Le Cloud de Microsoft obtient le blanc-seing des CNIL européennes

Windows Azure

C’est une première. Un grand fournisseur de Cloud américain, Microsoft, obtient l’approbation des CNIL d’Europe. Un passeport qui permettra aux entreprises de déplacer leurs données librement au sein du Cloud du premier éditeur mondial.

Les services Cloud de Microsoft, à savoir Azure, Office 365, Dynamics CRM et Intune, sont conformes aux exigences européennes en matière de respect de la vie privée, selon le groupement des autorités européennes de protection des données. « Microsoft est la première – et pour l’instant la seule – entreprise à avoir reçu cette approbation », se réjouit Brad Smith, le directeur juridique de Microsoft, dans un billet de blog. Dans une lettre signée d’Isabelle Falque-Pierrotin – la présidente de la CNIL française -, l’Europe explique à Microsoft que la nouvelle version de ses conditions générales – ce qui laisse supposer que Redmond a dû y apporter des aménagements – est en ligne avec ses attentes.

Pour une entreprise, ce blanc-seing accordé par les CNIL européennes se traduit par la possibilité de déplacer librement les données hors d’Europe au sein du Cloud de Microsoft. « Cette approbation est particulièrement significative étant donné le haut niveau de protection de la vie privée qu’instaure la directive européenne sur les données personnelles », écrit Brad Smith.

Valable pour tous les datacenters de Microsoft

Et le directeur juridique du premier éditeur mondial d’énumérer les 3 bénéfices clefs pour les entreprises clientes d’Azure ou de Office 365. Primo, elles n’ont pas à redouter une suspension de l’accord Safe Harbor, qui autorise les transferts de données depuis l’Europe vers les Etats-Unis après certification des entreprises concernées. Rappelons que, suite aux révélations d’Edward Snowden sur les programmes d’espionnage de la NSA, le Parlement européen a menacé de suspendre cet accord. Secundo, Brad Smith explique que l’approbation que vient d’obtenir Microsoft ne se limite pas aux transferts depuis l’Europe vers les Etats-Unis, mais s’étend à tous les datacenters de la firme (par exemple en Asie). Tertio, Microsoft va aussi devoir conserver cet agrément, donc maintenir les mesures déployées « afin d’assurer que nous sommes en conformité tant techniquement que sur le plan opérationnel avec les obligations très strictes de nos engagements contractuels ».

Microsoft explique que les entreprises devront signer un addendum à leur contrat afin de bénéficier de la couverture juridique provenant de l’approbation des CNIL européennes. Un processus qui démarrera le 1er juillet et qui restera « simple », promet Redmond.

Pour Microsoft, cette bonne note obtenue à Bruxelles apparaît comme une bonne nouvelle à l’heure où les fournisseurs américains de services Cloud font face à la suspicion des DSI en raison de leur implication supposée dans les écoutes de la NSA. Par ailleurs, le grand rival de Redmond, Google, affronte lui le courroux des CNIL européennes (le G29, qui fédère les autorités de protection de la vie privée des pays membres de l’UE).

En complément :

Infographie : comment Snowden modifie l’attitude des DSI envers le Cloud