Partage via


Résidence des données

La résidence des données concerne l’emplacement physique où les données sont stockées et traitées. Les exigences en matière de résidence des données sont une préoccupation commune pour les clients du secteur public, qui demandent souvent à Microsoft de limiter les emplacements de stockage et de traitement des différents types de données. Microsoft Cloud for Sovereignty permet aux clients de configurer des zones d’atterrissage souveraines (SLZ) pour restreindre les services et les régions qui peuvent être utilisés et appliquer la configuration du service pour répondre aux exigences en matière de résidence des données.

Résidence des données dans Azure

La plupart des services Azure sont déployés au niveau régional et permettent de spécifier où les données client sont stockées et traitées. Parmi les exemples de tels services régionaux on trouve les machines virtuelles, le stockage et la base de données SQL. Une région fait partie d’une zone géographique et pour les services régionaux, Microsoft ne stocke pas les données client en dehors de la zone géographique sélectionnée, sauf dans des circonstances exceptionnelles. Pour en savoir plus, consultez Résidence des données dans Azure et le livre blanc Activation de la résidence et de la protection des données dans les régions Microsoft Azure.

Comme définies dans nos contrats de services, les Données du client désignent toutes les données, y compris les fichiers texte, audio, vidéo ou image et les logiciels fournis à Microsoft par le client, ou au nom de celui-ci, via l’utilisation des services en ligne. Les données du client n’incluent pas les données des services professionnels. Pour plus de clarté, les données du client n’incluent pas les informations utilisées pour configurer les ressources dans les services en ligne, comme les paramètres techniques et les noms de ressources.

Certains services Azure ne vous permettent pas de spécifier la région dans laquelle un service, tel que Microsoft Entra ID, Azure Monitor ou Traffic Manager, est déployé. Ces services fonctionnent à l’échelle mondiale pour fournir des fonctionnalités critiques aux clients et sont appelés services non régionaux. Sauf indication contraire, les services non régionaux stockent et traitent les données client dans n’importe quel centre de données Microsoft au sein des régions publiques Azure. Pour en savoir plus, consultez Résidence des données dans Azure.

Les données transférées entre les régions Azure restent sur le réseau mondial de Microsoft. Vous pouvez configurer des réseaux virtuels dans Azure pour activer l’accès uniquement à partir des réseaux d’entreprise avec des groupes de sécurité réseau Azure et un pare-feu Azure. De plus, vous pouvez restreindre l’accès depuis Internet à des emplacements spécifiques grâce à des fonctionnalités telles que les règles personnalisées de géolocalisation du pare-feu d’application Web Azure (WAF) et Accès conditionnel - Bloquer l’accès par emplacement.

Résidence des données dans Microsoft Cloud for Sovereignty

Les initiatives de stratégie de référence en matière de souveraineté de Microsoft Cloud for Sovereignty exigent que vous configuriez les régions Azure dans lesquelles les ressources peuvent être déployées. Pour les services régionaux, les régions configurées déterminent les zones géographiques de ces services et la limite de résidence effective des données pour le stockage des données client.

Vous pouvez configurer les SLZ pour restreindre l’utilisation de services particuliers, y compris les services non régionaux qui ne répondent pas à vos besoins particuliers en matière de résidence de données.

La configuration de base des SLZ comprend des règles de réseau qui décident à partir de quels réseaux vos ressources sont accessibles.

  • Les données d’une application déployée sur un abonnement dans les zones d’atterrissage Corp ou Confidential Corp sont limitées au réseau de votre organisation dans Azure et connectées à Azure.
  • Les données d’une application déployée sur un abonnement dans les zones d’atterrissage En ligne ou Confidentiel en ligne sont accessibles via Internet, de n’importe où, si l’utilisateur ou le système accédant aux données dispose des informations d’identification appropriées et s’il n’y a pas de pare-feu ou de règles d’accès conditionnel bloquant l’accès.

Pour plus d’informations, consultez Vue d’ensemble de la zone d’atterrissage souveraine.

Résidence de données et résilience

Les régions que vous configurez comme régions autorisées pour Microsoft Cloud for Sovereignty peuvent affecter la résilience des charges de travail que vous déployez. En règle générale, une sélection de région moins restrictive permet une plus grande résilience, car vous pouvez distribuer les applications sur des régions de plus en plus éloignées. Vous pouvez envisager le chiffrement (au repos, en transit et en cours d’utilisation) comme mesure de contrôle alternative à la restriction régionale, en particulier pour les applications qui ont des exigences de haute disponibilité.

La plupart des régions Azure se composent de trois zones de disponibilité ou plus. Les services de stockage et de calcul répartis sur plusieurs zones de disponibilité sont résilients face aux catastrophes locales qui peuvent affecter l’ensemble d’un centre de données. Pour la résilience face aux catastrophes susceptibles d’affecter une région entière, de nombreuses régions Azure disposent également d’une paire régionale dans la même zone géographique, permettant une réplication entre régions des opérations automatiques ou configurées par le client pour les services pris en charge. Pour aider à respecter certaines normes de résidence des données, certaines régions ne disposent pas de paire régionale et les clients sont responsables de la résilience des données dans le cas peu probable d’une panne de l’ensemble de la région. Pour en savoir plus, consultez Régions avec zones de disponibilité et sans paire régionale.

Voir aussi