Alors que l’application du règlement européen sur la protection des données personnelles (RGPD) sera effective le 25 mai prochain, les entreprises doivent notamment s’interroger sur les processus de stockage et de traitement des données par les fournisseurs d’infrastructures de Cloud computing, en particulier la question de la localisation des données et de leur transfert. Solutions Numériques a interrogé sur le sujet Jules-Henri Gavetti, président et co-fondateur d’Ikoula, spécialiste de l’hébergement informatique, des serveurs dédiés et du Cloud français.
Solutions Numériques : Est-il obligatoire de faire héberger ses données sur le sol français ?
Jules-Henri Gavetti : A l’heure où le secteur numérique est dominé par les géants américains, confier l’hébergement de ses données à un prestataire déclaré conforme, mais aussi dont les datacenters et les équipes sont situés sur le territoire national, est la meilleure garantie pour les entreprises françaises d’une réelle protection de leurs données.
Privacy by design, Privacy by default, PRISM (programme de surveillance américain), FISAA (« Foreign Intelligence Surveillance Act »)… on le voit bien, faire héberger ses données auprès d’un prestataire de services d’infrastructures Cloud chez « l’oncle Sam » peut créer pour les entreprises françaises à la fois des risques en termes de protection et de sécurité des données et une incertitude juridique.
Quant à l’accord Privacy Shield signé en 2016 entre la Commission européenne et les Etats-Unis pour « sécuriser » les transferts de données personnelles, il fait l’objet de nombreuses critiques, y compris des autorités européennes de protection des données, et est par ailleurs sous le coup de deux recours en justice.
Recourir à un prestataire installé dans un autre pays non membre de l’UE, ou installé en France mais dont le centre support ou le centre de supervision est localisé dans l’un de ces pays, peut aussi poser problème. Par exemple, le Canada ou la Nouvelle Zélande ont bien été reconnus par la Commission européenne comme des pays offrant un niveau de protection adéquat des données, mais ils appartiennent au groupe des « Five Eyes », cinq pays reliés entre eux par un traité prévoyant la coopération entre les différents services de renseignements quant à la collecte de données télécoms et numériques.
Pourquoi faudrait-il choisir un prestataire français ?
J-H. G. Pour deux raisons principales. La première, pour bénéficier d’un service de qualité, délivré par une équipé basée en France, disponible et réactive. En cas de besoin, l’entreprise doit pouvoir parler avec un technicien expérimenté et pas un chatbot. D’autre part, la localisation en France des datacenters garantit aux clients la confidentialité et la sécurité de leurs données, mais aussi la simplicité, les entreprises étant plus à même de constater par des visites sur place dans quelles conditions réelles leurs données seront stockées.
Quelles exigences lui demander ?
J-H. G. Pour être en conformité avec la RGPD, les entreprises doivent porter un œil particulièrement attentif à leur fournisseur d’infrastructure. La localisation des data a bien évidemment son importance mais d’autres facteurs rentrent en jeu, et notamment des critères éthiques propres à chaque fournisseur.
Certains ont d’ailleurs récemment formé une association, le CISPE (Cloud Infrastructure Services Providers in Europe) qui défend les bonnes pratiques de l’hébergement au travers d’un code de conduite. Dans ses grandes lignes, ce code impose aux fournisseurs d’infrastructure des exigences particulières en termes d’hébergement de ces data (exécution en Europe uniquement), de transfert, mais également de non traitement de ces données. Le but étant de laisser pleine propriété et maîtrise aux entreprises sur leurs données. Ikoula défenseur historique d’un hébergement éthique fait partie des initiateurs de ce regroupement.
Quelles sont vos propres atouts ?
J-H. G. Ce qui fait notre force : le service. Nous prônons un Cloud plus humain. Concrètement, nous sommes par exemple, les seuls du marché à proposer une offre combinant gestion de l’infrastructure et infogérance. Traditionnellement, ces deux fonctions sont gérées par des prestataires différents. Et en cas de problème, ces derniers ont tendance à se renvoyer la responsabilité, au détriment du client. Avec cette offre, le client dispose d’un interlocuteur unique.
Nous sommes bien entendu propriétaires de nos deux datacenters en France ce qui nous permet à la fois de garder le contrôle de nos infrastructures, de mener des politiques responsables sur un plan écologique mais également d’offrir un niveau de service attendu par les clients les plus exigeants. Enfin, nos clients sont accompagnés par une équipe qualifiée disponible 24/7.
Le RGPD amène-t-il à changer les contrats ? Si oui, de votre part ou de celles des clients ?
J-H. G. Un seul client nous a sollicité formellement sur ce sujet mais Ikoula a pris les devants et a engagé un processus de mise à jour des clauses de ses contrats et une communication est prévue auprès de ses clients. Le but est d’informer et de rassurer les utilisateurs.
Vous-même, avec le RGPD, avez-vous eu besoin de mettre en place des changements ?
J-H. G. En étroite collaboration avec notre DPO, tous les services de la société sont accompagnés dans les mesures d’amélioration des process pour être en conformité avec le RGPD.
Les changements les plus impactants concernent les ressources humaines qui par essence gèrent les données personnelles : candidats, salariés et leurs ayants droits. C’est donc toute la chaîne RH qui est impactée.