Article réservé aux abonnés Archimag.com

Data centers : leur localisation en questions

  • 277 2_2 dossier cloud Localisation Data center credit Pixabay - Kewl CJO.jpg

    Si un centre de données se trouve en Europe, il est soumis à la directive 95-46 contenant les règles en matière de protection des données (Pixabay/Kewl).
  • Sommaire du dossier :

    - Stockage dans les nuages : sortez la tête du cloud !
    ​- Data centers : leur localisation en questions
    - Droit : toutes les questions à se poser avant de migrer dans le cloud​
    ​- 3 solutions cloud au banc d'essai : du grand public à l'entreprise
    - Le cloud, paradis de l'e-facturation

    Si choisir un fournisseur cloud peut être compliqué, être attentif à la localisation de ses data centers est un premier point permettant d'assurer la protection de ses données. Il n'est pas le seul, selon le Contrôleur européen de la protection des données (CEPD) (1).

    La localisation d'un data center joue-t-elle sur le niveau de protection et la sécurité des données hébergées par un fournisseur de service cloud ?

    Nous avons en Europe un régime harmonisé permettant aux données de circuler librement, sans contrainte, selon le cadre juridique fixé en 1995 par la directive 95-46. C'est cette directive qui contient les règles en matière de protection des données, que chaque État membre a dû transposer dans son droit national. Si un centre de données se trouve en Europe, il est donc soumis aux règles de cette directive, voire même éventuellement à des règles encore plus strictes établies selon les pays.
    En dehors de l'Europe, chaque pays aura ou non une législation en matière de protection des  données. Il faut donc toujours se demander : le pays tiers vers lequel les données sont envoyées présentera-t-il un niveau de protection adéquat, c'est-à-dire comparable à celui que l'on peut trouver en Europe ?

    Comment peut-on s'en assurer ?

    Un chapitre de cette directive encadre spécialement les transferts internationaux de données. Il les autorise vers un pays qui ne serait pas doté de la même législation que nous à condition que celui-ci accepte de soumettre un dossier de demande d'adéquation à la Commission européenne. Sur la base d'un certain nombre d'éléments juridiques et factuels, la Commission évaluera si les droits des personnes pourront être véritablement défendus dans ce pays. Certains, comme le Québec, en ont fait récemment la demande. D'autres, comme l'Argentine ou l'Australie l'ont déjà obtenu.
    Notons également que parmi les bénéficiaires de cette adéquation se trouvent également certaines entreprises américaines faisant partie du "safe harbor" (la "sphère de sécurité"), c'est-à-dire respectant la législation de l'Espace économique européen (EEE).

    Et si le pays où sont stockées les données n'a pas ce niveau de protection adéquat ?

    Dans ce cas, très courant, c'est alors 

    au responsable du traitement des données (le client européen, par exemple) de s'assurer de la mise en place de mécanismes contractuels garantissant la protection des données auprès de l'opérateur choisi. En effet, c'est celui qui décide du traitement des données à la base qui a la responsabilité globale de la conformité de ce qu'il en fait. Concrètement, si une petite PME française décide d’utiliser un service cloud pour faciliter le partage de documents en interne, elle devra se mettre en conformité dans le cadre de la protection des données, et ce, partout où celles-ci seront traitées. À noter qu'un fournisseur de cloud américain peut très bien avoir des data canters en Inde et y faire transiter les données de ses clients, ce qui complique grandement ces démarches.

    La localisation du data center est-elle le seul point de vigilance ?

    Non, il faut également vérifier la location du siège social du fournisseur, laquelle détermine sa nationalité. Par exemple, s’il s’agit d’une entreprise américaine, des lois aux États-Unis peuvent requérir qu’un certain nombre d’informations soient partagées avec son administration à la demande d’une autorité ou d’un juge. Ce fut le cas dans l’affaire Prism. Ceci est valable quel que soit l’endroit où les données sont localisées (même si c’est en Inde ou en Europe !). Ces questions se posent d’ailleurs pour tous les États, et d’autant plus quand on veut faire du cloud en dehors de l’Union européenne. En effet, on ne connaît ni forcément l’étendue des lois hors UE qui pourraient réclamer ce genre d’accès, ni chez qui ces données vont atterrir.
    La localisation du data center et du siège social du fournisseur de service cloud ont donc une importance, car des lois ayant des effets extraterritoriaux peuvent faire en sorte que des données localisées en Europe puissent devoir être communiquées hors UE. C'est pourquoi les entreprises européennes qui se lancent dans ce genre de services ont aujourd'hui énormément de potentiel sur notre marché.

    (1) Autorité de contrôle indépendante, le CEPD vise à protéger les données à caractère personnel et la vie privée ainsi qu'à promouvoir les bonnes pratiques dans les institutions et les organes de l'UE. Seuls les membres de sa direction sont autorisés à parler en leur nom, c'est pourquoi notre interlocuteur a souhaité garder l'anonymat.
    secure.edps.europa.eu

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !

    Au sommaire ce mois-ci

    - L’intelligence économique au service de l’influence normative
    - La dématérialisation des processus marque des points
    - Quand la bibliométrie oriente les chercheurs
    - RSE : du besoin naît le choix

    DOSSIER : Sortir la tête du cloud

    Mettre ses informations dans les nuages, tout le monde sait de quoi il s’agit. Mais le cloud a encore besoin de rassurer. Si les outils du cloud sont simples à utiliser, que se passe-t-il en cas de mauvais fonctionnement ?

    Et aussi :
    - Sécurité et traçabilité des e-mails : innover pour résister aux pirates
    - Externalisation des archives dde la Caisse d'Epargne Rhône-Alpes : banco
    - Les métiers de l'édition juridique en mutation profonde
    - Convertir ses fichiers en ligne
    - Delphine Secret, l'IE comme langue vivante
    - Bernard Stiegler : "le fabuleux marché de la mémoire pourrait devenir un marché de l’amnésie"​
    + applis cadeaux, beaux livres, etc.

    Acheter ce numéro  ou  Abonnez-vous

    À lire sur Archimag

    Le chiffre du jour

    C'est le nombre de documents relatifs aux attentats du 13 novembre 2015 et mis en ligne sur le site des Archives municipales de Paris.

    Recevez l'essentiel de l'actu !

    Le Mag

    Tout Archimag, à partir de 9,50 €
    tous les mois.