Le siège d’OVH, à Roubaix. PHILIPPE HUGUEN / AFP

Le constructeur d’une voiture est-il responsable du comportement de son conducteur quand celui-ci grille un feu ? L’image est assez parlante pour résumer l’un des débats qui agitent actuellement les hébergeurs Internet européens tandis que le règlement général sur la protection des données (GDPR), adopté en avril 2016, doit entrer en vigueur dans les Etats de l’Union européenne le 25 mai 2018.

Visant à harmoniser les législations européennes protégeant les données personnelles, le texte prévoit en effet une coresponsabilité du fournisseur d’infrastructure de stockage de données en ligne (le cloud) si un client venait à enfreindre la réglementation… Incompréhensible pour les hébergeurs qui ont décidé de prendre les devants avant la mise en œuvre du dispositif.

Lire aussi Accord de principe de l’UE sur la protection des données personnelles en ligne

L’entreprise française OVH, leader européen dans le domaine et troisième acteur mondial, a donc réuni autour de la table ses principaux concurrents européens, plus d’une vingtaine, et l’américain Amazon Web Services (AWS). Vice-président d’OVH, chargé du développement stratégique et des affaires publiques, Alban Schmutz a contacté un à un ses homologues pour les convaincre du bien-fondé de la démarche. Une action motivée par le sentiment de méconnaissance de l’administration bruxelloise par rapport à leur profession.

« Eviter de générer de l’incertitude »

« Quand je suis allé rencontrer la Commission européenne, personne ne savait qui était OVH ni ce qu’était le métier de fournisseur d’infrastructures. Et donc ils ne comprenaient pas les logiques des marchés sur lesquelles ils font des législations. » En particulier la distinction entre les métiers du cloud : l’IaaS (Infrastructure as a Service), d’un côté, qui gère la partie matérielle (stockage des données), et le SaaS (Software as a Service) pour la partie logicielle (traitement des données).

Après plusieurs mois de discussions, OVH a accouché d’un code de bonne conduite dévoilé mardi 27 septembre à Bruxelles. « Dans ce texte, nous expliquons ce qui relève de notre responsabilité et comment nous pouvons aider nos clients à intégrer le futur règlement. L’objectif, c’est d’éviter de générer de l’incertitude. »

Le document engage notamment ses 25 sociétés « signataires » à traiter l’intégralité des données de ses clients en Europe, à leur faire connaître la zone géographique dans laquelle elles se situent, et à n’en faire aucune réutilisation.

Base juridique pour le législateur

L’objectif à terme est que ce texte serve de base juridique pour le législateur. Les principaux fournisseurs d’infrastructure entendent bien, en effet, peser sur le groupement de toutes les CNIL européennes (le G29), qui aura pour charge de définir d’ici à 2018 les modalités de mise en œuvre du règlement européen, et ainsi lever les zones d’ombre pointées par les professionnels.

En attendant, les entreprises qui participent à l’initiative s’engagent à respecter ce code de bonne conduite, en échange de quoi elles se verront accorder par un organisme de certification externe un label de conformité, gage pour leurs clients d’une sécurité accrue des données.

Les PME ont volontairement été associées au projet, afin de le rendre le plus représentatif possible. Pour beaucoup d’entre elles, le coût élevé des certifications est inabordable. Elles pourront provisoirement s’auto-certifier – témoignant ainsi de leur volonté à mettre en application le code de bonne conduite – ce qui leur donnera un label distinct. Par ailleurs OVH et ses partenaires veulent lancer un appel d’offres pour réussir à obtenir un processus de certification le moins onéreux possible, qui sera de toute manière obligatoire pour tous les fournisseurs en 2018.

Création d’une association

Dans un secteur économique comme celui du cloud où la confiance et la visibilité sont des éléments déterminants, cette démarche a aussi vocation à permettre à l’activité de se développer. « Il était important pour les professionnels de l’infrastructure de définir les bonnes pratiques afin de tirer notre profession par le haut. Disposer de telles normes internationales est de nature à sécuriser nos clients », souligne d’ailleurs Alban Schmutz.

« Cela va faire progresser le marché, car cela permet de créer un référentiel, qui est raisonnable, abordable pour les petits comme pour les grands », abonde également Jules-Henri Gavetti, le président d’Ikoula, une PME française du secteur.

Les fournisseurs d’infrastructure, convaincus d’être rejoints rapidement par de nombreux partenaires, ne comptent pas en rester là. Non seulement ils s’engagent à adapter leur code de bonne conduite selon les évolutions du marché, mais ils vont créer ce mardi une association, qui aura vocation à être leur porte-voix : « On va s’organiser pour être un interlocuteur de référence pour le législateur dans l’avenir. »

Article réservé à nos abonnés Lire aussi Vie privée, vie publique : le paradoxe de la confidentialité