En janvier 2021, Microsoft annonçait son projet « EU Data Boundary« . Ce chantier devait assurer que les données des utilisateurs européens de ses services basés dans le cloud soient localisées et traitées au sein des frontières de l’Union Européenne.
Deux ans après cette annonce initiale, Microsoft assure avoir apporté la touche finale à ce projet. Microsoft mentionne que les données de support technique sont effectivement pseudonymisées et traitées dans des installations basées en Europe.
Le plan a été déployé en plusieurs étapes. La première visait à couvrir les données clients. Puis à partir de 2024 ce sont les données techniques de type « logs » produits automatiquement par l’utilisation des services de Microsoft qui ont été concernées.
Cette possibilité est ouverte aux clients des principales offres Microsoft, à savoir Microsoft 365, Dynamics 365, Power Platform, et la plupart des services Azure. Les clients de ces solutions peuvent donc avoir la garantie que les données traitées par ces différentes applications et services restent localisées dans des centre de données basées dans un pays de l’Union européenne ou au sein d’un pays membre de l’association européenne de libre échange. C’est le cas de la Suisse, du Liechtenstein de la Norvège ou encore de l’Islande.
Des trous dans la raquette
Reste que de nombreuses exceptions viennent nuancer les affirmations de Microsoft. Dans de nombreux cas de figure, les données des utilisateurs pourront être transférées en dehors de cette zone européenne relève Silicon. Ainsi, de nombreux services à l’instar de Teams, Exchange Online ou Azure Monitor doivent encore faire l’objet d’adaptations ou d’évolutions pour s’assurer qu’aucune données n’est transférée en dehors de l’espace européen.
Certains services sont d’ailleurs par nature exclus de cette initiative. Il s’agit de Microsoft Fabric ou encore de Azure Databrics. Enfin, certaines opérations de maintenance et de support informatique nécessitant l’intervention à distance de techniciens basés aux États-Unis pourront également donner lieu à des transferts en dehors de l’UE. C’est aussi le cas de certains traitements de données en lien avec des problématiques de cybersécurité.
Autant d’exceptions qui ont valu de nombreuses critiques de la part des spécialistes de la vie privée. Ils estiment que les ambitions affichées par Microsoft ne permettraient pas de protéger effectivement les données des clients européens du risque de transfert vers les infrastructures US. Outre ces nombreuses exceptions, le projet a également connu des retards. Il devait à l’origine s’achever en 2022, avant un lancement finalement acté pour le début d’année 2022. Et un déploiement complet en fin d’année 2024.