Depuis plusieurs années, la question de l’hébergement des données se pose à toute entreprise, quelle que soit sa taille et son secteur d’activité. Elle se pose même sous différents aspects. Le comment : sur des serveurs physiques dans l’entreprise, dans le cloud, chez un hébergeur ; le combien : et oui, héberger et avoir accès de façon continue et facile a un coût, le prévoir et le maîtriser demande une certaine expertise (les « dérapages » sont faciles) ; le qui : les acteurs sont somme toute nombreux, des grands, très grands, aux solutions moins médiatiques mais tout aussi efficaces, au niveau régional voire local ; et surtout, question centrale : le où.
La question de la localisation de l’hébergement des données a été tranchée depuis plusieurs années maintenant par la localisation des serveurs sur le territoire français ou européen pour éviter la peur première d’une main mise US automatique si les services cloud sont implantés sur leur territoire. Toutefois, ceci ne reste pas tout, car la nationalité de l’hébergeur est tout aussi importante que sa localisation. Car les USA sont tous puissants pour décréter un quelconque danger pour la sécurité nationale et, automatiquement, s’approprier les données de l’entreprise considérée comme dangereuse. Du Patriot act au Cloud act, l’accès aux données personnelles est illimité si la situation le demande. Et le American Data Privacy and Protection Act, qui peut se rapprocher du RGPD n’a pas de poids face à ces deux ainés. Cocorico, une solution française existe, le nordiste OVH ! Mais il ne peut, à lui seul, prendre le relais des autres et de leur offre globale.
Le contexte géopolitique global et l’imprévisibilité du Président des États-Unis et de ses conseillers remettent ce sujet au cœur du débat. La semaine dernière, Microsoft a annoncé la finalisation de son projet EU Data Boundary, initié en 2022. Ce projet doit apporter un cadre pour garantir que les données cloud de ses clients en Europe sont bien stockées et traitées au sein de l’UE. Progrès indéniable mais pour autant, la souveraineté des données n’est pas garantie. Si l’un des trois géants s’est engagé dans cette voie, parfait. Mais quid d’AWS et de GCP ? Le 21 janvier dernier, leurs présidents respectifs ont porté allégeance au président élu, tout comme celui de Meta, ce qui pose la encore une nouvelle fois la question de leur politique globale de protection des données.
Alors, devons-nous nous inquiéter, plus qu’avant, du contexte global et de la protection stratégique des données, personnelles ou professionnelles, faire confiance aux politiques européennes, aux hébergeurs qui s’engagent à les respecter, ou internaliser à nouveau tout ce qui est dans le cloud ? Un casse-tête que les DSI et les CDO vont devoir résoudre afin de répondre efficacement à cette nouvelle donne mondiale.