Microsoft a publié , me semble-t-il un texte très important sur son engagement vis à vis des instances européennes ainsi que sur les principes fondamentaux qu’ils s’engagent à respecter à l’avenir.
Certains y verront des éléments de façade, d’autres de véritables engagements permettant de renforcer la confiance dans les services numériques fournis par un éditeur américain déterminé à respecter les réglementations européennes.
Dans les deux cas cette annonce est importante et je vous invite à en prendre connaissance ci dessous et vous faire votre propre avis.
Laurent Teruin
Il y a quarante-deux ans, Microsoft lançait la toute première version de Microsoft Word. Ce fut une étape majeure dans la démarche de l’entreprise visant à améliorer la productivité de ses utilisateurs grâce à l’innovation. Ce fut également la première grande étape de la jeune entreprise en pleine croissance en Europe, avec le premier produit Microsoft localisé dans plusieurs langues européennes, à commencer par l’allemand et le français.
Depuis lors, notre dépendance économique à l’égard de l’Europe est restée profonde. Nous sommes conscients que notre activité dépend de manière cruciale du maintien de la confiance des clients, des pays et des gouvernements européens. Nous respectons les valeurs européennes, nous nous conformons aux lois européennes et défendons activement la cybersécurité européenne. Notre soutien à l’Europe a toujours été – et sera toujours – indéfectible.
En cette période de volatilité géopolitique, nous nous engageons à assurer la stabilité numérique. C’est pourquoi Microsoft annonce aujourd’hui cinq engagements numériques envers l’Europe. Ceux-ci commencent par le développement de notre infrastructure cloud et d’IA en Europe, visant à permettre à chaque pays d’exploiter pleinement ces technologies pour renforcer sa compétitivité économique. Ils incluent également la promesse de maintenir la résilience numérique de l’Europe, indépendamment de la volatilité géopolitique et commerciale.
En tant qu’entreprise multinationale, nous croyons aux liens transatlantiques qui favorisent la croissance économique et la prospérité mutuelles. Nous nous réjouissons de l’accord récent entre l’administration Trump et l’Union européenne sur la suspension de toute nouvelle escalade tarifaire, le temps de négocier un accord commercial réciproque. Nous espérons que des négociations fructueuses permettront de résoudre les problèmes tarifaires et de réduire les barrières non tarifaires, conformément aux recommandations du récent rapport Draghi.
Nous serons toujours déterminés à créer des emplois, à promouvoir les opportunités économiques et à renforcer la cybersécurité des deux côtés de l’Atlantique. Les cinq engagements ci-dessous, comme la toute première version européenne de Microsoft Word, font franchir une nouvelle étape à notre soutien à l’Europe.
1. Nous contribuerons à bâtir un vaste écosystème d’IA et de cloud à travers l’Europe
Nous sommes conscients que les nations européennes souhaitent et ont besoin d’un écosystème cloud et d’IA de classe mondiale et de grande envergure. Nous annonçons aujourd’hui notre intention d’augmenter de 40 % la capacité de nos centres de données européens au cours des deux prochaines années. Nous développons nos activités dans 16 pays européens. Combinés à nos récentes constructions, ces projets permettront de plus que doubler la capacité de nos centres de données européens entre 2023 et 2027. Cela se traduira par des opérations cloud dans plus de 200 centres de données sur le continent.
Cette expansion jouera un rôle important dans la croissance économique et la compétitivité de l’Europe. Nous sommes convaincus que la large diffusion de l’IA sera l’un des principaux moteurs de l’innovation et de la croissance de la productivité au cours de la prochaine décennie. À l’instar de l’électricité et d’autres technologies polyvalentes par le passé, l’IA et les centres de données cloud représentent la prochaine étape de l’industrialisation. Ils créent des capacités concrètes pour stimuler l’innovation dans les entreprises et l’industrie manufacturière, gérer les systèmes de santé nationaux, sécuriser les services gouvernementaux et soutenir les outils numériques dans l’éducation, tout en préservant la proximité des données et des opérations, dans le respect des lois et réglementations européennes.
