Cloud : dans quels pays européens héberger des données sensibles ?

La RGPD (Règlementation européenne sur la protection des données personnelles) encadrera davantage la collecte et l’usage des données. En attendant, il est préférable de choisir un fournisseur Cloud européen certifié ou souverain pour s’assurer de la protection de ses données critiques.

Les entreprises affichent souvent des réticences à confier leurs données à un prestataire de Cloud. Elles craignent le piratage lorsqu’elles sont sur des serveurs mutualisés, et souffrent d’un manque d’informations sur la localisation des serveurs.

En Europe, les prestataires de Cloud sont, jusqu’à l’entrée en vigueur de la prochaine réglementation européenne sur la protection des données à caractère personnel, soumis à la législation de leur pays d’origine. En 2018, ils devront s’aligner sur la RGPD, qui imposera aux entreprises des contraintes plus draconiennes en matière de collecte et d’usage des données personnelles, de sécurité, de droit à l’oubli et de portabilité des données.

David Chassan, OutscalePar cette nouvelle réglementation, la Commission européenne vise à responsabiliser les acteurs du traitement des données, leurs partenaires et leurs sous-traitants. Mais en attendant l’été 2018, les prestataires de Cloud restent attachés à la législation de leur pays, où les contraintes en matière de protection de la donnée sont différentes. « Comme il est difficile de s’y repérer, il est important de faire le choix d’un prestataire certifié, conseille David Chassan, Chief Product Officer d’Outscale. Un provider peut être certifié ISO 27000 2013 sur l’ensemble de ses activités, ou sur certains volets uniquement. L’entreprise doit donc privilégier un opérateur certifié sur la totalité ou sur les services qu’elle souhaite souscrire. »

Autre point important : le lieu d’hébergement des serveurs. « C’est à l’entreprise de choisir le lieu en fonction des datacenters proposés par le provider. Il est toutefois recommandé de choisir un pays politiquement stable et de vérifier que les datacenters sont proches des nœuds de transit, afin de s’assurer d’une communication rapide et sûre entre l’entreprise et ses serveurs. Une dimension importante lorsqu’il s’agit des données critiques de l’entreprise », insiste David Chassan.

Cloud souverain et certifié : deux éléments pour se prémunir contre les mauvaises surprises

Enfin, il est recommandé d’exiger un contrat en langue française pour éviter tout malentendu. Et de vérifier dans les conditions générales de souscription le tribunal affilié en cas de litige. « Si celui-ci est situé dans un pays européen autre que la France, l’entreprise doit, en cas de litige, non seulement se rendre sur place, mais aussi solliciter un avocat local, les législations étant différentes d’un pays à un autre. Une telle situation peut s’avérer financièrement lourde » prévient notre interlocuteur.

C’est pourquoi il conseille deux critères : le premier est de faire le choix d’un Cloud souverain pour garantir le stockage et le traitement des données sur le territoire français. Le second est de choisir un provider membre du CISPE (Cloud Infrastructure Services Providers in Europe). « Ce regroupement a pour objectif de garantir un code de conduite en matière de stockage et de traitement des données en conformité avec la future RGPD. Les Cloud providers membres du CISPE s’engagent à ne pas traiter les données collectées des clients pour leurs propres besoins. À ce jour, une dizaine de providers européens ont rejoint le CISPE, » souligne David Chassan. Un gage de sécurité.