EU Data Boundary est le nom de l’initiative en préparation depuis de longs mois chez Microsoft. Dans un billet de blog publié hier, la firme annonce son lancement au 1er janvier.
De quoi s’agit-il ? De la première phase d’un plan devant cantonner les données européennes au sein des frontières de l’Union. Les entreprises utilisant Azure, Power BI, Dynamics 365 ou Office 365 pourront alors traiter leurs données clients sur des serveurs locaux. Microsoft rappelle à ce sujet avoir construit 17 centres de données en Europe.
Dans le billet, la vice-présidente Julie Brill a déclaré : « Avec cette version, Microsoft étend ses engagements de stockage et de traitement locaux existants, réduisant considérablement les flux de données hors d'Europe et s'appuyant sur nos solutions de localisation des données ».
Durant les phases suivantes, le même protocole sera appliqué à d’autres catégories de données, notamment celles liées au support technique, aux connexions, puis plus ou moins tout le reste. Ce mécanisme se déploiera de manière très progressive, puisque la deuxième phase doit s’achever d’ici fin 2023, la troisième étant prévue pour 2024.
Ce lancement coïncide avec le début du processus d’approbation du cadre transatlantique de protection des données par la Commission européenne, qui prendra la relève du défunt Privacy Shield. L'association noyb de Max Schrems a largement expliqué ses doutes à ce sujet.
Il doit rassurer les entreprises, qui pourront répondre plus précisément aux questions portant sur la localisation des données, ainsi que les autorités européennes, qui apprécieront peut-être cette attitude. Mais Microsoft aura beau montrer patte blanche, son initiative n’invalide en rien le Cloud Act, qui reste valable : les données auront beau être stockées en Europe, Microsoft reste une entreprise américaine.
Sur ce point, la société s’engage à « contester toute demande gouvernementale de données personnelles d’un client du secteur public ou commercial de l’UE – quel que soit le gouvernement – lorsqu’il existe une base légale pour le faire », et à « fournir une compensation monétaire » aux utilisateurs touchés, si l’accès réclamé devait constituer une violation du RGPD.
Commentaires (13)
#1
et à « fournir une compensation monétaire » aux utilisateurs touchés, si l’accès réclamé devait constituer une violation du RGPD.
Alors ça c’est magique, ils admettent eux-mêmes que dans certains cas, ils pourraient ne pas respecter le RGPD
#1.1
Ça me semble surtout hors-sujet en regard de la réglementation européenne, centrée sur les droits de la personne et puisant sa source dans la charte des droits fondamentaux.
On voit ici poindre un bout de réglementation états-unienne, qui consiste à compenser monétairement une atteinte; car dans leur système légal, tout est ramené à une telle valorisation pour exister.
L’amende envisagée pour contraindre les entreprise n’existe que pour attaquer ces structures avec le seul langage qu’elles connaissent, et ainsi former une réelle contrepartie à une violation éventuelle. Le montant de l’amende éventuelle n’est pas destinée à être reversée à quiconque en compensation de quoi que ce soit : ça n’est tout simplement, encore une fois, pas la logique de cette régulation.
Je n’irais pas jusqu’à dire que Microsoft méconnait l’esprit de la réglementation européenne, mais effectivement, difficile d’y lire autre chose que le fait qu’ils soient prêts à ne pas la respecter car le numéraire ne leur manque pas…
#2
J’ai peut-être pas assez de caféine dans le sang, mais j’arrive pas à retrouver la source de ces propos dans les deux liens de l’article. Car ça me paraît un peu gros d’offrir une compensation financière pour une violation reconnue du RGPD.
