Les engagements numériques européens de Microsoft

La relation de Microsoft avec ses clients repose sur la confiance. En ces temps d’incertitude géopolitique, nous souhaitons prouver à l’Europe que nous nous engageons à fournir une stabilité numérique. En s’appuyant sur une gamme solide d’offres de souveraineté de Microsoft, nous souhaitions montrer notre soutien indéfectible et notre leadership avec un ensemble de cinq engagements supplémentaires.

Les clients de Microsoft en Europe n’ont pas besoin de prendre de mesures particulières et peuvent profiter de l’ensemble complet des capacités disponibles dès maintenant dans nos régions cloud hébergées en Europe. L’engagement de résilience numérique de Microsoft est intégré dans des contrats avec les gouvernements nationaux européens et la Commission européenne pour rendre cet engagement juridiquement contraignant pour Microsoft Corporation et toutes ses filiales.

Microsoft dispose déjà de nombreuses capacités de souveraineté disponibles en Europe. Microsoft Cloud for Sovereignty est devenu généralement disponible en décembre 2023 pour toutes les régions Azure. Cela signifie que les clients gouvernementaux et réglementés en Europe (et dans le monde entier) peuvent désormais déployer Azure avec des fonctionnalités de souveraineté activées. De plus, la Limite de données de l’UE pour le Microsoft Cloud a été entièrement implémentée en février 2025. La Résidence avancée des données Microsoft 365 est déjà disponible en France, en Allemagne, en Italie, en Norvège, en Pologne, en Espagne, en Suisse, en Suède et au Royaume-Uni, avec de futurs emplacements locaux en Autriche, au Danemark et en Grèce. Nous continuerons à développer nos services cloud pour améliorer la transparence et le contrôle pour nos clients. Plus d’informations seront partagées à l’avenir.

Microsoft estime que la plupart des exigences de souveraineté de ses clients peuvent être satisfaites par nos offres de cloud public. Au fil du temps, nous avons construit un ensemble robuste de capacités de souveraineté dans Azure, comme la Limite de données de l’UE, le Microsoft Cloud for Sovereignty et l’Informatique confidentielle. Cette liste comprend désormais notre engagement à fournir à un ensemble de partenaires européens les droits d’utiliser notre code si nécessaire pour garantir la continuité opérationnelle. Bleu et Delos Cloud, en revanche, sont des exemples distincts des services cloud de Microsoft qui fonctionnent dans des centres de données cloud souverains gérés par des partenaires locaux indépendants en France et en Allemagne, en dehors du cloud public. Ils sont destinés à certains clients qui répondent à des critères d’éligibilité et qui doivent satisfaire des exigences nationales spécialisées, telles que fonctionner sous le contrôle des partenaires locaux et répondre aux exigences SecNumCloud de la France et aux exigences des plateformes clouds d’Allemagne.

L’an dernier, nous avons annoncé les principes d’accès à l’IA qui garantissent un accès ouvert à notre IA et à notre plateforme cloud pour un large éventail de modèles d’entreprise, à la fois open source et propriétaires, et nous continuerons à développer ces engagements au cours des prochains mois.

Microsoft fournit des garanties étendues de tiers grâce à des certifications de conformité et des audits indépendants. Les offres cloud commerciales de Microsoft disposent de l’un des portefeuilles de conformité les plus larges du secteur avec plus de 100 offres de conformité dans le monde, auditées par des tiers indépendants. Microsoft subit des évaluations régulières pour des normes telles que l’ISO/IEC 27001 (gestion de la sécurité de l’information), l’ISO/IEC 27017 (sécurité cloud), l’ISO/IEC 27018 (vie privée cloud), ainsi que des attestations SOC 1, SOC 2, SOC 3 par des auditeurs indépendants. En Europe, Azure a été certifié pour des schémas tels que le Cloud Computing Compliance Controls Catalogue (C5) en Allemagne et est conforme aux réglementations de l’UE (comme le RGPD, avec des rapports d’audit disponibles sur le centre de gestion de la confidentialité Microsoft). Microsoft publie des rapports d’audit et de documentation de conformité sur son portail d’approbation de services que les clients peuvent consulter. Ces audits de tiers vérifient que les contrôles d’Azure fonctionnent efficacement et que vous héritez d’une plateforme cloud sécurisée et conforme. 

