EU Data Boundary est le nom de l’initiative en préparation depuis de longs mois chez Microsoft. Dans un billet de blog publié hier, la firme annonce son lancement au 1er janvier.
De quoi s’agit-il ? De la première phase d’un plan devant cantonner les données européennes au sein des frontières de l’Union. Les entreprises utilisant Azure, Power BI, Dynamics 365 ou Office 365 pourront alors traiter leurs données clients sur des serveurs locaux. Microsoft rappelle à ce sujet avoir construit 17 centres de données en Europe.
Dans le billet, la vice-présidente Julie Brill a déclaré : « Avec cette version, Microsoft étend ses engagements de stockage et de traitement locaux existants, réduisant considérablement les flux de données hors d’Europe et s’appuyant sur nos solutions de localisation des données ».
Durant les phases suivantes, le même protocole sera appliqué à d’autres catégories de données, notamment celles liées au support technique, aux connexions, puis plus ou moins tout le reste. Ce mécanisme se déploiera de manière très progressive, puisque la deuxième phase doit s’achever d’ici fin 2023, la troisième étant prévue pour 2024.
Ce lancement coïncide avec le début du processus d’approbation du cadre transatlantique de protection des données par la Commission européenne, qui prendra la relève du défunt Privacy Shield. L’association noyb de Max Schrems a largement expliqué ses doutes à ce sujet.
Il doit rassurer les entreprises, qui pourront répondre plus précisément aux questions portant sur la localisation des données, ainsi que les autorités européennes, qui apprécieront peut-être cette attitude. Mais Microsoft aura beau montrer patte blanche, son initiative n’invalide en rien le Cloud Act, qui reste valable : les données auront beau être stockées en Europe, Microsoft reste une entreprise américaine.
Sur ce point, la société s’engage à « contester toute demande gouvernementale de données personnelles d’un client du secteur public ou commercial de l’UE – quel que soit le gouvernement – lorsqu’il existe une base légale pour le faire », et à « fournir une compensation monétaire » aux utilisateurs touchés, si l’accès réclamé devait constituer une violation du RGPD.