Centres de données cloud publics
Nos centres de données cloud publics constituent le socle de l’écosystème cloud diversifié que nous nous engageons à soutenir en Europe. Cela inclut Microsoft Cloud for Sovereignty, un ensemble de technologies et de configurations permettant aux administrations publiques et autres clients d’exploiter Azure dans nos centres de données cloud publics, avec un contrôle accru sur l’emplacement des données, le chiffrement et les accès administratifs.
Centres de données cloud souverains
Un deuxième aspect de notre approche diversifiée concerne les centres de données cloud souverains. En France, Microsoft s’est associé à Capgemini et Orange, qui ont formé une coentreprise baptisée Bleu. Conçue comme une plateforme de « cloud de confiance », Bleu propose une large gamme de services cloud Microsoft Azure et d’outils de productivité Microsoft 365, exploités sous contrôle français. En Allemagne, une initiative similaire de cloud souverain est en cours grâce à un partenariat entre Microsoft, SAP et Arvato Systems (filiale informatique de Bertelsmann). Cette initiative, menée par Delos Cloud GmbH, filiale de SAP, crée une plateforme cloud souveraine pour le secteur public allemand, hébergée dans des centres de données allemands et exploitée par du personnel allemand.
Soutien aux fournisseurs de cloud européens
Un troisième volet de notre travail consiste à collaborer avec des fournisseurs de cloud européens afin de proposer des applications et services Microsoft sur leur infrastructure cloud locale. Ce partenariat offre à ces fournisseurs européens la possibilité d’exploiter des applications Microsoft à des conditions plus avantageuses que celles que nous proposons à Amazon et Google. Par ailleurs, nous développons de nouvelles technologies et solutions de licences adaptées à ces fournisseurs européens et aux marchés qu’ils desservent.
Options émergentes
Compte tenu de la récente instabilité géopolitique, nous sommes conscients que les gouvernements européens envisageront probablement d’autres options. Certaines d’entre elles pourraient impliquer un financement public pour soutenir les offres européennes. Nous reconnaissons l’importance d’un écosystème technologique diversifié et nous nous engageons à collaborer avec les acteurs européens de l’ensemble de cet écosystème.
Respect des lois européennes
Microsoft investit des dizaines de milliards de dollars chaque année dans l’expansion de ses centres de données en Europe. Ces investissements ne sont pas fixes. Il s’agit de structures permanentes, soumises aux lois, réglementations et gouvernements locaux. Comme tout citoyen et toute entreprise, Nous ne sommes pas toujours d’accord avec toutes les politiques des gouvernements. Mais même lorsque nous avons perdu des procès devant les tribunaux européens, Microsoft a toujours respecté et appliqué les lois européennes.
Nous comprenons que les lois européennes s’appliquent à nos pratiques commerciales en Europe, tout comme les lois locales s’appliquent aux pratiques locales aux États-Unis et que des lois similaires s’appliquent ailleurs dans le monde. Cela inclut notamment le droit européen de la concurrence et le Digital Markets Act. Nous nous engageons non seulement à construire une infrastructure numérique pour l’Europe, mais aussi à respecter le rôle que jouent les lois européennes dans la régulation de nos produits et services.
2. Nous maintiendrons la résilience numérique de l’Europe même en période de volatilité géopolitique
En construisant un cloud européen pour l’Europe, Microsoft s’engage à aider l’Europe à naviguer dans un environnement géopolitique et commercial incertain et à mieux gérer les risques en renforçant la résilience numérique du continent. Nous nous efforcerons toujours d’être une voix raisonnable qui promeut les opportunités mutuelles et la stabilité des liens transatlantiques. Nous sommes convaincus que, malgré les conflits commerciaux et tarifaires actuels, il existe un fort consensus à Washington en faveur d’un flux soutenu de services numériques des États-Unis vers l’Europe.
