Cloud souverain : l’EU Data Boundary de Microsoft, encore poreuse

L’EU Data Boundary, encore loin du compte ? Ainsi nous étions-nous interrogés voilà un an. Microsoft s’apprêtait alors à lancer la première phase de cette initiative.

Sous cet étendard, le groupe américain étend ses engagements en matière de résidence des données. Cibles : les clients localisés dans l’UE et dans l’AELE (Association européenne de libre-échange, regroupant Islande, Liechtenstein, Norvège et Suisse). Promesse, dans les grandes lignes : localiser au maximum sur place le stockage et les traitements.

La documentation le laisse entrevoir : les exceptions restent nombreuses. Il y a tout de même eu, d’une année sur l’autre, des avancées. En particulier, l’EUDB englobe désormais les données pseudonymes que peuvent contenir les journaux système – typiquement des données d’activité utilisateur. Ce en plus des données client (« fournies à Microsoft par ou au nom du client »), objet de la première phase.

La prochaine étape, censée être bouclée pour fin 2024, concernera les données de support (requises lors des interventions techniques). Microsoft précise qu’il développe, en parallèle, une offre payante censée assurer une réponse initiale depuis l’UE.

Aperçu de quelques-unes des exceptions en question :

Les services en cours d’adaptation à l’EU Data Boundary

Services Azure

– Certains services non régionaux
Microsoft réarchitecture progressivement ces services dont la conception ne permet pas de spécifier une région de déploiement.

– Azure Bot Service
Le plan de contrôle utilise, pour le routage des requêtes, Azure Resource Manager. L’architecture de ce dernier fait que des données client sont traitées de manière globale. Cela peut inclure les paramètres de configuration de services externes… comme des authentifiants d’API.
D’autres services dépendent d’Azure Resource Manager et ne figurent donc pas encore dans l’EU Data Boundary. Azure Policy, Azure Managed Applications et Azure Resource Graph en font partie.

– Azure Communication Services
Lors d’une communication vers un numéro d’urgence sur réseau RTC, le service attribue à l’émetteur un numéro temporaire dans le cas où un rappel serait nécessaire. Ce numéro et l’identifiant utilisateur associé sont répliqués aux États-Unis et y demeurent pendant une heure.

– Azure DevOps
Pour le moment, le service stocke PAT et clés SSH aux États-Unis aussi longtemps qu’une organisation et/ou un projet est actif.

– Azure Serial Console
Utilisé dans le portail Azure, ce service peut traiter les commandes et les réponses hors de la géographie que le client aura sélectionnée.

Services Microsoft 365

– Cloud PC
Quelques clients ayant acquis des licences Windows 365 Business ont vu leurs PC provisionnés au Royaume-Uni. La migration vers l’EUDB devrait avoir abouti fin février 2024.

– Exchange Online
Dans le cadre du suivi d’intégrité, le service transfère des données pseudonymes hors de l’EUDB.

– Teams
Jusqu’au 31 décembre 2024, la fonctionnalité Q&A, basé sur Viva Engage, traitera des données aux États-Unis dans certains cas. Parmi elles, des données pseudonymes sur les interactions des utilisateurs.

– Whiteboard
D’ici à fin 2024, les données créées depuis des appareils Surface Hub et Teams Room se retrouveront dans l’EU Data Boundary.

– Windows Update
Jusqu’au 30 avril 2024, la vérification des mises à jour sur les appareils connectés à WUfB fera remonter leur identifiant et leur adresse IP vers les États-Unis.

Services de sécurité

– Entra ID
Les journaux de connexion contiennent des données client utilisées pour investiguer des accidents. Elles sont susceptibles de sortir de l’EUDB.

– Intune
Utilisé pour configurer WUfB, le service fait sortir de l’EUDB des détails de configuration incluant des données pseudonymes (identifiants de devices).

Les services non compatibles EUDB « by design »

– Azure Databricks
Pour permettre la gestion des comptes et des accès, des informations d’identité (nom d’utilisateur, nom/prénom, e-mail) sont stockées aux États-Unis.

– Microsoft Fabric
La brique Power BI peut stocker certaines données de manière globale.

– Azure Front Door et Azure CDN
Même chose pour des fonctionnalités qui en dépendent, comme Dynamics 365 Marketing et les sites web publiés avec Power Pages.

– De nombreux services de sécurité, à commencer par la gamme Defender (pour le cloud, pour les identités, pour le stockage, pour les points de terminaison…)

– Entra ID
Si un utilisateur se connecte à une application Microsoft 365 avec plusieurs comptes, les données de télémétrie rejoignent le locataire associé au premier compte connecté.

– Teams
Si un correspondant situé hors de l’EUDB atteint la messagerie vocale, le message est stocké dans sa région géographique pendant 30 jours. Une forme de mise en cache.

– Le module complémentaire Multi-Geo (fonctionnalités multigéographiques Microsoft 365)
Les locataires dotés de cet add-on n’entrent pas dans l’EUDB, même si provisionnés dans l’UE.

Exceptions non liées à des services

– Dépannage de services
Si nécessaire, du personnel Microsoft localisé hors de l’EUDB « peut accéder à vos systèmes de traitement de données ».

– Transferts à l’initiative du client
Par exemple, l’accès à des services par un utilisateur localisé hors EUDB, l’e-mail à un utilisateur localisé hors EUDB ou la combinaison avec des services localisés hors EUDB.

– Transit réseau
Pour « réduire la latence et maintenir la résilience », Microsoft utilise des chemins réseau qui peuvent occasionnellement faire transiter des données hors de l’EUDB.

– Gestion des services
Des transferts de données pseudonymes peuvent survenir si c’est nécessaire au maintien de la qualité de service, à la précision de mesures d’usage et de performance ou à la lutte contre la fraude.

– Protection contre les menaces
Par exemple, pour détecter des logins suspects depuis de multiples régions géographiques.

– Exercice des droits RGPD
Le traitement peut être global pour s’assurer que toutes les données des personnes concernées soient supprimées ou exportées comme exigé.

– Services en aperçu ou en période d’essai

– Services obsolètes au 31 décembre 2022

Illustration © KanawatTH – Adobe Stock