La licorne française est en pointe dans le domaine du cloud. Avec un vaste plan d’investissement lancé en 2016, le groupe veut accélérer son internationalisation. Son directeur juridique, Adam Smith, revient sur les évolutions des différentes législations autour de la protection des données.

Le RGPD est rentré en application au printemps dernier. Comment a-t-il affecté votre travail au sein d’OVH ?

Le RGPD n’a pas beaucoup fait évoluer notre travail, car la protection des données de nos clients était déjà au cœur de l’activité d’OVH. Notre mantra est « vos données vous appartiennent ». En revanche, cette législation a renforcé l’importance du sujet en interne. J’ai d’ailleurs augmenté les équipes en charge de la compliance, en recrutant deux personnes sur le sujet. J’ai nommé un Data Protection Officer, notifié auprès de la CNIL, qui a succédé à notre Correspondant Informatique Libertés (CIL). Il a un statut assez indépendant dans la société, et il est à l’interface entre la CNIL et OVH.

Comment le RGPD a modifié votre travail auprès de vos clients ?

Les clients s’attendent à ce qu’OVH leur fournisse des systèmes qui leur permettent d’être compliant. Ça a pour conséquence d’élever le sujet dans la tête de tous ici.

Aux États-Unis, le Cloud Act (« Clarifying Lawful Overseas Use of Data ») a été voté début 2018 par le Sénat, accordant un accès plus facile aux données hébergées en Europe. Cette loi a été très vite accusée de promouvoir des règles d’extraterritorialité américaine. Pouvez-vous, tout d’abord, nous rappeler ce qu’est cette loi ?

Elle vient faciliter l’accès aux données des entreprises américaines hébergées à l’étranger. Sur le fond, elle ne change rien pour ces entreprises ; elle ne fait que renforcer l’accès à ces datas par les autorités judiciaires américaines. Le Cloud Act apporte une solution à une situation qui était auparavant intenable. Il a été notamment motivé lorsque les autorités américaines ont voulu avoir accès à des données hébergées par Microsoft en Irlande. Les procédures qui existaient auparavant, qui passaient par les MLATs (Mutual Legal Assistance Treaty), n’étaient pas assez rapides. Ils ont voulu clarifier et fluidifier cet accès avec le Cloud Act. Ce n’est pas un cas d’extraterritorialité puisqu’il ne s’applique qu’aux entreprises américaines. En cas de notification de la justice, le gouvernement aurait accès aux données hébergées par OVH.

Pourquoi le Cloud Act a-t-il fait couler autant d’encre en Europe ?

Le Cloud Act touche à plusieurs sujets. Il était destiné aussi à amener les États européens à signer des accords bilatéraux avec les États-Unis. Ces partenariats permettraient de faciliter l’accès aux données hébergées outre-Atlantique, tout comme le Cloud Act facilite l’accès par les autorités américaines aux datas hébergées en Europe. Le problème, c’est que cette législation aurait amené à opposer chaque pays européen aux autres, alors qu’il faudrait agir en bloc. Nous pensions que l’Angleterre allait être un des premiers à signer. Mais pour l’instant aucun État ne s’est engagé.

Est-ce que la signature de ces partenariats reviendrait à inverser ce que l’on reproche aux États-Unis à travers le Cloud Act, à savoir permettre une sorte d’extraterritorialité de l’Europe sur les données hébergées sur des serveurs américains ?

Établir un parallèle entre les deux législations est peut-être exagéré. Mais il est vrai que le Cloud Act soulève des questions contradictoires. Nous avons besoin de permettre aux autorités, qu’elles soient américaines ou européennes, d’avoir accès aux données en cas d’enquête bien constituée. Mais nous constatons également que l’augmentation des lois autour de la protection de la vie privée indique qu’il y a une préoccupation de plus en plus grande autour de ces questions.

Revenons à l’Europe. Vous attendez-vous à une évolution de la législation autour des données après le RGPD ?

Il y a récemment eu un accord européen, qui permet la libre circulation des données non-personnelles. Cette législation revient à instaurer un libre marché des données, à l’image de ce qui existe pour les êtres humains. En Europe, cela empêche le vendor Lock-in, une situation dans laquelle l’hébergeur capte les données de son client, et l’empêche de partir. Cette évolution va dans le sens d’OVH.

OVH a annoncé en 2016 un plan d’investissement de 1,5 milliard d’euros, dont une grande partie doit être consacrée au développement à l’étranger. Est-ce que les différences de législations autour des données peuvent freiner votre expansion ?

Non, nous partons du principe que les données appartiennent au client. Cependant, nous sommes dans un contexte géopolitique qui fait que la question de la protection des données émerge. La Californie a voté une législation proche de celle du RGPD, le California Consumer Privacy Act. Il faut donc regarder les législations dans chaque pays où nous nous implantons. J’attire d’ailleurs votre attention sur un point : l’idée selon laquelle le RGPD ne s’appliquerait qu’en Europe. Or ce règlement s’applique aux clients européens, donc potentiellement en dehors de l’espace de l’UE.

En dehors du RGPD, quelle évolution de la législation a affecté le quotidien de vos équipes ?

Nous sommes en train de renforcer la direction de la compliance. Nous avons notamment une forte activité Abuse. Une équipe de techniciens et de juristes travaillent sur nos infrastructures, et est chargée de repérer les données illicites, ou qui appartiennent à d’autres personnes.

Quelle est la tendance sur le marché du cloud actuellement ?

C’est un marché toujours très prometteur, avec une croissance de 50 % par an. Même si on en parle depuis longtemps, cela ne fait que quelques années que les entreprises investissent dans ces infrastructures. Aujourd’hui, le cloud hybride est de plus en plus demandé, pour des raisons de souplesse et de flexibilité pour le client. Il permet d’adapter ses investissements selon ses besoins.

Vous venez du monde de l’aéronautique, notamment de chez Airbus et de Safran. Quelles sont les différences que vous avez constatées dans la gestion des données chez ces groupes ?

Il y a une différence importante, c’est que, dans ces groupes, on parle de données qui leur appartiennent. Chez OVH, nous gérons nos datas, bien sûr, mais devons également fournir les infrastructures pour héberger celles de nos clients. Nous sommes comme des sous-traitants, ce qui nous demande d’être doublement respectueux des données.

Florent Detroy

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

GUIDE ET CLASSEMENTS

> Guide 2023