Résidence des données dans Azure

Azure propose plus de régions au niveau mondial que les autres fournisseurs de cloud, offrant ainsi les options de mise à l’échelle ou de résidence des données nécessaires pour rapprocher vos applications de vos utilisateurs du monde entier.

En tant que client, vous conservez la propriété des données client (contenu, données personnelles et autres) que vous fournissez à des fins de stockage et d’hébergement dans les services Azure. Microsoft ne stockera ni ne traitera les données client en dehors de la zone géographique que vous spécifiez, à l’exception de certains services non régionaux. Vous contrôlez également toutes les zones géographiques supplémentaires où vous décidez de déployer vos solutions ou de répliquer vos données.

Lorsque la fonctionnalité d’un service nécessite une réplication de données globale, des détails sont disponibles en dessous.

  • Microsoft sécurise vos données à l’aide de plusieurs couches de sécurité et protocoles de chiffrement. Obtenir une vue d’ensemble de l’utilisation du chiffrement par Microsoft pour sécuriser vos données.

    Par défaut, les clés gérées par Microsoft protègent vos données, et les données client conservées sur support physique sont toujours chiffrées à l’aide de protocoles de chiffrement compatibles FIPS 140-2. Les clients peuvent également utiliser des clés gérées par le client (CMK), un double chiffrement et/ou des modules de sécurité matériels (HSM) pour renforcer la protection des données.

    Tout le trafic de données circulant entre les centres de données est protégé par des normes de sécurité MAC IEEE 802.1 AE, ce qui évite des attaques de l’intercepteur physique. Pour maintenir la résilience, Microsoft utilise des chemins d’accès réseau variables qui franchissent parfois des limites géographiques, mais la réplication des données client entre régions est toujours transmise sur des connexions réseau chiffrées.

    En outre, pour réduire les risques en matière de confidentialité, Microsoft génère des « identificateurs pseudonymes » qui lui permettent d’offrir un service cloud global (incluant des services d’exploitation et d’amélioration, de facturation et de protection contre la fraude). Dans tous les cas, les identificateurs pseudonymes ne peuvent pas être utilisés pour identifier directement un individu, et l’accès aux données client qui identifient des personnes est toujours protégé comme décrit ci-dessus.

  • Tous les services Azure peuvent être utilisés conformément au RGPD. Si des clients utilisant les services Azure choisissent de transférer du contenu contenant des données personnelles à travers les frontières, ils doivent tenir compte des exigences légales applicables à ces transferts. Microsoft fournit aux clients des services et ressources pour les aider à se conformer aux exigences du RGPD applicables à leurs opérations.

    Certains services Microsoft en ligne partagent des données avec des tiers agissant en qualité de sous-traitants. La Liste des sous-traitants de Microsoft Online Services divulguée publiquement identifie les sous-traitants autorisés à traiter des données client ou des données personnelles. Tous ces sous-traitants sont contractuellement tenus de respecter ou dépasser les engagements contractuels que Microsoft prend envers ses clients.

    Microsoft ne fournira à des tiers aucun des éléments suivants : (a) accès direct, général ou libre aux données de clients ; (b) clés de chiffrement de plateforme utilisées pour sécuriser les données ou la capacité de percer un tel chiffrement ; ou (b) accès aux données si Microsoft est conscient que celles-ci risquent d’être utilisées à des fins autres que celles déclarées dans la demande du tiers. Des informations supplémentaires sur l’approche de Microsoft en matière de divulgation légale de données client en réponse à des demandes gouvernementales sont disponibles ici.

La plupart des services Azure vous permettent de spécifier la région dans laquelle vos données client sont stockées et traitées. Microsoft peut répliquer dans d’autres régions à des fins de résilience des données, mais ne stockera pas et ne traitera pas de données client en dehors de la zone géographique sélectionnée. Vous et vos utilisateurs pouvez déplacer et copier vos données client de n’importe quel endroit dans le monde, et y accéder.

Informations supplémentaires sur l’emplacement des données client

Stockage de données pour les services régionaux

La plupart des services Azure sont déployés de manière régionale, ce qui permet au client de spécifier la région dans laquelle le service sera déployé. Les machines virtuelles, le stockage et SQL Database sont des exemples de tels services Azure. Pour obtenir la liste complète des services régionaux, consultez la disponibilité des produits par région.

Microsoft peut copier les données client entre les régions au sein d’une zone géographique donnée pour la redondance de données et à d’autres fins opérationnelles. Par exemple, le stockage géoredondant réplique des données de blob, de fichier, de file d’attente et de table entre deux régions appartenant à la même zone géographique. Cela permet d’améliorer la durabilité des données en cas de sinistre important dans un centre de données.

