Microsoft

Microsoft reconnaît ne pas pouvoir garantir la souveraineté des données européennes

Microsoft reconnaît ne plus pouvoir garantir la souveraineté des données européennes

Coup de tonnerre dans le monde du cloud computing : Microsoft vient d’admettre officiellement qu’il ne peut plus garantir la souveraineté des données stockées dans ses services cloud, y compris celles hébergées en Europe. En cause ? La législation américaine, et plus précisément le Cloud Act, qui autorise les autorités américaines à accéder aux données d’entreprises américaines, quel que soit l’endroit où ces données sont hébergées.

Sommaire

Une déclaration qui fait réagir Le Cloud Act, un levier juridique puissant Quelles conséquences pour les entreprises françaises ?Vers un renouveau des clouds souverains ?Microsoft joue la carte de la transparence Conclusion

Ce qui est intéressant de prendre en compte dans cet article c’est que la réponse proposée par les représentants de Microsoft l’est justement dans le contexte d’une commission sous serment… Et là, il n’y a plus de marketing. 😉

Une déclaration qui fait réagir

C’est dans un document juridique transmis au régulateur américain SEC que Microsoft a reconnu cette impossibilité de garantir une protection totale contre les demandes d’accès émanant des autorités américaines. Cela signifie concrètement que les données hébergées en France ou dans n’importe quel pays de l’Union européenne par Microsoft peuvent être réclamées par les États-Unis, même si ces données sont soumises à des législations locales comme le RGPD.

Ce constat remet en question les engagements de Microsoft autour de l’initiative « EU Data Boundary« , qui visait à rassurer les clients européens sur le fait que leurs données resteraient traitées exclusivement dans l’UE.

Source : Microsoft admits it ‘cannot guarantee’ data sovereignty

(Ads)

Le Cloud Act, un levier juridique puissant

Adopté en 2018, le Cloud Act (Clarifying Lawful Overseas Use of Data Act) impose aux entreprises américaines de collaborer avec les autorités judiciaires des États-Unis, même si les données concernées sont stockées hors du territoire américain. Microsoft, tout comme Google ou Amazon, est donc légalement tenu de transmettre des informations si une demande en bonne et due forme est émise.

Autrement dit, peu importe la localisation physique des serveurs, c’est la nationalité de l’entreprise qui détermine l’applicabilité du Cloud Act. Et cela pose un vrai problème de souveraineté pour les pays européens. 🧨

Quelles conséquences pour les entreprises françaises ?

Pour les organisations publiques comme privées, cette révélation soulève de nombreuses inquiétudes :

Risque juridique : comment garantir la conformité au RGPD si des données peuvent être transférées à une autorité étrangère sans que le client n’en soit averti ?
Données sensibles en danger : les secteurs manipulant des informations critiques (santé, défense, éducation, finances…) pourraient être contraints de revoir leur stratégie cloud.
Crédibilité de l’hébergement local : même si Microsoft dispose de data centers en France, cela ne protège pas contre le droit américain.

C’est un véritable casse-tête pour les DPO et les responsables de la sécurité des systèmes d’information, qui doivent désormais intégrer ce facteur de risque dans leurs analyses d’impact.

(Ads)

Vers un renouveau des clouds souverains ?

Initiative Microsoft Cloud for Sovereignty

Cette déclaration de Microsoft pourrait redonner un second souffle aux initiatives européennes de cloud souverain, comme Numspot, Bleu (piloté par Capgemini et Orange) ou encore les offres de Scaleway ou OVHcloud. Ces acteurs mettent en avant une gouvernance 100 % européenne et une immunité juridique face au droit extraterritorial américain.

C’est également une opportunité pour les projets liés à GAIA-X, qui visent à proposer un cadre technique et éthique pour des services cloud conformes aux standards européens.

Microsoft joue la carte de la transparence

Si cette annonce peut inquiéter, elle marque aussi un tournant dans la communication de Microsoft. L’éditeur semble avoir fait le choix de la transparence juridique, en reconnaissant les limites de sa capacité à résister à certaines injonctions gouvernementales. Un positionnement à contre-courant d’autres acteurs qui préfèrent rester flous sur le sujet. Cette honnêteté peut aussi servir de point de départ à de nouvelles discussions sur le chiffrement de bout en bout, le stockage local ou encore la fragmentation réglementaire du cloud mondial.

(Ads)

A lire également : Microsoft et le Sovereign Cloud : 5 Efforts pour l’Europe

Conclusion

En reconnaissant qu’il ne peut plus garantir la souveraineté des données hébergées dans son cloud, Microsoft met en lumière un enjeu stratégique majeur pour l’Europe : la maîtrise de ses données. Cette situation rappelle l’urgence de développer des alternatives souveraines crédibles et robustes, à l’heure où les usages du cloud explosent, et où les régulations peinent à suivre le rythme de la technologie.

Nous avons déjà eu l’occasion d’en parler car c’est un sujet que je trouve passionnant. Et même si j’apprécie particulièrement les produits et solutions Microsoft – il n’en reste pas moins que même dans un autre pays ; tant que c’est exploité / géré par Microsoft alors cela tombe sous le coup du Patriot Act. Donc à date et avec les solutions disponibles aujourd’hui, si la souveraineté est primordiale alors choisir un Cloud européen ou gardez votre datacenter on-premises sont les 2 options à préférer (même si malheureusement les fournisseurs européens ne sont malheureusement pas à la hauteur des solutions américaines – espérons que cela évolue).