Pour les clients européens, les offres cloud public de Microsoft sont basées sur des datacenters installés à Dublin et Amsterdam.
Microsoft France, la localisation des données n’en garantit pas la souveraineté
Les utilisateurs Office 365 par exemple, voient donc leurs données sortir du territoire. Mais pour Marc Gardette, Directeur Stratégie Cloud chez Microsoft France, la souveraineté des données dépasse la simple question de la localisation.
IT Pro Magazine, quelle est la vision de Microsoft sur la notion de souveraineté des données ?
Marc Gardette : Il peut y avoir plusieurs définitions de la souveraineté. Si vous prenez la définition du marché français, la souveraineté serait liée à la localisation des données sur le territoire français. Nous n’avons pas tout à fait cette vision. C’est la donnée du client qui doit être souveraine et non le cloud. Ce n’est pas parce que le cloud est localisé en France que le client a des garanties de souveraineté et qu’il peut être certain de l’utilisation faite de ses données. Cela ne suffit pas.
Pour un client, les données souveraines, c’est la transparence et les engagements du fournisseur de service. Chez Microsoft, on parle d’innovation responsable. Cette responsabilité n’est pas un argument marketing, c’est presque un impératif business. L’adoption du cloud, que ce soit dans le grand public ou dans le business ne pourra se faire sans confiance. Les révélations autour de Snowden ont créé beaucoup de doutes. Microsoft en a profité pour réaffirmer clairement les principes.
Quels sont ces principes et en quoi peuvent-ils rassurer les entreprises ?
Le G29 (groupe de travail rassemblant l’ensemble des CNIL européennes, ndlr) a édité une série de meilleures pratiques en termes de protection de la vie privée. Nous avons transposé noir sur blanc ces recommandations dans les clauses de nos contrats Entreprise. Nous sommes transparents sur la localisation des données : les datacenters européens de Microsoft sont à Dublin et Amsterdam. Nous sommes transparents sur la finalité du service : nous n’exploitons pas les données pour autre chose que ce pour quoi elles nous ont été confiées. Si c’est pour un service de messagerie, nous allons gérer vos e-mails et non les scanner pour en extraire des données susceptibles d’être vendues à des fins publicitaires. Nous sommes transparents sur la réversibilité : les clients ont 90 jours après la fin de leur engagement pour rapatrier leurs données et nous nous engageons à les détruire ensuite.
Une procédure est en cours aux États-Unis pour obliger Microsoft à remettre à la Justice des données hébergées sur le datacenter de Dublin. La société peut-elle se soustraire à cette requête ?
Un fait tout d’abord : nous ne donnons pas d’accès ouvert à nos datacenters. Nous pouvons être amenés à répondre à des demandes judiciaires. Mais si une requête est formulée pour révéler une donnée client, il faut que ce soit via une démarche judiciaire valide. Nous vérifions alors que la demande est légale et faisons tout notre possible pour avertir le client concerné. Ce qu’il se passe actuellement aux États-Unis va justement à l’encontre de ces principes. La Justice américaine veut nous empêcher de prévenir le client et nous forcer à fournir certaines données stockées à Dublin.
Dans la vie « réelle », un juge américain n’a pas le droit d’ordonner une perquisition dans un appartement à Paris. Il doit contacter un juge français et faire jouer une entente judiciaire. De la même façon, dans la vie digitale il n’a pas le droit de faire une perquisition dans un datacenter en dehors des ÉtatsUnis. Il faut, là encore, utiliser une procédure qui existe d’entraide judiciaire et passer par un juge européen. C’est ce nous voulons faire reconnaître et nous sommes prêts à aller jusqu’à la Cour Suprême pour cela. Nous souhaitons que cette situation permette de clarifier le flou juridique.
Il n’y a donc à ce jour pas de datacenter Microsoft en France. Est-ce que cela vous fait perdre des clients ?
Nous apportons plus de garanties que certains datacenters localisés en France mais qui ne sont pas certifiés, qui ne respectent pas les meilleures pratiques du G29 et qui ne peuvent pas prouver leurs engagements dans un contrat clair. Dans ce cadre, en quoi le fait d’être localisé en France va garantir une quelconque forme de souveraineté ?
Nous pouvons effectivement perdre des contrats Office 365 pour cette raison mais nous avons la chance de ne pas vivre que du cloud public. Cela fait des années, bien avant 0ffice 365, que des partenaires proposent des solutions Exchange hébergées. Un client qui est intéressé par la productivité d’Office 365 mais qui ne veut pas aller dans le cloud public, peut déployer une offre A3C d’Atos, peut mettre ses boîtes aux lettres chez OVH ou son Lync chez Orange. Il peut aussi, comme l’a fait EDF, construire un cloud privé et déployer la solution directement chez lui.
Quelqu’un qui ne veut pas aller chez Google n’aura pas de solutions Google chez lui. À l’inverse, quelqu’un qui ne veut pas aller sur Office 365 pourra quand même avoir de l’Exchange chez lui ou chez un partenaire. C’est notre stratégie cloud hybride.
Comprenez-vous que l’État français finance deux opérateurs de cloud souverain ?
C’est déjà une singularité française d’en avoir deux qui font la même chose… Mais ce qui est plus intéressant c’est d’aborder la question de la valeur. Microsoft a investi un milliard de dollars pour créer un des plus gros datacenters des États-Unis et cela va faire travailler 100 personnes. Il ne faut donc pas se tromper de débat. L’emploi et la valeur ne sont pas dans la création d’un datacenter mais dans la conception de solutions qui vont exploiter le datacenter.
Il y a déjà des offres, comme celles d’Ikoula, qui se portent bien. Donc il ne faut pas plus de datacenters, il faut plus d’acteurs qui innovent. Des sociétés comme Cegid ou Sage, exploitent le cloud computing et amènent de la valeur, peu importe que le datacenter soit en France ou à Dublin. Talentsoft est un ISV français qui génère un important chiffre d’affaires, qui se développe en France et qui est hébergé chez Microsoft à Dublin. Quelle importance ? Il crée de la valeur.
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.