Microsoft ne stocke pas et ne traite pas les données client en-dehors de la zone géographique spécifiée par le client sans votre autorisation, hormis pour les services régionaux suivants :

  • Azure Cloud Services, qui sauvegarde les packages de déploiement des logiciels de rôles web et de travail aux États-Unis, quelle que soit la région de déploiement.
  • Language Understanding, qui peut stocker les données d’apprentissage actives aux États-Unis, en Europe ou en Australie en fonction des régions de création utilisées par le client. En savoir plus
  • Azure Machine Learning, qui peut stocker du texte libre fourni par le client (tel que des noms d’espaces de travail, de groupes de ressources, d’expériences, de fichiers et d’images) et des paramètres d’expérimentation aux États-Unis.
  • Azure Databricks, qui stocke les données d’identité et certains noms de table et informations de chemin d’accès à l’objet aux États-Unis.
  • Azure Sentinel
  • Console série Azure, qui stocke toutes les données client au repos dans la zone géographique sélectionnée par le client, mais, lorsqu’elles sont utilisées par le biais du portail Azure, peut traiter les commandes et les réponses de la console en dehors de la zone géographique dans le seul but de fournir l’expérience de la console dans le portail.
  • Des services de version préliminaire d'aperçu, bêta ou autres qui stockent généralement des données client aux États-Unis mais peuvent les stocker à l'échelle mondiale.

Les clients peuvent configurer les services, niveaux ou plans Azure suivants pour stocker les données client uniquement dans une seule région :

1La résidence des données sur une seule région est fournie par défaut uniquement dans la région Asie Sud-Est (Singapour) de la zone géographique Asie-Pacifique et dans la région Brésil Sud (État de Sao Paulo) de la zone géographique Brésil. Pour toutes les autres régions, les données client sont stockées dans Zone géographique.

2La résidence des données sur une seule région est fournie par défaut uniquement dans la région Asie Sud-Est (Singapour) de la zone géographique Asie-Pacifique. Pour toutes les autres régions, les données client sont stockées dans Zone géographique.

3La fonctionnalité en préversion permettant le stockage des données client dans une seule région est actuellement disponible uniquement dans la région Asie Sud-Est (Singapour) de la zone géographique Asie-Pacifique et dans la région Brésil Sud (État de Sao Paulo) de la zone géographique Brésil. Pour toutes les autres régions, les données client sont stockées dans Zone géographique.

4Pour Azure Databricks, les données d’identité, certains noms de table et les informations de chemin d’accès à l’objet sont stockés aux États-Unis. La capacité permettant le stockage de toutes les autres données client dans une seule région est actuellement disponible dans la région Asie Sud-Est (Singapour) de la zone géographique Asie-Pacifique et dans la région Brésil Sud (État de Sao Paulo) de la zone géographique Brésil. Pour toutes les autres régions, les données client sont stockées dans Zone géographique (sous réserve de l’exception mentionnée ci-dessus).

5Le stockage redondant interzone classique stocke les données dans plusieurs régions.

Stockage de données pour les services non régionaux

Certains services Azure n’autorisent pas le client à spécifier la région dans laquelle le service sera déployé. Ces services peuvent stocker ou traiter des données client dans n’importe quel centre de données Microsoft, sauf indication contraire.

  • Le réseau de distribution de contenu (CDN) Azure, qui fournit un service de mise en cache global et qui stocke les données client dans des emplacements Edge dans le monde entier.
  • Azure Active Directory (Azure AD), qui peut stocker les données Azure AD dans le monde entier. Cela ne s’applique pas aux déploiements Azure AD aux États-Unis (où les données Azure AD sont stockées uniquement aux États-Unis) et en Europe (où les données Azure AD sont stockées en Europe ou aux États-Unis). En savoir plus
  • L’authentification multifacteur Azure, qui stocke des données d’authentification aux États-Unis. En savoir plus
  • Azure Security Center, qui peut stocker une copie des données client relatives à la sécurité, collectées à partir de ou associées à une ressource client (par exemple, une machine virtuelle ou un locataire Azure AD) :

    (a) dans la même zone géographique que cette ressource, sauf dans les zones géographiques où Microsoft n’a pas encore déployé Security Center, auquel cas une copie de ces données est stockée aux États-Unis ; et

    (b) lorsque Security Center utilise un autre service Microsoft en ligne pour traiter ce type de données, il peut stocker ces données conformément aux règles de géolocalisation de cet autre service en ligne.

  • Les services qui fournissent des fonctions de routage globales et qui ne traitent ou ne stockent pas eux-mêmes les données client. Cela inclut Azure Traffic Manager, qui fournit un équilibrage de charge entre différentes régions, et Azure DNS, qui fournit des services de nom de domaine qui acheminent vers différentes régions.

Pour obtenir la liste complète des services non régionaux, consultez les produits disponibles par région et sélectionnez l’option Non régional.