Il reste environ un mois pour se mettre en conformité avec le règlement européen sur la protection des données, dit RGPD, (ou GDPR en anglais). Le RGPD repose sur une logique de responsabilisation des entreprises, avec l'obligation de mettre en œuvre des mesures appropriées de protection des données par une approche par les risques, mais aussi l'obligation de démontrer cette conformité.

Or, si certaines sociétés ont démarré un programme de mise en conformité, d'autres ne l'ont pas fait, soit parce qu'elles connaissent peu ce texte ou n'en ont pas compris les termes et les enjeux, soit parce qu'elles ont le sentiment d'être déjà en conformité puisqu'elles le sont avec la réglementation française en vigueur. Outre la mise en œuvre de mesures techniques et organisationnelles en interne, les entreprises vont aussi devoir se poser la question de la mise en conformité des services fournis par leurs prestataires. Elles doivent notamment s'interroger sur les processus de stockage et de traitement des données par les fournisseurs d'infrastructures de Cloud computing, en particulier la question de la localisation des données et de leur transfert.

Un code de conduite pour encadrer les transferts hors UE

Avec le RGPD, les transferts de données hors UE, y compris en ce qui concerne l'hébergement, restent possibles à condition d'être encadrés, par exemple par une décision d'adéquation d'un pays tiers, la signature des clauses contractuelles types ou encore l'adhésion à un code de conduite approuvé.

Dans ce contexte, en octobre 2016, plusieurs fournisseurs de solutions IaaS en Europe se sont regroupés en association, le CISPE (Cloud Infrastructure Services Providers in Europe), et ont lancé le premier code de conduite relatif à la protection des données. Ils se sont ainsi engagés à offrir à leurs clients la possibilité de traiter et de stocker leurs données exclusivement en Europe. Ce code déjà en vigueur depuis plusieurs mois entend défendre de bonnes pratiques dans ce domaine et, ce faisant, est conforme au RGPD tout en le complétant avec des recommandations propres à l'industrie spécifique de l'hébergement informatique.

Cela étant dit, à l'heure où le secteur numérique est dominé par les géants américains, confier l'hébergement de ses données à un prestataire déclaré conforme, mais aussi dont les Datacenter et les équipes sont situés sur le territoire national, est la meilleure garantie pour les entreprises françaises d'une réelle protection de leurs données.

Privacy by design, Privacy by default, FISAA... autant de raisons pour les entreprises françaises d'héberger ses données en France. Depuis juin 2013, et la révélation par Edward Snowden de l'existence du programme de surveillance américain PRISM, l'actualité est riche en ce qui concerne le stockage des données des citoyens européens par des fournisseurs IaaS américains.

La Cour suprême des Etats-Unis a actuellement sur son bureau le dossier judiciaire opposant Microsoft aux services de renseignement américains, concernant des données personnelles stockées en Irlande... Le Parlement américain vient de reconduire pour cinq ans la loi FISAA (« Foreign Intelligence Surveillance Act ») qui autorise la surveillance des données des citoyens non américains par les services de renseignements US...

Quant à l'accord Privacy Shield signé en 2016 entre la Commission européenne et les Etats-Unis pour « sécuriser » les transferts de données personnelles, il fait l'objet de nombreuses critiques, y compris des autorités européennes de protection des données, et est par ailleurs sous le coup de deux recours en justice... On le voit bien, faire héberger ses données auprès d'un prestataire de services d'infrastructures Cloud chez « l'oncle Sam » peut créer pour les entreprises françaises à la fois des risques en termes de protection et de sécurité des données et une incertitude juridique.

Recourir à un prestataire installé dans un autre pays non membre de l'UE, ou installé en France mais dont le centre support ou le centre de supervision est localisé dans l'un de ces pays, peut aussi poser problème. Par exemple, le Canada ou la Nouvelle-Zélande ont bien été reconnus par la Commission européenne comme des pays offrant un
niveau de protection adéquat des données, mais ils appartiennent au groupe des « Five Eyes », cinq pays reliés entre eux par un traité prévoyant la coopération entre les différents services de renseignements quant à la collecte de données télécoms et numériques.

Proximité, Open Source ; pour une meilleure protection des données

Aussi, avant de choisir un fournisseur de services IaaS, toute entreprise souhaitant faire héberger ses données devrait se demander où elles sont stockées et se poser un certain nombre d'autres questions.

Le centre de support client est-il basé en Europe ? Les données qu'il collecte et traite dans le cadre de ses missions ne risquent-elles pas à un moment ou un autre d'être transférées en-dehors de l'UE, surtout dans le cadre de sous-traitance de second rang décidée par un fournisseur de services non européen ? Le centre de supervision est-il localisé en Europe et ses équipes sont-elles toutes installées sur notre continent ? L'utilisation de systèmes propriétaires pour la gestion des infrastructures ne risque-t-elle pas de donner lieu à des transferts de données hors UE ? A contrario, l'utilisation de l'Open Source pour gérer les infrastructures ne permet-elle pas de maîtriser les échanges entre les infrastructures et les centres de supervision des éditeurs ?

La localisation en France des Data centers garantit aux clients la confidentialité et la sécurité de leurs données, mais aussi la simplicité, les entreprises étant plus à même de constater par des visites sur place, dans quelles conditions réelles leurs données seront stockées. La localisation en France des équipes de support clients et des centres de supervision des infrastructures permet elle aussi une meilleure protection des données. De même, l'utilisation de l'Open Source pour gérer les infrastructures permet de maîtriser les échanges entre ces infrastructures et les centres de supervision des éditeurs.

Application systématique des principes de Privacy by design et de Privacy by default, réalisation d'analyses d'impact de la vie privée, tenue d'un registre des activités de traitements, notification des violations de données... Ces quelques exemples de nouvelles exigences témoignent de la nécessité de mettre en place dès à présent un programme de mise en conformité. Data centers et équipes en France, Open Source, autant de choix pour être au plus près des exigences du nouveau règlement européen tout en garantissant une innovation, une simplicité et une satisfaction client au cœur de ses solutions.