#2.1
Après ton message, je viens de chercher et j’ai trouvé ça. Ça dit
Second, we will provide monetary compensation to these customers’ users if we disclose their data in response to a government request in violation of the EU’s General Data Protection Regulation (GDPR). This commitment also exceeds the EDPB’s recommendations. It shows Microsoft is confident that we will protect our public sector and enterprise customers’ data and not expose it to inappropriate disclosure.
que l’on peut traduire par
Deuxièmement, nous fournirons une compensation monétaire aux utilisateurs de ces clients si nous divulguons leurs données en réponse à une demande gouvernementale en violation du Règlement général sur la protection des données (RGPD) de l’UE. Cet engagement va également au-delà des recommandations de l’EDPB. Il montre que Microsoft est confiant dans sa capacité à protéger les données de ses clients du secteur public et des entreprises et à ne pas les exposer à une divulgation inappropriée.
Donc c’est complètement hallucinant que Microsoft écrive ça
#2.2
Pas si hallucinant que cela.
Ils disent en fait qu’ils sont confiants qu’ils n’arriveront pas jusqu’à la compensation financière. C’est probablement parce qu’ils comptent “contester toute demande gouvernementale de données personnelles” quand c’est possible.
Ils ont déjà montré qu’ils avaient la volonté de le faire quand la justice des USA a demandé l’accès aux e-mail d’un utilisateur (stockés en Irlande de mémoire).
À la lecture de la brève, j’avais des doutes sur cette idée de compensation financière, là avec tes citations, je comprends mieux : c’est une mesure qui ne devrait pas être mise en œuvre parce qu’ils feront tout pour ne pas divulguer les données personnelles.
#3
Comment ? Il suffirait d’avoir de l’argent pour ne pas être contraint par les loi ? Non…. ça se saurait, quand même.
#4
Effectivement ils s’y engagent “quand c’est possible”. Ce qui veut dire que ça ne le sera pas toujours. Et même quand ça le sera, contester ne signifie pas automatiquement avoir gain de cause. On est dans “l’obligation de moyen” (et encore), pas de résultat.
Si compensation il y a, je suis curieux en tout cas de connaître la valeur qu’ils attribuent aux données communiquées.
#5
Ce qui m’interpelle c’est le “mieux circonscrites à l’Europe” dans le titre.
Ça voudrait donc dire que ça ne sera toujours pas suffisant au 1er janvier ?
D’un autre côté, qui pourrait croire à l’octroi d’une circonscription totale des données d’une plateforme US (Microsoft) à une autre région géographique (l’Europe) ?
Il serait nécessaire que l’Europe investisse dans son autonomie numérique. Mais vu le nombre de fois que ce sujet a été évoqué sans la moindre prise de décision concrète, je pense qu’il va falloir se faire une raison.
“We’re all living in Amerika, Amerika ist wunderbar” comme le chantent certains (”Nous vivons tous en Amérique, l’Amérique est merveilleuse”).
#6
C’est indiqué dans le texte, c’est une initiative en plusieurs phases. Au 1er janvier, ce ne sera que la première.
#7
Bon, bah voila. Tout est dit.
Ce plan de protection des données est avant tout un plan de communication pour faire du “trust-washing”.
#8
Il fut un temps où respecter les lois d’un pays était nécessaire pour pouvoir s’y établir pour faire commerce… mais c’est devenu comme les freins sur les trottinettes, c’est seulement en option… y compris les jours où ça glisse quand les nuages américains pleurent… 😥
Mais ce ne serait pas si grave, en fait, car un gros paquet de billets verts suffira bien à éponger la route : comme le disait si bien Abraham Lincoln Jr. (le boxeur népalais) « les billets ont but, la trottinette passe »
#9
Le RGPD, c’est pas une obligation de résultat ? Si oui, la compensation financière, c’est juste pour s’éviter une grosse prune, voire une interdiction d’activité en Europe.
Et vu que coté USA, ils auront probablement interdiction de notifier l’accès à des données européennes, c’est sûr que la compensation financière ne sera effective que lors de fuites de données.
#10
Le droit états-unien est incompatible avec le droit européen concernant les données personnelles.
Ainsi, utiliser les produits ou services d’une société soumise à la réglementation états-unienne afin de traiter des données personnelles de citoyens européens rentre en violation directe du RGPD.
Il n’y a pas de “mieux” possible, qui n’est alors que propagande commerciale au bénéfice de l’entreprise citée.