Nous écoutons également attentivement les points de vue des gouvernements et dirigeants européens. Nous reconnaissons que les pays européens, comme les nations du monde entier, doivent avoir une confiance inébranlable dans l’infrastructure numérique sur laquelle ils s’appuient. Pour garantir cette confiance, nous prendrons les trois mesures suivantes :
Un cloud européen pour l’Europe
Microsoft a son siège social aux États-Unis, mais nous fournissons des services cloud à l’Europe via des entités dont le siège social est situé en Europe. Afin de consolider davantage le lien entre Microsoft et l’Europe, nos centres de données européens et leurs conseils d’administration seront désormais supervisés par un conseil d’administration européen composé exclusivement de ressortissants européens et soumis au droit européen.
Un engagement en matière de résilience numérique
Dans le cas peu probable où un gouvernement, où que ce soit dans le monde, nous ordonnerait de suspendre ou de cesser nos activités cloud en Europe, nous nous engageons à ce que Microsoft conteste rapidement et vigoureusement une telle mesure en utilisant toutes les voies de droit disponibles, y compris en intentant une action en justice. En incluant un nouvel Engagement européen en matière de résilience numérique dans tous nos contrats avec les gouvernements nationaux européens et la Commission européenne, nous rendrons cet engagement juridiquement contraignant pour Microsoft Corporation et toutes ses filiales.
Microsoft a démontré sa capacité à intenter des actions en justice lorsque cela s’est avéré nécessaire pour protéger les droits de ses clients et autres parties prenantes. Cela comprend quatre actions en justice intentées contre le pouvoir exécutif américain sous le mandat du président Obama, notamment pour protéger la confidentialité des données de nos clients aux États-Unis et en Europe. Cela comprend également, pendant le premier mandat du président Trump, une décision favorable devant la Cour suprême des États-Unis pour défendre les droits des employés immigrés. Si nécessaire, nous sommes prêts à saisir les tribunaux.
Nous sommes convaincus de notre droit légal à assurer la continuité du fonctionnement de nos centres de données en Europe. Et nous sommes prêts à appuyer cette confiance par nos engagements contractuels envers les gouvernements européens.
Partenariats de continuité des activités
Enfin, nous désignerons et nous appuierons sur des partenaires européens disposant de dispositifs d’urgence pour assurer la continuité opérationnelle dans le cas peu probable où Microsoft serait contraint par un tribunal de suspendre ses services. Nous permettons déjà à nos partenaires en France et en Allemagne de le faire pour les centres de données Bleu et Delos, et nous poursuivrons nos démarches pour nos centres de données cloud publics en Europe. Nous conserverons des copies de sauvegarde de notre code dans un référentiel sécurisé en Suisse et nous fournirons à nos partenaires européens les droits légaux nécessaires pour accéder à ce code et l’utiliser si nécessaire.
3. Nous continuerons à protéger la confidentialité des données européennes
Microsoft est depuis longtemps à l’avant-garde de la conception et de la mise en œuvre de solutions technologiques pour la protection des données clients. Nous permettons à nos clients de contrôler où leurs données sont stockées et traitées, comment elles sont chiffrées et sécurisées, et quand Microsoft peut y accéder. Nous offrons à nos clients des fonctionnalités robustes sur l’ensemble de la pile cloud, de l’infrastructure à la plateforme en passant par le SaaS (Software as a Service), d’Azure à Microsoft 365 et Dynamics 365. Nous soutenons nos solutions techniques par des engagements contractuels solides et, comme indiqué précédemment, par une expérience avérée en matière de recours judiciaires pour le compte de nos clients.
Le projet de frontière des données de l’UE
Fidèles à notre engagement continu en faveur de l’innovation, nous avons récemment achevé la mise en œuvre de notre projet EU Data Boundary. Ce projet offre à nos clients européens la possibilité de stocker et de traiter leurs données en Europe. Depuis janvier 2024, nos clients européens des secteurs privé et public peuvent stocker et traiter leurs données et identifiants personnels pour les principaux services cloud de Microsoft, notamment Microsoft 365, Dynamics 365, Power Platform et Azure, au sein des régions UE et AELE. Il y a trois mois, Microsoft a finalisé ce projet en étendant EU Data Boundary aux données des services professionnels issues des interactions avec le support technique. Et, point essentiel, nous rendons ces solutions disponibles dans toutes nos régions cloud européennes et sur l’ensemble de notre infrastructure technologique, de l’IaaS au PaaS en passant par le SaaS, y compris M365 Copilot.
