Cloud
Microsoft finalise sa solution EU Data Boundary quitte à faire de l’ombre à Bleu…
Par Laurent Delattre, publié le 27 février 2025
Avec EU Data Boundary, Microsoft implémente des frontières européennes au sein de son Cloud. L’adhésion à l’offre assure les entreprises européennes que données et traitements resteront au sein de l’Union Européenne et que les opérations de maintenance seront réalisées par du personnel européen.
Microsoft vient d’annoncer l’achèvement de sa solution “EU Data Boundary” avec le déploiement de la Phase 3, marquant la fin d’un projet d’ingénierie massif qui aura duré plusieurs années. Annoncée initialement en 2021, cette nouvelle solution garantit aux clients européens que les données sont exclusivement stockées et traitées au sein de l’Union Européenne que se soit pour les services Azure comme pour les services Microsoft 365, Power Platform et Dynamics 365. Techniquement, elle revient à confiner le stockage et le traitement des données clients à l’intérieur de l’Union européenne.
Cette phase 3 clôt un projet démarré il y a plus de deux ans avec une première phase terminée en janvier 2023 (Mise en place du stockage et traitement des données clients pour les services principaux) et une seconde phase clôturée en janvier 2024 (pseudonymisation des données personnelles pour empêcher l’identification directe). Avec la phase 3, Microsoft complète ses frontières en s’assurant que les données techniques des services de support, y compris les journaux partagés et les notes de support technique, sont désormais stockées dans les régions cloud de l’UE. Autrement dit, à l’issue de cette phase finale, toutes les données clients des services cloud majeurs de Microsoft (y compris celles générées par le support) sont contenues géographiquement dans l’UE.
Une réponse limitée aux exigences réglementaires européennes
Cette initiative vise à répondre aux préoccupations croissantes en matière de souveraineté numérique dans l’UE. Microsoft cherche à démontrer qu’un cloud global peut adapter son fonctionnement pour respecter les exigences locales en Europe, étape que l’éditeur qualifie lui-même d’« importante dans le développement d’un numérique de confiance ». Julie Brill, Vice-présidente et Responsable de la confidentialité, et Paul Lorimer, Vice-président de Microsoft 365, soulignent l’engagement de l’entreprise dans un billet de blog : « Nous croyons que la technologie cloud peut être innovante, sécurisée et conçue pour honorer les valeurs européennes ».
Ce projet d’envergure, qui a mobilisé des centaines d’équipes et des milliers de développeurs à travers le monde, couvre 31 pays (tous les membres de l’UE plus la Suisse, la Norvège, l’Islande et le Liechtenstein).
Mais ce n’est pas la seule initiative dans ce sens chez Microsoft qui propose également des contrôles de géolocalisation des données pour Microsoft 365 et un “Microsoft Cloud for Sovereignty”, sans oublier son partenariat avec Bleu.
L’initiative de Microsoft est loin d’être unique et originale. Depuis 2023, AWS travaille sur son AWS European Sovereign Cloud, un cloud AWS « indépendant » (donc isolé du cloud global), conçu pour l’Europe, hébergé en Europe et opéré exclusivement par des techniciens européens.
En octobre 2022, Google Cloud avait été l’un des premiers à réagir avec son initiative « Cloud. On Europe’s Terms » et l’introduction des « contrôles locaux » et « contrôles souverains » qui permettent une sélection régionale stricte, la gestion des clés de chiffrement par un tiers (Thalès), et l’approbation obligatoire du client pour tout accès administratif par le support Google.
De son côté, Oracle a également annoncé en début d’année l’ouverture officielle de son « EU Sovereign Cloud », un double du cloud OCI, isolé de ce dernier et composé de deux nouvelles régions cloud (datacenters à Francfort et Madrid) qui sont séparées logiquement et physiquement du cloud commercial mondial d’Oracle. Oracle y propose la majeure partie de son catalogue Oracle Cloud Infrastructure (OCI) – y compris sa suite d’applications Fusion Cloud – avec les mêmes performances et au même tarif que ses services standards.
Toutes ces solutions améliorent la souveraineté des données des clients européens en garantissant une localisation strictement européenne et donc une conformité forte au RGPD. Cependant, ces solutions restent de nature contractuelle et opérationnelle, sans changer le statut juridique des hyperscalers. La souveraineté “juridique” n’est pas acquise : en théorie, une autorité américaine pourrait toujours requérir l’accès à des données auprès de Microsoft, Google, AWS, même si ces données résident dans l’UE.
En réalité, toutes ces offres sont plutôt alignées sur la tendance « molle » actuelle de l’EUCS et ne répondent pas au SecNumCloud français imposé aux administrations, OIV et OSE pour tous leurs traitements sensibles.
On comprend pourquoi les géants américains du cloud font aujourd’hui un tel lobbying aujourd’hui pour que l’EUCS n’intègre pas les critères de souveraineté stricts du SecNumCloud (dans son niveau EUCS High).
Reste que la multiplication de ces offres « EU Souveraines » chez les hyperscalers jette un froid sur les prétentions européennes de S3NSE (le cloud souverain monté par Thales en association avec Google) et de Bleu (le cloud souverain d’Orange/Capgemini en associations avec Microsoft).
Certes, ces clouds sont toujours pertinents en France, pour autant qu’ils réussissent effectivement à démontrer leur imperméabilité aux lois extraterritoriales, comme le Cloud Act américain, et à obtenir le Graal SecNumCloud. Mais ils perdent de leur intérêt à l’échelle de l’EU face à des offres officielles souveraines (Microsoft EU Data Boundary, Oracle EU Sovereign Cloud, AWS European Sovereign Cloud, Google Cloud Sovereign Controls) qui cherchent à conquérir ou garder les clients du secteur public et des industries régulées en leur apportant un niveau de souveraineté que bien des pays européens, France exceptée, jugent aujourd’hui suffisant.
À LIRE AUSSI :
À LIRE AUSSI :