 

La stratégie de résilience de bout en bout de Microsoft (avec une infrastructure mondiale inégalée, une architecture de service tolérante aux pannes et une planification robuste de la continuité des activités) permet aux clients de concevoir pour une haute disponibilité. Les organisations avec des charges de travail critiques bénéficient des garanties de fiabilité de Microsoft, telles que les Zones de disponibilité, les régions géo-redondantes et des plans de continuité rigoureusement testés, qui réduisent le risque de problèmes techniques. 

 

De plus, pour faire face au risque de perturbation des services en raison de problèmes géopolitiques, Microsoft met en place des partenaires européens désignés avec des arrangements de contingence pour la continuité opérationnelle dans le cas peu probable où Microsoft serait un jour contraint par un tribunal de suspendre ses services. Nous sommes impatients de partager plus d’informations à ce sujet à l’avenir.

Cette annonce est axée sur nos investissements en Europe. Nous continuerons à investir pour répondre aux besoins de nos clients dans le monde et à effectuer des investissements spécifiques à la région et au pays si nécessaire. Microsoft s’engage à respecter toutes les lois et réglementations applicables sur les marchés où nous opérons.

Vous conservez la propriété et le contrôle de vos de données à tout moment. Microsoft accède à votre contenu uniquement pour fournir les services que vous choisissez, conformément à vos accords. Nous ne collectons pas de données à des fins de marketing ou de publicité, ni ne les partageons avec des annonceurs tiers. Les services d’IA générative de Microsoft n’utiliseront pas les données clients pour entraîner un modèle de fondation d’IA générative, sauf conformément aux instructions documentées d’un client. Vous contrôlez le stockage, l’accès, la classification et la suppression de votre contenu. Ces principes sont pris en charge par les contrats de Microsoft et la conformité aux normes de confidentialité telles que ISO/IEC 27018. 

Vous décidez où votre contenu client est stocké en sélectionnant la région géographique pour vos services. Par exemple, Azure dispose d’une infrastructure mondiale avec plus de régions que tout autre fournisseur (plus de 60 dans le monde, dont de nombreuses en Europe), ce qui vous donne de la flexibilité dans le choix de l’emplacement des données. Résidence des données dans AzureMicrosoft ne stockera ou ne traitera pas vos données en dehors de la région ou des géographiques que vous spécifiez sans votre autorisation. Le contenu d’utilisateur reste dans la région ou la zone géographique Azure choisie à moins que vous n’activiez explicitement la réplication vers d’autres emplacements pour la résilience ou que cela ne soit nécessaire pour se conformer à la loi. Par exemple, si vous choisissez une région Azure dans l’UE, Microsoft conservera vos données dans cette région. Pour Microsoft 365, les clients éligibles ont la possibilité de choisir où leurs données sont situées via l’option d’abonnement Résidence avancée des données Microsoft 365. 

Microsoft Azure utilise des algorithmes cryptographiques robustes conformes aux normes de l’industrie, très similaires à ceux d’AWS. Pour les données au repos, Azure utilise le chiffrement AES 256 bits pour toutes les données client stockées dans le cloud. AES-256, l’un des plus puissants algorithmes de chiffrement par blocs, est utilisé dans des services tels qu’Azure Storage, SQL Database, Azure Key Vault, etc., et respecte les normes de chiffrement FIPS 140-2. Pour les données en transit, Microsoft utilise les derniers protocoles TLS (Transport Layer Security). Azure Front Door prend en charge TLS 1.2 (et TLS 1.3) pour les communications, à l’aide de suites de chiffrement robustes, garantissant ainsi le chiffrement des données en transit avec un chiffrement symétrique d’au moins 256 bits et un échange de clés moderne.

Microsoft propose des options robustes pour gérer et protéger les clés de chiffrement dans Azure. Par défaut, tous les services Azure utilisent un chiffrement fort et des clés gérées par Microsoft pour protéger les données des clients au repos. Toutefois, les clients qui ont besoin de davantage de contrôle ont plusieurs choix : vous pouvez utiliser des clés gérées par le client stockées dans Azure Key Vault pour des services tels que Stockage Azure, Azure SQL, Azure Cosmos DB, et autres, ce qui vous permet de contrôler les stratégies de rotation et d’accès pour vos clés. Vous pouvez également opter pour Azure Key Vault Managed HSM, qui vous offre des modules de sécurité matériels dédiés (validés FIPS 140-2 Level 3) pour stocker des clés que vous contrôlez entièrement. De plus, Azure prend en charge les scénarios de clé BYOK (Bring Your Own Key) et de clés fournies par le client, vous permettant de générer des clés sur site ou dans un HSM tiers et de les utiliser dans le cloud. 