Options de sécurité et de cryptage supplémentaires
Outre la frontière des données de l’UE, nous proposons à nos clients européens de multiples options pour sécuriser et chiffrer leurs données. Nos offres Confidential Compute dans Azure empêchent les tiers, y compris Microsoft, d’accéder aux données clients en garantissant un traitement dans un environnement sécurisé, sous le contrôle exclusif du client. Nous permettons à nos clients de créer un « lockbox » pour leurs données sur Azure, Dynamics 365 et Microsoft 365, en leur permettant de les consulter et de les approuver avant que Microsoft n’y accède pour les opérations de support client et de service. Nous permettons également à nos clients de sécuriser leurs données avec des clés de chiffrement qu’ils contrôlent, et non Microsoft, grâce à Azure Key Vault et Microsoft Purview Customer Key . Notre solution Microsoft Cloud for Sovereignty offre à nos clients une gamme d’autres outils pour sécuriser leurs données, les protéger contre les accès non autorisés et satisfaire aux exigences légales.
Un solide parcours juridique
Outre les mesures techniques, nous poursuivrons notre combat pour protéger les droits de nos clients européens. Microsoft possède une solide expérience en matière de recours judiciaires dans les rares cas où nous devons protéger des données européennes contre tout accès non autorisé. Nous avons constamment combattu les demandes légales contraires au droit européen et avons porté nos contestations jusqu’à la Cour suprême des États-Unis. En 2018, suite à un litige intenté par Microsoft au nom de nos clients européens, le Congrès américain a adopté une loi garantissant notre droit de nous opposer aux demandes des forces de l’ordre américaines d’accéder à des données européennes contraires au droit de l’UE.
Nous avons codifié notre engagement à protéger les données de nos clients européens avec notre engagement « Défendre vos données » , par lequel nous nous engageons à contester toute demande gouvernementale concernant les données de nos clients du secteur public ou des entreprises de l’UE, dès lors que nous disposons d’une base légale pour le faire. Nous avons inclus cet engagement dans nos contrats clients et l’avons assorti d’une promesse d’indemnisation en cas de divulgation de leurs données en violation du droit européen.
De nouvelles opportunités d’innovation
Aujourd’hui, nous nous engageons à renforcer et à étendre les solutions permettant aux clients européens de contrôler et de protéger leurs données. Nous prenons de nouvelles mesures pour écouter et consulter nos clients européens afin de développer ce qui constitue déjà la gamme la plus complète et la plus large de solutions de confidentialité, de sécurité et de souveraineté offertes par un fournisseur de services cloud à ses clients en Europe. Nous sommes impatients de partager dans les mois à venir les conclusions qui en découleront et les nouvelles mesures que nous déciderons de prendre.
Pour plus de détails sur les programmes de protection des données et de conformité de Microsoft, consultez le Centre de confiance Microsoft.
4. Nous contribuerons toujours à protéger et à défendre la cybersécurité de l’Europe
Lorsque la guerre a éclaté en 2022, Microsoft a immédiatement contribué à l’évacuation des données et des services technologiques critiques de l’Ukraine vers nos centres de données répartis en Europe. Cette opération a permis à l’Ukraine de poursuivre ses activités numériques, hors de portée des missiles de croisière et des attaques aériennes. À bien des égards, cela illustre le rôle d’un vaste réseau de centres de données pour soutenir non seulement la résilience numérique, mais aussi la résilience globale d’un pays et d’un continent.
