L'EU Data Boundary de Microsoft reste en construction

L'EU Data Boundary, un travail vraiment achevé ? Microsoft, en tout cas, présente les choses ainsi.

Sous cette bannière, le groupe américain étend ses engagements en matière de résidence des données. Cible : les clients localisés dans l'UE et dans l'AELE (Association européenne de libre-échange, regroupant Islande, Liechtenstein, Norvège et Suisse). La promesse, dans les grandes lignes : localiser au maximum sur place le stockage et les traitements.

La premier jalon, officiellement franchi début 2023, portait sur les données client (toutes celles "fournies à Microsoft par ou au nom du client" dans le cadre de l'usage des services). Un an plus tard, l'EUDB avait englobé les données pseudonymes contenues dans les journaux système. La voilà désormais étendue aux données de support. Aussi bien celles que le client procure (logs, par exemple) que celles que Microsoft produit (notes d'intervention, entre autres).

Des services encore en cours d'adaptation

Cette troisième étape marque la finalisation de l'EU Data Boundary, nous affirme-t-on.
Dans la pratique, de nombreux services sont encore en train d'être réarchitecturés. Parmi eux :

- Azure Monitor
La brique d'analyse des changements a une dépendance au Microsoft Graph. Elle nécessite ainsi un stockage et un traitement global de données clients (propriétés des ressources, notamment) et de données pseudonymes (jetons de session, identifiants uniques de produits).

- Azure Resource Manager
Pour une question de résilience, des données client (adresses IP) et pseudonymes (identifiants d'objets, de sessions) peuvent être stockés hors de l'EUDB.

- Power Automate
Les workflows personnels (non liés à une solution) sont créés dans des groupes de ressources au niveau utilisateur. Les noms de ces groupes contiennent un identifiant d'objet répliqué de manière globale. Microsoft travaille à éliminer ce type de workflow qu'on peut déjà désactiver manuellement.

- Exchange Online
Dans le cadre du suivi d'intégrité, le service transfère des données pseudonymes hors de l'EUDB.

- Teams
La fonctionnalité Q&A, basée sur Viva Engage (ex-Yammer), traite des données client (messages, réactions...) et des données pseudonymes (interactions utilisateur) hors de l'EUDB dans certains cas. En particulier pour les clients qui y ont eu recours sans avoir au préalable de locataire Viva Engage.
Microsoft prévoyait initialement une relocalisation du contenu dans l'UE pour fin 2024. Désormais, il avance l'échéance du 30 juin 2025.

Des services qui resteront exclus de l'EUDB

La nature même d'Azure CDN et d'Azure Front Door les rend incompatibles avec l'EUDB. Idem pour l'offre Windows 10 IoT Core Services, avec son service de distribution de mises à jour utilisant le CDN Windows Update. S'y ajoutent divers services de sécurité dans les gammes Defender et Cloud Security, essentiellement parce qu'ils consolident des indicateurs.

Il n'est, en outre, pas prévu d'intégrer dans l'EUDB les versions des applications Microsoft 365 datant d'avant le 31 décembre 2022. Ni les services en préversion / version d'essai.

Des services partiellement incompatibles "by design"

La conception même de certains services fait qu'ils transfèreront toujours des données hors de l'EUDB. On peut citer :

- Azure Databricks
Des informations d'identité (nom/prénom, nom d'utilisateur, adresse e-mail) sont stockées aux USA.

- Microsoft Fabric
La brique Power BI a des fonctionnalités globales qui transfèrent des données hors de l'EUDB.

- Services de communication Azure
Lors des appels d'urgence sur RTC, un numéro temporaire est assigné à l'utilisateur au cas où il serait nécessaire de le rappeler. Ce numéro et l'identifiant utilisateur associé sont répliqués aux USA.

- Dynamics 365 et Power Platform
Certaines fonctionnalités utilisent Azure CDN et Azure Front Door. Par exemple, la diffusion de campagnes marketing dans Dynamics 365.

- Microsoft AutoUpdate
Sur macOS, les identifiants d'appareil sont stockés aux USA.

- Télémétrie Microsoft 365
Lorsqu'un utilisateur se connecte à une application avec plusieurs comptes Entra ID, les logs sont stockés au même emplacement que le locataire auquel est rattaché le premier compte.

- Déploiements Microsoft 365 ciblés
Lorsque Microsoft opère des déploiements progressifs (en "anneaux"), les identifiants des locataires concernés sont traités aux USA, comme les identifiants utilisateurs pseudonymisés.

Des transferts qui resteront nécessaires

Certains transferts se poursuivront pour "répondre à des exigences opérationnelles".

- Rétablissement de services
Dans le cas où cette tâche ne pourrait être réalisée de manière automatisée, du personnel de Microsoft opérerait un accès distant. Pour les données client, via des postes d'administration physiques dédiés. Pour les autres données, via ce même type de machine ou par VDI.

- Transferts initiés par le client
D'une part, dans le cadre des fonctionnalités d'un service (accès par un utilisateur situé hors de l'EUDB, configuration d'un service de sorte qu'il déplace des données hors de l'EUDB, association avec un service non éligible...). De l'autre, pour la réponse aux requêtes RGPD (un traitement global est nécessaire pour s'assurer qu'on y répond complètement).

- Services professionnels
Les données fournies à Microsoft dans le cadre de prestations de conseil ne sont pas couvertes par l'EUDB.
Pour faciliter la gestion des tickets de support, les noms qui leur sont attribués sont répliqués de manière globale.
Les dossiers escaladés vers des ingénieurs produit peuvent impliquer le transfert de données incluant une description du problème et des étapes nécessaires pour le reproduire.
Les messages vocaux laissés au support peuvent aussi sortir de l'EUDB.

- Annuaires
Des données Entra, dont des noms d'utilisateurs et des adresses e-mail, peuvent être répliqués au-delà de l'EUDB afin d'assurer la fourniture du service.

Des fonctionnalités optionnelles qui passent outre l'EUDB

Sur quelques services, l'activation de fonctionnalités optionnelles entraîne des transferts hors de l'EUDB.

- Azure OpenAI
Chez qui opte pour un déploiement de type global, inputs et outputs peuvent être traités dans toute région où le service est disponible.

- Portail Azure
Sont stockées hors de l'EUDB les informations de contact qu'on aurait éventuellement sauvegardées pour faciliter le remplissage des tickets.

- Microsoft 365 Research
Cette fonctionnalité permet de sélectionner du texte pour obtenir des informations complémentaires (définition, traduction...). Elle est officiellement obsolète, mais on peut la réactiver.

- Invitations dans des canaux Teams partagés
Public concerné : les locataires sur lesquels AAD B2B Direct Connect est activé et sur lesquels on a configuré une connexion avec un locataire hébergeant des utilisateurs hors de l'EUCB. Lorsqu'un utilisateur situé dans l'EUDB rejoint un autre locataire en tant qu'invité, son adresse e-mail est temporairement stockée aux USA.

- Usage d'Azure AI Bot Service par les apps Teams
Dans ce contexte d'utilisation, chaque bot ne peut avoir qu'un point de terminaison global (me trafic est ensuite dirigé vers un endpoint régional). C'est le créateur du bot qui le choisit (entre Japon, Asie du Sud-Est, Europe et USA).

- Proxy d'application Microsoft 365
Des configurations de routage avancées peuvent occasionner des transferts hors de l'EUDB.

- Security Copilot
Des transferts hors EUDB ont lieu si on active l'option de traitement partout où un GPU est disponible.

Illustration générée par IA