Glossaire · Souveraineté du cloud UE

EU Data Boundary (Microsoft EU Data Boundary (et offres similaires des hyperscalers américains))

Offre commerciale de Microsoft qui s'engage à stocker et traiter les données des clients UE au sein de centres de données situés dans l'UE. Des dispositifs similaires sont proposés par AWS (European Sovereign Cloud) et Google (Sovereign Controls). Important à comprendre : la résidence des données dans des centres de données UE ne change PAS la juridiction d'entreprise sous-jacente du fournisseur de services domicilié aux États-Unis.

## Ce qu'est réellement l'EU Data Boundary Microsoft EU Data Boundary est une offre commerciale — lancée en 2023 et progressivement étendue depuis — par laquelle Microsoft s'engage à stocker et traiter les données clients de Microsoft 365, Dynamics 365, Power Platform et Azure dans des centres de données UE/AELE. Des dispositifs similaires ont été lancés par AWS (European Sovereign Cloud) et Google Cloud (Sovereign Controls). La Boundary est un *engagement technique et commercial* sur l'*endroit* où les données clients sont traitées et stockées. Ce n'est **pas une réattribution juridictionnelle** — le fournisseur reste une entité juridique domiciliée aux États-Unis, soumise au processus juridique américain quel que soit l'endroit où vivent physiquement les données clients. Cette distinction est opérationnellement critique. Elle est aussi largement mal comprise dans les conversations d'achat. ## Ce que fait réellement l'EU Data Boundary Pour l'EU Data Boundary de Microsoft spécifiquement (la plus mature de ces offres), les engagements incluent : ### Résidence des données - **Données client** (les principales données métier) stockées dans des centres de données UE/AELE - **Données personnelles pseudonymisées** traitées au sein du périmètre UE/AELE - **Journaux système et données de diagnostic** progressivement intégrés au périmètre (c'est la partie la plus délicate — elle a pris plus de temps que ne le laissaient entendre les engagements initiaux) - **Contenu généré** (sorties d'IA, etc.) pour les services concernés au sein du périmètre ### Couverture des services La Boundary couvre (à date 2026) : - **Microsoft 365** services principaux (Exchange Online, SharePoint, OneDrive, Teams) - **Dynamics 365** services principaux - **Power Platform** services principaux - **Azure** services principaux de calcul, stockage, mise en réseau (à l'exception de certains services régionaux spécialisés) Certains services restent hors de la Boundary — notamment certains services liés à l'IA, certaines analyses avancées, et des services pour lesquels le routage global est structurellement requis (certains CDN, edge, identité). ### Changements opérationnels Microsoft a investi significativement dans : - Des équipes opérationnelles basées dans l'UE pour les services couverts par la Boundary - Des ingénieurs support résidents dans l'UE traitant les interactions clients couvertes par la Boundary - Des changements d'architecture technique acheminant les données concernées uniquement via des infrastructures UE ## Ce que l'EU Data Boundary NE fait PAS C'est la partie opérationnellement critique — et la source de la plupart des confusions d'achat. ### Ne change pas la juridiction d'entreprise Microsoft Corporation reste une entreprise américaine domiciliée dans l'État de Washington. Microsoft Ireland Operations Limited reste une filiale irlandaise de Microsoft Corporation. Les engagements de la Data Boundary sont opérationnels ; la juridiction d'entreprise est inchangée. ### N'élimine pas l'exposition au CLOUD Act Le CLOUD Act américain permet aux autorités américaines de contraindre les entreprises domiciliées aux États-Unis à divulguer des données quel que soit l'endroit où les données sont physiquement stockées. Cela s'applique à Microsoft Corporation (et à ses filiales) quel que soit le statut EU Data Boundary. La Boundary porte sur la localisation physique des données ; le CLOUD Act porte sur quelle entité d'entreprise détient les clés. ### N'élimine pas l'exposition au FISA 702 La Section 702 du FISA permet aux agences de renseignement américaines de contraindre les fournisseurs domiciliés aux États-Unis à divulguer les communications et données de personnes non américaines. Le statut de Microsoft en tant que fournisseur domicilié aux États-Unis fait persister cette exposition quels que soient les engagements EU Data Boundary. ### Ne fournit pas de protection structurelle contre la résiliation de service motivée par des sanctions L'[incident CPI / Microsoft](/fr/blog/icc-microsoft-sanctions-cloud-sovereignty-lesson/) de 2025 en est la démonstration opérationnelle. L'EU Data Boundary de Microsoft n'a pas (et ne pouvait structurellement pas) empêcher la coupure des e-mails du procureur en application des sanctions américaines. Les décisions du pouvoir exécutif américain sur quels utilisateurs européens un fournisseur domicilié aux États-Unis peut servir ne sont pas contraintes par des engagements de résidence des données. ## Comment la Data Boundary s'articule avec la réglementation européenne Le statut opérationnel de la Boundary dans les cadres réglementaires européens est nuancé : ### RGPD La résidence des données au sein de l'UE est l'un des plusieurs facteurs que le RGPD prend en compte pour les transferts et traitements internationaux. Les engagements EU Data Boundary aident à satisfaire les attentes du RGPD en matière de résidence des données, mais ne satisfont pas la question plus large de l'évaluation des