webleads-tracker

+33 1 34 30 80 30

Le RGPD : quelles conséquences dans les Datacenters ?

Le Règlement Général sur la Protection des Données – RGPD ou GDPR – encadrera à partir du 25 mai 2018 prochain la sécurisation des données personnelles dans un cadre totalement nouveau. Ce cadre règlementaire est une innovation majeure, et presque un changement de paradigme pour la France.

Auparavant, les entreprises détentrices et utilisatrices de données personnelles avaient une obligation de déclaration de leurs fichiers et bases de données vers la CNIL, laquelle pouvait exercer son pouvoir de vérification et de contrôle pour intervenir sur les irrégularités et infractions. Désormais les processus de collecte et de traitement des données personnelles devront être conformes dès la conception, sans plus de déclaration obligatoire.

Le législateur a pris soin de préciser que ce nouveau cadre réglementaire s’imposera aux entreprises et à leurs sous-traitants, quel que soit leur taille et activités. Ce dernier point a fait l’objet d’âpres débats, et de bon nombre d’incompréhensions, quant à son impact pour les datacenters. Quelles sont donc les responsabilités nouvelles, et les limites de responsabilités, pour les Datacenters dans le cadre du RGPD ? Faisons un point synthétique sur le sujet.

Il y a souvent eu méprise en confondant deux types de données présentes dans le datacenter. Il y a d’un coté les données à caractère personnel que peut posséder l’exploitant de datacenter, qu’il soit un datacenter de type propriétaire au sein d’une entreprise, ou un acteur de colocation neutre. Ces données sont par exemple celles afférentes à des autorisations d’accès, avec des données individuelles de biométrie associées.

Pour la gestion de ce type de données, le datacenter est une entreprise comme les autres, et doit se soumettre aux obligations de la RGPD. Rappelons-en ici l’essentiel : il s’agit de tenir un registre de ces données, de mettre en place une démarche active de la prévention du risque de fuite, de s’assurer de la conformité par défaut soit dès la collecte et la mise au point des processus de traitement, d’anticiper les mesures en cas de brèche de sécurité (prévention très rapide du propriétaire de la donnée), d’être capable de réactivité et de transparence en cas de requête des individus concernés quant à leur données, et enfin d’être capable de donner des preuves de la conformité sur requête à la CNIL.

Il y a cependant un autre type de données, qui ne doivent pas être confondues avec les premières : les données qui sont stockées sur les serveurs eux-mêmes au sein du datacenter. Si ces serveurs sont dans un datacenter de colocation, c’est le client propriétaire des données qui en porte la responsabilité légale, et non l’exploitant du datacenter. En cas de contrôle, un tiers hébergeur pourra arguer du fait que les informations ne lui appartiennent pas, et qu’il n’a d’ailleurs pas accès lui-même à ces données. En ce qui concerne les datacenters détenus en propre par des entreprises, la responsabilité de gestion des données ne reposera pas sur les équipes d’exploitation du datacenter, mais sur les départements idoines de la DSI.

Par ailleurs, le référentiel ISO 27001, sur lequel nombre d’hébergeurs sont certifiés, est référentiel dans lequel on retrouve des points communs avec la directive GDPR notamment avec les points de l’annexe ISO/CEI 27001 : 2013, ce qui constitue une excellente base pour le DPO (Data Protection Officer) pour viser la conformité aux exigences du RGPD.

 

Le RGPD est donc un cadre plus exigeant que la réglementation précédente, mais c’est aussi une vraie source d’opportunités. La visée générale est d’abord celle d’une amélioration de la sécurité de l’informatique, et donc de la confiance que l’on peut avoir dans le respect des contraintes associées au traitement des données personnelles. Améliorer la confiance reste un des facteurs clé pour les activités commerciales sur internet. A moyen terme c’est aussi un des constituants nécessaires pour le développement des technologies de e-paiement, comme pour celles en plein essor de l’Internet des Objets.

Le RGPD va favoriser l’arrivée de clients internationaux en France, en créant un cadre législatif et un traitement uniforme à l’échelle de toute l’Europe. Traditionnellement, c’est l’Allemagne qui avait le plus haut niveau de maturité sur ces questions, avec une sensibilité qui a parfois conduit à de véritables débats publics et politiques sur les sujets du respect de l’intimité et de la confidentialité. Cette maturité lui valait d’accueillir plus que sa part des acteurs du numériques les plus exigeants sur ce sujet, ce qui n’aura désormais plus lieu d’être. La France rattrape donc son retard et renforce son attractivité pour tous les acteurs économiques ayant à manipuler des données personnelles.

Cela s’accompagne d’ailleurs d’un mouvement perceptible de relocalisation sur le territoire national des données qui y ont été collectées. Sans être explicitement compris dans le RGPD, cette mesure facilite son application, et constitue donc un autre vecteur d’opportunités.

Au final, et en mettant en balance les contraintes et les opportunités, les exploitants de datacenter ne peuvent que sortir gagnant d’un cadre réglementaire générateur de confiance, et d’opportunités commerciales accrues. Il faut donc considérer que le verre est « à moitié plein », et saisir ces opportunités : chiche ?!

Leave A Comment