Passer au contenu principal

Résidence des données dans Azure

Azure propose plus de régions au niveau mondial que les autres fournisseurs de cloud, offrant ainsi les options de mise à l’échelle ou de résidence des données nécessaires pour rapprocher vos applications de vos utilisateurs du monde entier.

En tant que client, vous conservez la propriété des données client (contenu, données personnelles et autres) que vous fournissez à des fins de stockage et d’hébergement dans les services Azure. Vous contrôlez également toutes les zones géographiques supplémentaires où vous décidez de déployer vos solutions ou de répliquer vos données.

Lorsque la fonctionnalité d’un service nécessite une réplication de données globale, des détails sont disponibles en dessous.

  • Microsoft sécurise vos données à l’aide de plusieurs couches de sécurité et protocoles de chiffrement. Obtenir une vue d’ensemble de l’utilisation du chiffrement par Microsoft pour sécuriser vos données.

    Par défaut, les clés gérées par Microsoft protègent vos données, et les données client conservées sur support physique sont toujours chiffrées à l’aide de protocoles de chiffrement compatibles FIPS 140-2. Les clients peuvent également utiliser des clés gérées par le client (CMK), un double chiffrement et/ou des modules de sécurité matériels (HSM) pour renforcer la protection des données.

    Tout le trafic de données circulant entre les centres de données est protégé par des normes de sécurité MAC IEEE 802.1 AE, ce qui évite des attaques de l’intercepteur physique. Pour maintenir la résilience, Microsoft utilise des chemins d’accès réseau variables qui franchissent parfois des limites géographiques, mais la réplication des données client entre régions est toujours transmise sur des connexions réseau chiffrées.

    En outre, pour réduire les risques en matière de confidentialité, Microsoft génère des identificateurs pseudonymes qui lui permettent d’offrir un service cloud global (incluant des services d’exploitation et d’amélioration, de facturation et de protection contre la fraude). Dans tous les cas, les identificateurs pseudonymes ne peuvent pas être utilisés pour identifier directement un individu, et l’accès aux données client qui identifient des personnes est toujours protégé comme décrit ci-dessus.

  • Tous les services Azure peuvent être utilisés conformément au RGPD. Si des clients utilisant les services Azure choisissent de transférer du contenu contenant des données personnelles à travers les frontières, ils doivent tenir compte des exigences légales applicables à ces transferts. Microsoft fournit aux clients des services et ressources pour les aider à se conformer aux exigences du RGPD applicables à leurs opérations.

    Certains services Microsoft en ligne partagent des données avec des tiers agissant en qualité de sous-traitants. La Liste des sous-traitants de Microsoft Online Services divulguée publiquement identifie les sous-traitants autorisés à traiter des données client ou des données personnelles. Tous ces sous-traitants sont contractuellement tenus de respecter ou dépasser les engagements contractuels que Microsoft prend envers ses clients.

    Microsoft ne fournira à des tiers aucun des éléments suivants : (a) accès direct, général ou libre aux données de clients ; (b) clés de chiffrement de plateforme utilisées pour sécuriser les données ou la capacité de percer un tel chiffrement ; ou (c) accès aux données si Microsoft est conscient que celles-ci risquent d’être utilisées à des fins autres que celles déclarées dans la demande du tiers. Des informations supplémentaires sur l’approche de Microsoft en matière de divulgation légale de données client en réponse à des demandes gouvernementales sont disponibles ici.

La plupart des services Azure vous permettent de spécifier la région dans laquelle vos données client sont stockées et traitées. Microsoft peut répliquer dans d’autres régions à des fins de résilience des données, mais ne stockera pas et ne traitera pas de données client en dehors de la zone géographique sélectionnée. Vous et vos utilisateurs pouvez déplacer et copier vos données client de n’importe quel endroit dans le monde, et y accéder.

Informations supplémentaires sur l’emplacement des données client

Stockage de données pour les services régionaux

La plupart des services Azure sont déployés de manière régionale, ce qui permet au client de spécifier la région dans laquelle le service sera déployé. Les machines virtuelles, le stockage et SQL Database sont des exemples de tels services Azure. Pour obtenir la liste complète des services régionaux, consultez la disponibilité des produits par région.

Microsoft ne stocke pas et ne traite pas les données client en dehors de la zone géographique spécifiée par le client sans votre autorisation.

Microsoft peut copier les données client entre les régions au sein d’une zone géographique donnée pour la redondance de données et à d’autres fins opérationnelles. Par exemple, le stockage géoredondant réplique des données de blob, de fichier, de file d’attente et de table entre deux régions appartenant à la même zone géographique. Cela permet d’améliorer la durabilité des données en cas de sinistre important dans un centre de données.

Le personnel de Microsoft (y compris les sous-traitants) situés en dehors de la zone géographique peut faire fonctionner à distance des systèmes de traitement de données dans la zone géographique, mais n’accède pas aux données client sans votre autorisation.

