Depuis la mise en place du Patriot Act après les attentats terroristes en 2001, le gouvernement américain peut consulter toutes les données informatiques stockées sur son territoire. Une situation qui inquiète les entreprises ayant recours aux géants du web pour la préservation de leurs données sensibles (données à caractère personnel, données secrètes…).
En effet, en confiant des données à des prestataires américains, les sociétés françaises se retrouvent concernées par l’« extraterritorialité du droit américain ». Pour conforter ses clients français, Microsoft Azure garantit la confidentialité et la protection des données de toutes les entreprises ayant recours à ses services. Innovsi fait le point.
1- Protection des données : Des data center implantés à Marseille et Paris
Depuis 2018, l’éditeur propose notamment les services Microsoft Azure à partir des centres de données implantés dans l’Hexagone à Paris et à Marseille. « Ce nouveau Cloud de Microsoft en France offre les mêmes standards élevés de performance et de fiabilité de niveau entreprise que les clients attendent partout dans le monde, combinés à la localisation des données sur le sol français afin de faciliter la transformation digitale des entreprises et des organisations en France » explique Vahé Torossian, à l’époque Président de Microsoft France remplacé depuis septembre 2017 par l’Italien Carlos Puranssata.
Officiellement en ligne depuis mars 2018, la zone France de Microsoft Azure a déjà accueilli 10 000 clients sur ses 4 datacenters. Des chiffres qui montrent l’engouement des entreprises, petites et grandes, pour cette plateforme sollicitée pour sa réduction des temps de latence et son souci de souveraineté des données.
2- Protection des données : des exigences strictes
Afin d’ assurer la sécurité des données de ses clients, Microsoft tient à jour un réseau en évolution constante de ses data centers situés dans le monde entier, et vérifie que chacun respecte des exigences de sécurité strictes.
- Microsoft offre à ses clients, dans le cadre de ses services Enterprise Cloud, des clauses contractuelles standards pour l’UE qui fournissent des garanties contractuelles supplémentaires concernant les transferts de données personnelles pour des services cloud dans le périmètre.
- L’éditeur est certifié vis-à-vis du bouclier de protection des données UE-États-Unis par le Département du commerce des États-Unis d’Amérique en termes de collecte, d’utilisation et de rétention des informations personnelles transférées de l’Union européenne vers les États-Unis.
- Cette participation de Microsoft dans le bouclier de protection s’applique à l’ensemble des données personnelles concernées par la Déclaration de confidentialité de Microsoft et provenant de l’Union européenne, de l’Espace économique européen et de la Suisse.
- Microsoft assure ne jamais transmettre à aucun tiers (même à des fins de stockage) les données que vous lui fournissez dans le cadre de l’utilisation des services Enterprise Cloud.
3- Protection des données : de multiples certifications notamment dans le domaine de la santé
Un professionnalisme qui a valu à Microsoft plusieurs certifications. Dernière en date : une certification Hébergeur de données de santé qui permettra aux professionnels de santé de bénéficier de la puissance du Cloud Microsoft et de la mettre au service de parcours de santé.
Pour Bernard Ourghanlian, Directeur Technique et Sécurité de Microsoft France, « cette certification valide le très haut niveau de sécurité et de protection que L’éditeur est en mesure de proposer (…) depuis ses data centers français ». Et de conclure : « Ces derniers vont ainsi pouvoir s’appuyer sur le Cloud Microsoft pour déployer les applications et les services de santé de demain dans le respect de la réglementation en vigueur en matière de protection des données et de respect de la vie privée. »
4- Protection des données : la défense du respect de la confidentialité
Depuis six ans, Microsoft se bat contre le gouvernement américain pour la protection des données de ses clients. En 2013, l’éditeur avait refusé de répondre favorablement à la demande de saisie de contenu des messageries électroniques d’un client irlandais soupçonné dans une affaire de trafic de drogue.
Ses données étant stockées en Irlande, Microsoft avait fait valoir le principe de territorialité, selon lequel l’hébergement de données à l’étranger est soumis au droit national où est situé le datacenter (irlandais en l’occurrence). L’affaire avait alors été portée jusqu’à la Cour suprême qui avait renoncé en avril 2018 à décider si Microsoft pouvait être contraint à remettre les données de son client, en raison d’une loi votée au Congrès… le CLOUD Act, promulgué en mars 2018, qui consacre le principe de l’extraterritorialité des données.
Le CLOUD Act permet :
- Aux autorités américaines, de se procurer les données contrôlées par toute entreprise établie aux États-Unis, notamment celles stockées hors du territoire américain.
- Aux autorités étrangères de contraindre directement les entreprises américaines à leur fournir des données dès lors que leur pays d’origine a conclu un Executive Agreement avec les États-Unis.
Dans un premier temps Microsoft avait approuvé la mise en place du CLOUD Act car celui-ci s’accompagnait de garde-fous, -notamment de la faculté d’opposition aux demandes de divulgation-, et posait les bases d’éventuels accords entre les gouvernements (les « Executive agreements »).
Mais face aux inquiétudes de ses clients, la firme Redmond demande que soit respecté six principes de base pour le respect de la confidentialité des données et des personnes, dans le cadre de la promulgation de lois et d’accords. A savoir :
- Le droit pour les utilisateurs à être prévenus quand un gouvernement accède à leurs données, les opérateurs de Cloud devant avoir de leur côté le droit de les en avertir.
- Les demandes d’accès des forces judiciaires aux données doivent être examinées et approuvées par une autorité judiciaire indépendante.
- Les opérateurs de services Cloud doivent être informés de façon complète sur le processus d’accès aux données et disposer de moyens de s’opposer à des demandes inappropriées de données sur les utilisateurs pour protéger les droits de la personne.
- Les accords internationaux doivent éviter les conflits de droit avec les pays tiers et inclure des dispositifs pour résoudre les conflits au cas où ils surviendraient.
- Les entreprises ont le droit de contrôler leurs données et devraient recevoir directement les requêtes des autorités judiciaires.
- Le public a le droit de savoir comment et quand les États cherchent à accéder à des preuves numériques et sur les protections qui s’appliquent à leurs données.
Lors d’une interview réalisée par le MAG IT, Microsoft France a réaffirmé qu’il continuerait « d’aller en justice pour défendre les droits de nos clients lorsqu’ils sont violés par le gouvernement américain selon leur droit local ».
Comment externaliser votre Service Informatique
Vous souhaitez plus d'informations ?
Des conseils ? Ou nous rejoindre ?