. Ce plan ne résoudrait aucunement la question de l’extra-territorialité du droit américain dénoncé en début de semaine par Bruno Le Maire.

« Nous n'avons reçu que trois mandats des forces de l'ordre américaines en 2020 pour accéder à des données d'entreprises en dehors des États-Unis. »
Microsoft France

« Du point de vue juridique, cela ne change absolument rien : Microsoft reste soumis au CLOUD Act », confirme Stéphan Durey au MagIT. « Le principe d’une loi extraterritoriale est qu’elle s’applique partout dans le monde sur la base de la nationalité d’une société. [Or] Microsoft est une société américaine qui opère des services mondiaux ».

Microsoft France ne nie pas ce fait, mais ajoute que cette loi ne s’applique pas qu’aux Américains. « Il est important de noter que tout fournisseur de technologie qui a des intérêts commerciaux aux États-Unis – même s’il est basé en Europe – peut faire l’objet d’une procédure judiciaire américaine », nous rappelle l’éditeur.

Pour lever ce doute, OVHcloud et Outscale assurent qu’en séparant strictement leurs entités américaines du reste de leurs structures, ils peuvent vendre aux États-Unis (où ils sont soumis à la loi américaine) sans être menacés par les « Acts » (CLOUD Act, FISA, etc.) dans le reste du monde.

« Ce plan ne donne pas, dans le cadre de Schrem II et de l'invalidité du Privacy Shield, de garanties suffisantes au regard des attendus des recommandations de l'EDPB. »
Me Oriana Labruyère

Enfin, pour Microsoft, il ne faut pas surévaluer le risque lié à ce droit. « Nous n’avons reçu que trois mandats des forces de l’ordre américaines en 2020 pour accéder à des données d’entreprises clientes situées en dehors des États-Unis », chiffre l’éditeur.

Mais pour Me Oriana Labruyère, l’argument peut être retourné. Il y a donc bien des demandes qui aboutissent. Et ce plan n’y changera rien non plus.

« Ils disent qu’ils combattront les demandes d’accès, sous réserve d’avoir une base juridique pour le faire. Donc, ils s’engagent à respecter la loi. C’est bien. Mais c’est loin d’être suffisant », prévient l’avocate.

« Du coup, ce qu’ils proposent ne permet pas, dans le cadre de Schrem II et de la décision d’invalidité du Privacy Shield, de donner des garanties suffisantes au regard des attendus des recommandations de l’EDPB », tranche-t-elle.

Gestion des clefs de chiffrement par le client : chantier en cours

Pour l’avocate, qui anime également le podcast « La Robe numérique », la réponse peut en revanche passer par la technique.

« Sans technique qui interdise l’accessibilité de ses données à des tiers – que ce soit un état ou un tiers privé – Microsoft aura toujours l’obligation de se soumettre au droit de son pays d’origine. Et c’est normal », explique Me Labruyère.

L’extension du chiffrement annoncé par Brad Smith irait donc dans le bon sens. « Si et seulement s’il y a une autonomie de l’acteur [N.D.R. : le client] vis-à-vis de l’éditeur », prévient immédiatement l’avocate. « Si Microsoft gère l’outil qui génère ma clef et qu’il ne peut pas avoir accès à cette clef – et donc pas accès à mes données –, je dis oui ».

Or sur ce point précis, la gestion totalement indépendante des clefs dans Azure – c’est à dire sans passer par Azure Key Vault (via nCipher de Thales par exemple) – est un chantier en cours.

« Nous partagerons plus de détails prochainement », promet néanmoins Microsoft France. La gestion des clefs de chiffrement totalement indépendante en est donc encore à sa phase exploratoire. Mais les choses avancent.

Support entièrement en Europe : en phase exploratoire

Autre point d’achoppement : le support.

