Le RGPD, l’hébergement et les centres de données. Le point de vue de René Fell

Quels sont les impacts du RGPD pour les data centers et le monde l’hébergement?

Hébergement des données à l’heure du RGPD : qu’en est-il pour le secteur des data centers ? Le 7 mars, M. René Fell donnera une conférence sur le thème du RGPD. Avant sa présentation, il a répondu à quelques-unes de nos questions.

RGPD VIGISWISS René Fell Conférence à Sion - RGPD/GDPR, données et hébergement

René Fell directeur d’ABISSA Informatique SA et fondateur de VIGISWISS – conférence à Sion/Valais RGPD

Vous êtes un des intervenants à la conférence sur le RGPD à Sion (7 mars au Bureau des Métiers). Fondateur et président de la première association suisse de datas centers certifiés, ce règlement aura-t-il des impacts pour vos membres ? Et dans l’affirmative, de quelle nature ?

Il est peut-être intéressant de rappeler le métier d’un Centre de données, qui est souvent confondu avec celui d’Hébergeur.

Le Centre de données (Datacenter) a pour mission d’assurer que le bâtiment mis à disposition pour héberger les données soit approprié et sécurisé. Le responsable d’un Centre de données réfléchit en termes de sécurité physique (accès strictement contrôlé au bâtiment) et en termes d’énergie (accès au réseau électrique et à des dispositifs de secours). Il pense aussi en termes de conditionnement des locaux (température, hygrométrie) et finalement en un grand nombre de contre-mesures en cas de catastrophe (incendie, tremblement de terre). Compte tenu de son rôle, le Centre de données est très peu concerné par la RGPD : il y est cependant soumis s’il emploie des résidents de l’Union Européenne, comme toute autre entreprise.

C’est en fait l’Hébergeur qui est plus concerné par ce règlement. Comme il stocke les données pour ses clients, il pourra être, dans certains cas, soumis à cette nouvelle réglementation.

Mais le principal intéressé par le RGPD est le Client de l’Hébergeur, car c’est lui qui décide des données personnelles qu’il va stocker et des traitements qu’il va leur apporter.

Le RGPD prévoit des sanctions. Pensez-vous que ce règlement va améliorer la sécurité des systèmes informatiques ?

Ce règlement va indirectement contribuer à plus de sécurité en ce qui concerne les bases ou banques de données dites sensibles, au sens du RGPD. Les entreprises qui récoltent ce type de données doivent en assurer la confidentialité, ce qui les amènent à revisiter leur politique de sécurité au sens large.

Question complémentaire : puisqu’il faudra dès la fin mai établir une sorte de carte des données en possession d’une entreprise, être en mesure de dire qui a accès à quelles données et avec quels droits, sera-ce la fin des fameuses « portes dérobées » ?

Malheureusement pas. Certains états, parmi les plus grands de notre planète, exigent de la part des constructeurs de dispositifs digitaux (ceux de leur pays) des moyens d’accéder en toute discrétion à des serveurs de données. Les Etats-Unis, pour ne citer qu’eux, s’appuient sur leur loi contre le terrorisme (Patriot Act) pour obtenir de tels accès. Récemment, le Congrès américain demandait encore plus de latitude pour élargir ces mesures d’espionnage.

Dans le prolongement, pensez-vous que ce règlement entraînera une hausse des coûts ?

Comme tout dispositif contraignant, il entraine son lot de coûts supplémentaires. Le prix de la mise en place d’un plan de sécurité à un niveau acceptable par le RGPD pourra être conséquent. Mais ensuite, le coût deviendra marginal. Enfin, je pense que le RGPD apporte au citoyen un niveau de sécurité de sa sphère privée qui justifie ces investissements.

Est-ce que ce règlement est applicable ? Des habitudes ont été prises et des pratiques établies (à tort ou à raison). Va-t-on revenir en arrière ? Pourra-t-on le faire ?