Protection de cybersécurité ininterrompue et de classe mondiale
Outre la protection des données du pays, nous avons immédiatement aidé les responsables et les citoyens ukrainiens à défendre leur nation contre les cyberattaques russes. Depuis le début de la guerre, Microsoft a fourni plus de 500 millions de dollars d’aide technologique et financière gratuite à l’Ukraine et maintient ce soutien substantiel à ce jour. Nous avons apporté sans interruption un soutien en matière de cybersécurité à l’OTAN, à l’Ukraine et à d’autres gouvernements européens, notamment en partageant des renseignements sur les menaces, en protégeant les élections et en déjouant les attaques contre les gouvernements, les entreprises et les citoyens européens.
De nouvelles mesures pour se protéger contre les nouvelles menaces
Plus de trois ans après le début de la guerre en Ukraine, les gouvernements et pays européens sont confrontés à des cyberattaques continues provenant de Russie, de Chine, d’Iran et de Corée du Nord. Face à la multiplication et à la sophistication croissantes de ces menaces, une protection et une coordination solides en matière de cybersécurité sont plus importantes que jamais, tout comme la capacité à répondre rapidement aux demandes régionales. C’est pourquoi nous annonçons aujourd’hui les mesures de cybersécurité suivantes, qui seront suivies d’autres annonces dans les semaines à venir.
Un nouveau RSSI adjoint pour l’Europe
Aujourd’hui, notre directeur de la sécurité des systèmes d’information (RSSI), Igor Tsyganskiy, a annoncé la nomination d’un nouveau RSSI adjoint pour l’Europe au sein du Conseil de gouvernance de la cybersécurité de Microsoft. Ce cadre supérieur sera dédié aux responsabilités de sécurité de Microsoft en Europe. L’année dernière, nous avons créé ce conseil, composé de notre RSSI mondial et de nos directeurs adjoints de la sécurité des systèmes d’information (RSSI adjoints) représentant chacun de nos services technologiques. Ce conseil supervise les cyberrisques, les défenses et la conformité de l’entreprise dans toutes les régions et tous les domaines.
La nomination d’un RSSI adjoint pour l’Europe reflète l’importance et l’influence mondiale de la réglementation européenne en matière de cybersécurité, ainsi que l’engagement de l’entreprise à répondre à ces attentes, voire à les dépasser, afin de prioriser la cybersécurité dans la région. Ce nouveau poste sera directement rattaché au RSSI de Microsoft. Le RSSI adjoint pour l’Europe sera responsable du respect des réglementations actuelles et émergentes en matière de cybersécurité en Europe, notamment le Digital Operational Resilience Act (DORA), la directive NIS 2 et le Cyber Resilience Act (CRA). Ces lois transformeront non seulement les marchés de l’UE, mais aussi du monde entier, et Microsoft s’engage activement à se préparer à l’avenir.
Nouvelles mesures de sécurité dans le cadre de la loi sur la cyberrésilience
Nous sommes convaincus que la CRA transformera le paysage réglementaire et deviendra une nouvelle référence en matière de cybersécurité, à l’instar du RGPD pour la protection de la vie privée. Nous nous appuierons sur les travaux de notre initiative « Secure Future » et consacrerons des ressources supplémentaires à la mise en conformité avec la CRA. À l’approche de ses échéances, nous nous réjouissons de poursuivre nos années de collaboration avec la Commission européenne, nos partenaires industriels et nos clients pour la mise en œuvre de la CRA. Nous sommes engagés à jouer notre rôle de membre du groupe d’experts de la Commission européenne sur la cybersécurité des produits numériques.
À cette fin, Microsoft continuera de dialoguer avec les parties prenantes sur divers sujets liés aux CRA. Ces sujets comprendront notamment le signalement des incidents et des vulnérabilités, la sécurité dès la conception et par défaut, les meilleures pratiques en matière de cybersécurité et l’amélioration de la sécurité et de l’attestation open source. Nous partagerons nos innovations qui soutiennent la mise en œuvre des exigences essentielles de sécurité des CRA afin d’aider les opérateurs économiques européens à se préparer également à la conformité aux CRA.
La sécurité est le fondement de la confiance. Pour préserver cette confiance, nous ferons appel à un auditeur indépendant pour vérifier et valider nos engagements envers l’Europe. Nous savons que les utilisateurs n’utiliseront que des technologies de confiance. C’est pourquoi nous consacrons des ressources à accélérer notre conformité avec l’ARC et nous engageons à une validation indépendante.
