Pour les entreprises européennes comme étrangères à l’Europe, la GDPR est une épreuve de mise en conformité souvent complexe, et à haut risque par son volet répressif, qui véhicule une crainte forte sur le cloud, alors qu’elles peuvent trouver une issue favorable via le cloud public.
Qu’est-ce que le RGPD - GDPR (Global Data Protection Regulation) - pour les entreprises ? C’est un défi législatif qui impose de prendre en compte les données personnelles identifiables des clients au travers des processus internes. C’est cependant plus simple à dire qu’à faire.
L’échéance du 25 mai 2018 représente une épreuve, pour toutes les entreprises qui exercent ou commercialisent des produits ou des services en Europe. Et c’est également un risque fort, car le législateur européen n’y est pas allé de main morte du côté du volet répressif, avec ses sanctions financières massives. Nous ne nous étendrons pas sur ce sujet, nous vous invitons à lire les nombreux articles que nous avons déjà publiés (lire en particulier « Qu’est-ce que GDPR ou RGPD ? Définition de GDPR et RGPD » ou interrogez notre moteur de recherche).
Si pour certaines entreprises la GDPR ne nécessite qu’un remaniement de règles de marchés – c’est le cas de la finance via la directive MIF II, même si concernant la finance britannique le Brexit va nécessiter l’adaptation de la législation -, dans beaucoup de cas, l’environnement de l’entreprise n’est pas aussi 'compliant', nécessite des aménagements complexes, et elles risquent fort de ne pouvoir se permettre de prendre le risque potentiel qui menace la marque et ses clients de subir des sanctions publiques.
Le cloud version 1 : se détourner du nuage
C’est dans cette situation de peur de la gestion de la complexité de la mise en conformité que, malgré ses multiples avantages, le cloud est perçu négativement. Circule l’idée fausse que les entreprises ne peuvent faire confiance aux services de cloud public, qui ne répondront pas à leurs besoins de conformité.
Cette idée fausse repose sur l’image de plateformes de cloud dont les données sont détenues par des tiers sur des systèmes partagés. Et que la mise en conformité serait plus difficile que sur des systèmes traditionnels en interne. Il est en effet facile d’imaginer qu’une infrastructure interne est plus sûre et plus facile à gérer. Maintenant, posons-nous la question « les entreprises savent-elles exactement où sont stockées leurs données et qui y a accès ? ». La réponse n’est pas si évidente.
Que l’infrastructure IT de l’entreprise soit dans son datacenter ne signifie pas qu’elle est intrinsèquement plus sûre, élastique ou adaptée pour répondre aux besoins de conformité réglementaire que le cloud public.
Le cloud version 2 : profiter du nuage
Si le fournisseur de cloud est capable de répondre aux attentes de géolocalisation des données dans l’espace européen demandées par la GDPR pour les données personnelles de ses ressortissants, l’emplacement où sont stockées les données personnelles ne devient plus qu’un aspect de la sécurité et de la conformité.
Chez l’opérateur, les données de l'entreprise sont stockées dans une installation sécurisée avec de multiples couches de sécurité physique. Là encore la question de la sécurité des données dans un cloud privé sur une infrastructure physique gérée par l’entreprise peut être posée...
L’argument de la GDPR-RGPD
La concurrence sur les marchés augmente à un rythme rapide. Dans ces conditions, assurer la conformité est non seulement un précieux avantage concurrentiel pour les entreprises qui offrent des services de cloud public, mais c’est aussi essentiel pour gagner la confiance des clients et à son tour leur loyauté. A l’inverse de la peur émise par les entreprises, certains fournisseurs de cloud ouvrent la voie avec une proposition de valeur très ciblée autour de la conformité réglementaire. Et n’oublions pas qu’un volet de la GDPR porte sur la responsabilité partagée des tiers, qui sont désormais introduits dans la boucle de l’offre de leurs clients
Les fournisseurs de cloud public sont également susceptibles d'effectuer des correctifs logiciels sur une base plus régulière qui est essentielle pour gérer la conformité. Les entreprises en cours d'exécution de leurs propres nuages privés seront généralement plus lentes à colmater les failles de sécurité, se laissant exposées à des violations de données potentielles et des trous de conformité. Les vulnérabilités récentes Spectre et Meltdown sur les processeurs Intel en sont des exemples flagrants.
Et si la solution était dans la combinaison des facteurs et le cloud hybride ?
La majorité des entreprises confrontées à des attaques sont souvent bien seules… Elles souffrent également d’un mal endémique : le manque de compétences. Il est devenu difficile d’attirer et de retenir des personnes qualifiées et expérimentées, et des développeurs talentueux que le marché s’arrache parfois à prix d’or.
L’utilisateur final, le client qu’il soit interne ou externe, est devenu sensible à la sécurité de ses données personnelles. Pour lui répondre et se défendre, l’entreprise ne peut compter que sur elle-même et a besoin de soutiens. Dans ce contexte, l’avantage d’un cloud public pour l’entreprise est de reporter la conformité réglementaire sur un tiers qui n’a d’autre solution pour continuer de travailler avec ses clients que de disposer des compétences et d’avoir relevé le défi de la conformité plutôt dans ses aspects techniques.
Voilà pourquoi une démarche de cloud hybride peut être considérée comme une partie de la réponse à apporter à la GDPR-RGPD. A l’entreprise de s’assurer de la 'compliance' de ses fournisseurs, et de la conformité contractuelle sur les responsabilités de chacun, avant de reporter sur eux une part de sa responsabilité sur les données personnelles de ses salariés et de ses clients.
Image d’entête 903899986 @ iStock SBphotos