Les services suivants peuvent stocker ou traiter certaines données situées en dehors de la zone géographique spécifiée :

  • Azure Cloud Services, qui sauvegarde les packages de déploiement des logiciels de rôles web et de travail aux États-Unis, quelle que soit la région de déploiement.
  • Azure Data Explorer (ADX) stocke les données d’utilisation partielle et les traces de service sur un cluster central situé dans l’Union européenne pendant une durée limitée.
  • Language Understanding, qui peut stocker les données d’apprentissage actives aux États-Unis, en Europe ou en Australie en fonction des régions de création utilisées par le client. En savoir plus
  • Azure Machine Learning peut stocker des noms de ressources en texte libre fournis par le client (par exemple, des noms d’espaces de travail, de groupes de ressources, d’expériences, de fichiers et d’images) et des paramètres d’exécution d’expérimentation (également appelés métadonnées d’expérimentations aux États-Unis), à des fins de débogage.
  • Azure Databricks stocke les informations d'identité suivantes aux États-Unis pour fournir aux clients des fonctionnalités de gestion des comptes et des accès : nom d'utilisateur, prénom, nom et adresse e-mail. Ces données sont stockées aux États-Unis pour prendre en charge la plateforme mondiale Azure Databricks.
  • Console série Azure, qui stocke toutes les données client au repos dans la zone géographique sélectionnée par le client, mais, lorsqu’elles sont utilisées par le biais du portail Azure, peut traiter les commandes et les réponses de la console en dehors de la zone géographique dans le seul but de fournir l’expérience de la console dans le portail.
  • Des services de version préliminaire d'aperçu, bêta ou autres qui stockent généralement des données client aux États-Unis mais peuvent les stocker à l'échelle mondiale.

Les clients peuvent configurer les services, niveaux ou plans Azure suivants pour stocker des données client uniquement dans une seule région à Singapour, Hong Kong ou dans le Brésil Sud :

1La résidence des données sur une seule région est fournie par défaut uniquement dans la région Asie Sud-Est (Singapour) de la zone géographique Asie-Pacifique et dans la région Brésil Sud (État de Sao Paulo) de la zone géographique Brésil. Pour toutes les autres régions, les données client sont stockées dans Zone géographique.

2La résidence des données sur une seule région est fournie par défaut uniquement dans la région Asie Sud-Est (Singapour) de la zone géographique Asie-Pacifique. Pour toutes les autres régions, les données client sont stockées dans Zone géographique.

3La fonctionnalité en préversion permettant le stockage des données client dans une seule région est actuellement disponible uniquement dans la région Asie Sud-Est (Singapour) de la zone géographique Asie-Pacifique et dans la région Brésil Sud (État de Sao Paulo) de la zone géographique Brésil. Pour toutes les autres régions, les données client sont stockées dans Zone géographique.

4Azure Databricks stocke les informations d’identité suivantes aux États-Unis pour fournir aux clients des fonctionnalités de gestion des comptes et des accès : nom d’utilisateur, prénom, nom et adresse e-mail. Ces données sont stockées aux États-Unis pour prendre en charge la plateforme Azure Databricks globale. La fonctionnalité permettant de stocker toutes les autres données client dans une seule région est actuellement disponible dans la région Asie Sud-Est (Singapour) de la zone géographique Asie-Pacifique et Brésil Sud (État de Sao Paulo) de la zone géographique Brésil. Pour toutes les autres régions, les données client sont stockées dans la zone géographique (sous réserve de l’exception mentionnée ci-dessus).

5ZRS Classic, GRS/RA-GRS, GZRS/RA-GZRS stocke les données dans plusieurs régions.

Stockage de données pour les services non régionaux

Certains services Azure ne permettent pas au client de spécifier la région dans laquelle le service sera déployé. Ces services peuvent stocker ou traiter des données client dans n’importe quel centre de données Microsoft dans des régions publiques Azure, sauf indication contraire.

  • Azure Content Delivery Network, qui fournit un service de mise en cache global et stocke les données client à des emplacements de périphérie dans le monde entier. les emplacements Azure CDN POP par région.
  • Microsoft Entra ID (anciennement Azure Active Directory) fonctionne comme un service non régional et, en fonction des exigences du client, y compris la disponibilité et la scalabilité, peut stocker les données de l’annuaire Microsoft Entra à l’échelle mondiale. En savoir plus.
  • Microsoft Defender for Cloud, qui peut stocker une copie des données client liées à la sécurité, collectées à partir de ou associées à une ressource client (telle qu'une machine virtuelle ou un locataire Azure AD) :

    (a) dans la même zone géographique que cette ressource, sauf dans les zones géographiques où Microsoft n'a pas encore déployé Microsoft Defender for Cloud, auquel cas une copie de ces données sera stockée aux États-Unis ; et

    (b) lorsque Microsoft Defender for Cloud utilise un autre service en ligne Microsoft pour traiter ces données, il peut stocker ces données conformément aux règles de géolocalisation de cet autre service en ligne.

    (c) si un client provisionne son client dans l’Union européenne ou le États-Unis, Microsoft stocke les données client au repos uniquement dans cette zone géographique.

    (d) Les engagements géographiques dans (a) et (c) ne s’appliquent pas aux fonctionnalités suivantes : Security-Solution (WAF).

  • Microsoft Defender pour IoT peut utiliser d’autres services Microsoft Online Services pour traiter des données client liées à la sécurité. Ces données peuvent être stockées conformément aux règles de géolocalisation de cet autre service en ligne.
  • Microsoft Fabric permet de sélectionner une région Azure où sont stockées les données client lors de la création d’une capacité Microsoft Fabric. L’option par défaut répertoriée est la région d’accueil du locataire de l’utilisateur; si un utilisateur sélectionne cette région, toutes les données associées, y compris les données client, sont stockées dans cette zone géographique. Si un utilisateur sélectionne une autre région, certaines données client resteront dans la zone géographique principale. En savoir plus.
  • Les services qui fournissent des fonctions de routage globales et qui ne traitent ou ne stockent pas eux-mêmes les données client. Cela inclut Azure Traffic Manager, qui fournit un équilibrage de charge entre différentes régions, et Azure DNS, qui fournit des services de nom de domaine qui acheminent vers différentes régions.

Pour obtenir la liste complète des services non régionaux, consultez les produits disponibles par région et sélectionnez l’option Non régional.

Pouvons-nous vous aider ?