5. Nous contribuerons à renforcer la compétitivité économique de l’Europe, notamment en matière d’open source.
Nos principes d’accès à l’IA
Nous reconnaissons l’importance de garantir un accès ouvert à notre plateforme et infrastructure d’IA et de cloud dans toute l’Europe, y compris pour le développement open source. C’est pourquoi nous avons annoncé l’année dernière un ensemble de principes d’accès à l’IA et nous apporterons de nouvelles améliorations à ces engagements dans les mois à venir.
Accès libre dans toute l’Europe
Ces principes garantissent l’ouverture de notre plateforme et de notre infrastructure d’IA Azure à une variété de modèles économiques, qu’ils soient open source ou propriétaires. Nous hébergeons aujourd’hui plus de 1 800 modèles d’IA. La plupart sont open source, comme ceux des développeurs d’IA européens Mistral et Hugging Face. Ils sont tous disponibles via des API publiques pour faciliter l’interopérabilité. Ainsi, nos clients peuvent choisir les modèles à utiliser et où développer leurs solutions d’IA : sur Azure, dans un autre cloud public ou dans leur propre centre de données. Enfin, nous permettons à nos clients d’exporter et de transférer leurs données. L’année dernière, nous avons supprimé les frais de transfert de données lorsque nos clients choisissent de changer de fournisseur cloud.
Une base pour la compétitivité européenne
Au cours de l’année écoulée, nous avons vu des startups européennes, des entreprises établies et d’autres organisations profiter de l’accès ouvert aux modèles et outils que nous proposons pour innover, croître et être compétitives dans la nouvelle économie de l’IA. Parmi elles, des startups technologiques telles que Factorial en Espagne, qui développe des solutions d’automatisation basées sur l’IA pour les professionnels des RH, iGenius en Italie, qui développe des solutions d’IA pour les secteurs réglementés, et Visma en Norvège, qui fournit des solutions d’IA aux entreprises dans les domaines de la comptabilité, de la paie, de la facturation, etc. Parmi elles, on compte également l’Institut Curie en France, qui recherche de nouvelles thérapies contre le cancer, UBS en Suisse, qui façonne le secteur bancaire de demain, et Heineken aux Pays-Bas, qui améliore la productivité de ses employés.
Construire des infrastructures européennes pour l’avenir de l’Europe
Nous sommes conscients que Microsoft doit constamment se concentrer sur l’obtention et le maintien de sa « licence d’exploitation » dans chaque pays européen. Concernant les centres de données et les technologies numériques, cela commence par chaque communauté locale et chaque pays, et implique des responsables ayant des responsabilités à l’échelle du continent.
Depuis le lancement de la première version de Microsoft Word en Europe il y a 42 ans, le numérique a profondément transformé les méthodes de travail. Pourtant, à l’avenir, nous pensons que le deuxième quart du XXIe siècle pourrait apporter des changements encore plus importants. L’intelligence artificielle offre ce qui pourrait devenir l’outil le plus puissant de l’histoire de l’humanité. Et comme tout outil, certains chercheront à en faire une arme.
Plus que jamais, il sera crucial pour nous d’aider l’Europe à exploiter la puissance de cette nouvelle technologie pour renforcer sa compétitivité. Nous devrons nouer des partenariats avec des entreprises de toutes tailles. Nous devrons soutenir les gouvernements, les organisations à but non lucratif et les développeurs open source sur tout le continent. Nous devrons également écouter attentivement les dirigeants européens, respecter les valeurs européennes et adhérer aux lois européennes. Nous sommes déterminés à bien faire tout cela.
Alors que nous célébrions le 50e anniversaire de Microsoft plus tôt ce mois-ci, nous avons reconnu que notre présence de longue date en Europe a été un élément clé de notre succès. L’Europe nous a bien accueillis. Notre soutien à l’Europe a toujours été – et sera toujours – indéfectible.
Travailler ensemble 