Le RGPD est une réponse au « vol » systématique de nos données privées notamment par les grands acteurs du nouveau monde digital : Google, Facebook et beaucoup d’autres proposant de services « gratuits » se servent sans vergogne de nos données. Et qu’en font-ils ? Ils les valorisent auprès de tiers. Nos idées, déclarations, photographies et autres données (médicales, patrimoniales) nous appartiennent. Il n’est plus admissible que certains fassent main-basse sur ce qui est finalement notre intimité ! Pour mémoire, nous savons aujourd’hui que Google se servait de données contenues dans la messagerie Gmail afin de dresser de nous un « profil » intime. Ce n’est qu’un exemple…

L’actualité est riche en matière de protection, d’hébergement et de sécurité des données : la loi fédérale sur le renseignement, les vols de données et la prochaine application du RGPD. En tant que Président et fondateur de Vigiswiss, voyez-vous une tendance lourde ? Une forme de maturation de ce secteur où maintenant on écoute les utilisateurs et prend leurs droits en considération ? Ou est-ce de la « cosmétique » ?

Non, car le RGPD est une mesure forte et concrète. L’idée est vraiment de protéger l’intimité du citoyen. Une des idées fortes est le consentement explicite qui empêche les propriétaires de sites WEB de nous faire accepter des contraintes importantes. En plus, celles-ci sont diluées dans des dizaines de pages de conditions générales. De surcroît, elles changent tous les six mois…

Ainsi, avec le RGPD, tout un chacun saura à quels « risques » il s’expose en acceptant la récolte et le traitement de ses données personnelles. Bien évidemment, en refusant, les conséquences seront aussi là. Aurons-nous encore accès à tous ces nombreux services « gratuits » ? Mais au moins, le contrat sera clair.

Vous connaissez le règlement. Est-ce que quelque chose vous a frappé ? Est-ce qu’il manque quelque chose ?

Je l’ai lu. Il est copieux mais très compréhensible. Pas (ou peu) de charabia juridique. On arrive à en condenser l’essentiel sur une ou deux pages. Ce que j’ai fait à l’attention de mes collaborateurs. C’est un exercice intéressant.

Je pense que c’est un règlement qui devra évoluer. Comme toute loi, les juristes de grands acteurs du WEB essayeront donc de trouver des moyens de le contourner. Mais pour l’essentiel, c’est un dispositif réglementaire qui me semble fort et très complet.

3 Comments
  1. Article très intéressant, qui introduit parfaitement la conférence du 07 mars 2018 où Mr.Fell a illustré les enjeux et les obligations des différents acteurs.

    • Nicolas Wipfli
    • 3 mars 2018
    Répondre

    Article très intéressant, merci pour le partage.
    J’ai une petite précision concernant la ligne “il y est cependant soumis s’il emploie des résidents de l’Union Européenne, comme toute autre entreprise”. Ce n’est pas tout à fait exact car le simple fait, pour une entreprise, d’employer des résidents de l’UE, ne soumet pas cette entreprise au RGPD. L’application extraterritoriale indique clairement que les sociétés sont soumises au RGPD lorsque les activités de traitement sont liées

    A) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
    B) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

    Voir article 3 alinéa 2 ainsi que les considérants 23 et 24.
    Pour aller plus loin, le considérant 24 stipule clairement “des facteurs tels que l’utilisation d’une langue ou d’une monnaie d’usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d’utilisateurs qui se trouvent dans l’Union, peuvent indiquer clairement que le responsable du traitement envisage d’offrir des biens ou des services à des personnes concernées dans l’Union”. Le fait par exemple d’avoir un site sur un top domaine .fr, .de peut aussi laisser supposer que des biens ou des services pourraient être vendus, donc dans ce cas l’entreprise pourrait très bien être soumise au RGPD.

    Afin d’éviter toute confusion, si l’on emploie des résidents de l’UE mais que l’on ne rentre pas dans les conditions susmentionnées, l’entreprise n’est en principe pas concernée par le RGPD, même si en cas de doute je recommande toujours de valider cela avec un expert du droit.

      • Patrick Joset
      • 7 mars 2018
      Répondre

      Merci pour ces précisions
      Cordialement

 

Laissez votre avis

*

Autres articles du blog