transferts à la Schrems II pour les données soumises au processus juridique américain. ### Schrems II et clauses contractuelles types L'arrêt Schrems II de la Cour de justice de l'Union européenne porte spécifiquement sur l'exposition structurelle qui crée un risque pour les transferts vers des fournisseurs domiciliés aux États-Unis. L'EU Data Boundary ne traite pas l'exposition structurelle — elle traite la localisation physique des données. ### NIS2 et DORA Les cadres sectoriels de cybersécurité et de résilience opérationnelle évaluent « où vivent les données » en parallèle de « qui peut contraindre à la divulgation ». L'EU Data Boundary traite la première partie ; la question de la juridiction d'entreprise nécessite une analyse séparée. ### SecNumCloud / EUCS High Les schémas nationaux et de niveau UE de cloud souverain ([SecNumCloud](/fr/glossary/secnumcloud/), le niveau [EUCS](/fr/glossary/eucs/) High contesté) exigent *à la fois* la résidence des données dans l'UE *et* l'immunité face au processus juridique non européen. L'EU Data Boundary seule ne satisfait pas ces critères — c'est pourquoi les hyperscalers américains ont construit des structures de coentreprise (S3NS, Bleu) pour ces catégories d'achat. ## Ce à quoi l'EU Data Boundary EST utile Malgré les limites structurelles, l'EU Data Boundary a une réelle valeur opérationnelle : - **Conformité à la résidence des données** pour les exigences sectorielles ou contractuelles centrées sur la localisation physique - **Réduction de la latence** pour les services orientés clients européens - **Réduction de la charge documentaire** pour les transferts transfrontaliers au titre du RGPD - **Positionnement de souveraineté public** qui satisfait des conversations d'achat moins sophistiquées - **Intégration opérationnelle** avec la présence UE plus large de Microsoft Pour les organisations dont les exigences de souveraineté se limitent à la résidence des données (plutôt qu'à la juridiction d'entreprise), l'EU Data Boundary est véritablement utile et significativement meilleure que la résidence par défaut aux États-Unis. ## Quand l'EU Data Boundary n'est PAS suffisante Pour les organisations dont les exigences de souveraineté incluent la protection de juridiction d'entreprise : - **Acheteurs du secteur public** soumis à SecNumCloud, Cloud de Confiance ou cadres nationaux équivalents - **Secteurs régulés** (services financiers sous DORA, santé sous EHDS) avec des exigences strictes d'immunité - **Charges de travail sensibles** y compris les opérations juridiques, politiques ou concurrentiellement sensibles - **Achats de cloud souverain des États membres** avec exigences explicites d'immunité Pour ces catégories, l'EU Data Boundary ne résout pas la question structurelle de souveraineté. Des fournisseurs de cloud souverain européens (OVHcloud, Scaleway, Infomaniak, et d'autres) ou des structures de coentreprise hyperscaler américain (S3NS, Bleu) sont nécessaires. ## EU Data Boundary vs cloud souverain européen Plusieurs hyperscalers américains ont lancé ou annoncé des offres « cloud souverain européen » au-delà des engagements basiques de Data Boundary : | Offre | Type | Profondeur de souveraineté | |----------|------|-------------------| | **Microsoft EU Data Boundary** | Engagement de résidence des données | Limitée (exposition au CLOUD Act persistante) | | **AWS European Sovereign Cloud** | Région AWS séparée exclusivement UE opérée par une filiale UE | Améliorée mais toujours sous contrôle de la maison mère | | **Google Sovereign Controls** | Chiffrement contrôlé par le client + résidence des données UE | Meilleur que la base mais la maison mère américaine persiste | | **S3NS (Thales + Google)** | JV contrôlée par Thales avec technologie Google | Vraie juridiction française (SecNumCloud) | | **Bleu (Capgemini/Orange + Microsoft)** | JV française avec technologie Microsoft | Vraie juridiction française (en cours de qualification) | Le schéma : les offres limitées à la résidence des données sont plus faciles à construire mais moins souveraines ; les structures de coentreprise avec contrôle opérationnel UE offrent une souveraineté plus forte au prix d'une complexité opérationnelle plus grande. ## Implications pratiques - **Pour les équipes achats** : clarifiez si vos exigences de souveraineté portent sur la résidence des données ou la juridiction d'entreprise ; les réponses déterminent l'éligibilité des fournisseurs - **Pour les DPO et la conformité** : l'EU Data Boundary aide pour la résidence des données au titre du RGPD mais ne satisfait pas les questions structurelles soulevées par Schrems II - **Pour les acheteurs de secteurs régulés** : l'EU Data Boundary seule ne satisfait pas SecNumCloud ni les exigences sectorielles de cloud souverain - **Pour les charges de travail sensibles** (juridique, politique, concurrentiellement sensibles) : l'EU Data Boundary est insuffisante — envisagez des fournisseurs européens de cloud souverain ou des structures de JV - **Pour les charges de travail commerciales ordinaires** : l'EU Data Boundary est véritablement utile et meilleure que la résidence par défaut aux États-Unis L'EU Data Boundary est un engagement opérationnel significatif qui traite une dimension de la souveraineté du cloud (résidence des données) sans traiter la dimension structurelle plus profonde (juridiction d'entreprise). Comprendre la distinction est opérationnellement essentiel pour les achats cloud européens en 2026.

Alternatives UE associées sur BetterInEurope

Termes associés

← Retour au glossaire