Quels sont les services concernés par l'engagement de Microsoft?

Cet engagement concerne les services de "cloud" fournis aux entreprises et services publics européens et leur donnant accès à des capacités informatiques en ligne: par exemple Azure qui permet aux entreprises de se passer de serveurs physiques en utilisant via internet ceux de Microsoft, ou Office 365 qui leur donne accès en ligne à des logiciels de bureautique comme Word ou Excel, de courrier électronique comme Outlook, de partage de documents...

Les nouveaux engagements ne concernent pas en revanche ces services quand ils sont vendus directement aux particuliers.

En pleine explosion, les services de cloud permettent de recourir à des ressources informatiques massives sans avoir à les détenir soi-même. Plus besoin d'entretenir de coûteuses infrastructures: les entreprises et les services publics peuvent se reposer sur les énormes centres de données d'Amazon Web Services, Microsoft Azure, Google Cloud, Oracle, Salesforce, pour faire tourner leurs applications à la demande.

L'engagement de Microsoft porte sur le stockage et sur le traitement des données. "Nous n'aurons pas besoin de faire sortir vos données de l'UE", a résumé Brad Smith, le responsable des questions juridiques du géant américain.

Pourquoi la localisation des serveurs est-elle importante?

Les Européens veulent garder la maîtrise de leurs données, considérées comme l'or noir de l'économie numérique parce qu'elles peuvent être utilisées pour créer de nouveaux services et produits, faire de la recherche, cibler de la publicité ou encore assurer des missions de sécurité publique.

Ils s'inquiètent de voir cette ressource fondamentale traitée dans des centres de données situés aux Etats-Unis, qui se sont dotés de tout un arsenal de lois leur permettant de contraindre leurs entreprises à fournir aux services de renseignements les informations dont elles ont la charge.

Le 16 juillet 2020, la Cour de justice de l'Union européenne a traduit cette inquiétude en invalidant l'accord UE/USA dit "Privacy Shield" encadrant le transfert de données de part et d'autre de l'Atlantique. La Cour avait estimé que les données des Européens n'étaient pas suffisamment protégées contre les ingérences des services de sécurité américains, qui peuvent y accéder sans être soumis à aucun contrôle ni recours.

Les Etats-Unis et l'Union européenne sont en train de négocier pour remédier à la grande incertitude juridique créée par l'invalidation de l'accord.

Quel exemple concret pour cette problématique de la souveraineté des données?

En France, le gouvernement a choisi de confier à Microsoft la constitution du Health Data Hub, un gigantesque entrepôt de données de santé des Français qui pourra notamment être utilisé par des scientifiques à des fins de recherche médicale.

La décision avait été justifiée par le gouvernement pour des raisons d'efficacité, Microsoft bénéficiant d'un savoir-faire incontesté en matière de traitement des données. Mais la décision est très critiquée, particulièrement en raison du risque d'intrusion des autorités américaines dans ces données.

Le secrétaire d'Etat au numérique, Cédric O, a indiqué en octobre que le gouvernement "travaillait" à une solution pour transférer le Health Data Hub "sur des plateformes françaises ou européennes".

Les promesses de Microsoft suffiront-elles à apaiser les craintes des Européens?

Vraisemblablement non, en raison de l'extra-territorialité de certaines dispositions législatives américaines.

Par exemple, le Cloud Act, voté en 2018, permet à des juges américains d'ordonner l'accès aux données détenues par les opérateurs américains, même si ces données se trouvent sur des serveurs en dehors des Etats-Unis.

La question de la juridiction des données, c'est-à-dire de savoir à quel droit elles sont soumises, est au coeur de nombreuses réflexions en Europe.

"Il faut assumer le fait que pour les systèmes les plus critiques, seul le droit européen doit pouvoir s'appliquer", estimait jeudi matin devant une commission sénatoriale Guillaume Poupard, le directeur général de l'agence gardienne de la sécurité informatique en France (Anssi). "On joue quelque chose de très fort au niveau politique sur cette question de souveraineté européenne", a-t-il ajouté, tout en reconnaissant qu'il n'y avait "pas de consensus" encore au sein des Etats membres de l'UE sur cette question.

Par Laurent BARTHELEMY