Non. Le cloud de Microsoft est conçu pour empêcher l’accès au contenu des clients par le personnel de Microsoft sans autorisation du client. Par défaut, les ingénieurs de Microsoft n’ont pas d’accès permanent aux données des clients. Ils ne disposent pas de privilèges administratifs permanents pour consulter votre contenu. Si le personnel de Microsoft doit un jour accéder au contenu des clients pour résoudre un problème, il doit passer par un processus rigoureux de demande d’accès Juste-à-temps qui nécessite l’approbation du client (pour certains services via Customer Lockbox) ou l’approbation managériale, et tout accès est limité dans le temps et entièrement enregistré et audité. Ces contrôles sont régulièrement audités (par exemple, dans le cadre de la certification SOC 2 et d’autres certifications) pour garantir la conformité de Microsoft.

 

Pour plus d’informations sur les demandes de données client et les principes de Microsoft pour la défense des données client, y compris des FAQ supplémentaires, consultez : Rapport des demandes gouvernementales pour les données client | Microsoft CSR.

Microsoft vous aide à répondre aux exigences de protection des données grâce à une infrastructure cloud conçue de manière sécurisée et à des services de sécurité intégrés étendus. Les centres de données et l’architecture réseau d’Azure sont conçus pour satisfaire les besoins des organisations les plus sensibles à la sécurité. Microsoft emploie des contrôles de sécurité multicouches et des principes de Confiance zéro, et propose Azure Confidential Computing pour protéger les données en cours d’utilisation (de sorte que les opérateurs cloud ne puissent pas accéder à vos données pendant le traitement). De plus, Microsoft fournit une large gamme d’outils de sécurité (plus de 200 fonctionnalités de sécurité, de conformité et de gouvernance) pour protéger les applications et les données. Par exemple, toutes les données sont chiffrées au repos et en transit par défaut, et Microsoft surveille en permanence les menaces, s’appuyant sur plus de 65 trillions de signaux de sécurité quotidiens pour détecter et répondre rapidement aux risques émergents. Le Portefeuille de conformité de MicrosoftPortefeuille de conformité Microsoft (avec plus de 100 certifications) et des pratiques de sécurité robustes aident les clients à respecter les obligations réglementaires et de protection des données dans le cloud Microsoft.

Microsoft fournit des conseils d’infrastructure architecturale sur la conception de scénarios multicloud et de portabilité. Microsoft Azure est hautement compatible avec les technologies open-source, donc concevoir votre application avec des composants portables est très simple. Par exemple, vous pouvez utiliser la conteneurisation et l’orchestration via Azure Kubernetes Service (AKS), ou utiliser des bases de données comme PostgreSQL/MySQL sur Azure qui peuvent être migrées car elles utilisent des moteurs standards. Il est recommandé d’utiliser des modèles Infrastructure-as-Code (IaC) (modèles Azure Resource Manager ou Terraform) pour définir votre environnement de manière portable. Azure s’intègre également avec des outils CI/CD comme GitHub qui fonctionnent sur plusieurs clouds. Des services multi-cloud et hybrides tels qu’Azure Arc et Azure Local peuvent vous aider à déployer des services Azure sur site ou dans d’autres clouds, garantissant la cohérence et rendant les charges de travail portables.

Oui. Microsoft prend en charge le transfert ou la copie de vos données hors des services cloud Microsoft vers des destinations externes. Microsoft n’impose aucune restriction technique sur le déplacement de vos données hors de son cloud. À tout moment, vous pouvez récupérer toutes vos données clients d’Azure, y compris les données liées aux services Microsoft comme Microsoft 365, par le biais de mécanismes standards. Azure propose des fonctionnalités telles que des services d’exportation de données, l’Azure Data Box (pour les migrations de données à l’échelle pétaoctet via du matériel expédié) et des options de réseau à haute vitesse (par exemple, Azure ExpressRoute ou VPN) pour aider à migrer des données vers d’autres environnements. Microsoft ne requiert pas non plus de préavis long ou d’autorisations spéciales pour récupérer vos données. Vous pouvez lancer des transferts à la demande et Microsoft propose une sortie gratuite des données localement ou vers un autre fournisseur de cloud. De plus, Microsoft dispose d’engagements contractuels garantissant que les clients peuvent extraire leurs données et qu’elles seront supprimées du cloud de Microsoft après leur départ (conformément aux accords de protection des données).