« Nous avons identifié les domaines d'investissements techniques et opérationnels nécessaires [pour un support entièrement en Europe]. »
Microsoft France

« Si Microsoft dit que pour des questions de support et d’expérience utilisateur il faut qu’il ait la main : on en revient au problème précédent », avertit Me Labruyère. « Ce n’est pas étanche ».

Microsoft France de son côté assure travailler sur cette question épineuse pour que, même dans ce cas de figure, tout soit intégralement géré en Europe.

« Nous avons identifié les domaines d’investissements techniques et opérationnels nécessaires pour atteindre cet objectif, et nous nous efforçons d’y parvenir. Dans les mois à venir, nous présenterons notre stratégie aux clients et aux régulateurs et nous serons attentifs à leurs retours », explique l’éditeur au MagIT. « Nous partagerons plus d’informations sur les différents changements techniques et opérationnels que nous apportons une fois que nous aurons intégré ces retours dans notre travail ».

Vers un Azure plus « européen » ?

Entre soumission au CLOUD Act, gestion des clefs de chiffrement en chantier et support « hermétique » en devenir, ce cloud européanisé serait-il un effet d’annonce ? Non, s’accordent à dire Me Labruyère et Stéphan Durey. Il témoignerait d’une prise en compte grandissante par Microsoft des contraintes légales qui émergent ainsi que de la sensibilité européenne.

« L’intérêt porte sur les aspects de protection des données personnelles qui apporteront plus de simplicité dans la gestion quotidienne de ces données. »
Stéphan DureyMagellan Partners

« Pour moi, c’est une démarche qui est intéressante », concède Me Oriana Labruyère.

« L’annonce de Microsoft concerne la capacité de tous ses services à être résilients sans passer par les USA. L’intérêt porte sur les aspects de la protection des données personnelles (anciennement couvertes par le Privacy Shield et l’arrêté Shrems II) qui n’auront plus besoin de transiter vers la plaque Amérique pour bénéficier des services complets de Microsoft et qui apporteront donc plus de simplicité dans la gestion quotidienne de ces données », renchérit Stéphan Durey de Magellan Partners. « Le principal intérêt sera lié au RGPD et à la capacité de Microsoft de ne traiter des données européennes qu’en Europe pour les clients européens ».

Transformer l’essai pour échapper au « Chifoumi où l’État gagne toujours »

« Je pense qu’il y a une volonté de Microsoft de montrer qu’il comprend la culture européenne vis-à-vis de la donnée et de rassurer. Le fait qu’il s’exprime est une bonne chose », acquiesce Me Oriana Labruyère. « En revanche, il faut transformer les propos en actes. Et pour moi, cela viendra de la technique ».

« Microsoft veut montrer qu'il comprend la culture européenne de la donnée et rassurer. [Maintenant] il faut transformer les propos en actes. »
Me Oriana Labruyère

« Parce qu’il faut comprendre qu’un contrat n’est pas grand-chose face à un État », insiste-t-elle. « Si vous avez une ordonnance de communication, [Microsoft] ne va pas dire “Attendez ! J’ai un contrat, je n’ai pas le droit de vous donner leurs données”. Le ministère public aux États-Unis s’en moque totalement de ce contrat. Et juridiquement, c’est correct ! Le pénal s’écrase devant le civil. […] Et après ? Qui va aller combattre un juge américain sur une réquisition quand on sait la puissance qu’il a ? Prenez l’affaire BNP Paribas. Ils ont essayé. Et puis ils ont arrêté et ils ont payé l’amende [de 9 milliards de dollars] ».

« C’est comme un Chifoumi où l’État gagne toujours », compare-t-elle. « Ce risque juridique ne peut pas être couvert contractuellement. Une réquisition fondée juridiquement gagnera toujours contre un contrat […] Ce n’est pas de là que vient le salut. C’est de la technique ».

Une technique sur laquelle travaille Microsoft donc. Et qui pourrait faire de ce plan « EU Data Boundary » une première étape vers un Azure réellement européen.

Pour approfondir sur Administration et supervision du Cloud