17/654 et GDPR, menaces et opportunités

Après quelques hésitations de dernière minute, la CSSF nous gratifiait courant du mois de mai de sa toute récente analyse du contexte de cloud computing. Il est vrai que nous avons attendu ces évolutions avec beaucoup d’intérêt, voyant que les circulaires précédentes ne permettaient plus de couvrir les besoins des clients ou d’avoir une bonne compréhension mutuelle des solutions que nous pouvions leur offrir. Pour nous, les deux points-clés de cette circulaire sont, d’une part, l’intérêt de réussir à bien différencier l’opérateur cloud et le fournisseur de service cloud, et, d’autre part, les nouvelles opportunités qu’elle nous offre. Permettez-moi de m’étendre brièvement sur ces deux points.

Cette circulaire définit clairement les rôles et responsabilités qui incombent aux équipes qui gèrent le data center cloud (cloud provider) de celles qui gèrent le système d’information (cloud service provider). Cette différentiation est très intéressante dans notre contexte POST Group où certaines prestations pourraient, actuellement, être fournies par des entités non directement régulées, sachant que les obligations PSF resteraient pour toute prestation d’outsourcing. Cette distinction d’autant plus grande entre les couches «infrastructure» et les couches «service/application» nous offre de nouveaux potentiels pour construire des services régulés plus rapidement qu’auparavant et, espérons-le, à moindre coût (la gestion du risque étant clairement définie dans les circulaires, elle peut l’être également dans les faits). En réponse à la question énoncée ci-avant, nous pouvons avec certitude affirmer que ce nouveau cadre nous permet d’offrir une meilleure lisibilité des responsabilités et obligations de chacun dans l’intérêt des clients.

Ce nouveau cadre nous permet d’offrir une meilleure lisibilité des responsabilités et obligations de chacun dans l’intérêt des clients.

Luc Halbardier, Product development & innovation (POST Telecom)

Au chapitre des nouvelles opportunités, ces nouvelles circulaires (car les circulaires connexes 17/655, 17/656 et 17/657 qui souffrent de l’ombrage de la 17/654) mettent très clairement en évidence les possibilités qui sont désormais offertes aux intégrateurs et autres fournisseurs de service, à savoir une plus grande créativité dans la création de solutions hybrides ou mixtes. Nous y voyons, chez POST Telecom, des intérêts à continuer encore quelques années, l’ancrage local pour les workloads qui vont rester suffisamment sensibles et rester à Luxembourg, tout en évaluant les intérêts à déplacer des workloads particuliers vers les cloud publics: solutions de back-up (crypté bien sûr), solutions de disaster recovery en sont les principaux exemples. C’est sans doute, selon moi, le domaine dans lequel l’évolution sera la plus grande et la plus rapide et qui nous permettra de présenter au marché de nouvelles solutions de type «managed» ou «cloud» très rapidement et tout en étant conforme.

Les circulaires, bien plus que de définir un cadre rigide, nous donnent un cadre plus transparent et mieux défini permettant à chacun de se positionner tant dans l’innovation que dans l’évolution des services déjà fournis.

GDPR, un vrai challenge

Pour ce qui concerne la prochaine vague (mai 2018), on va assister à d’autres grandes transformations avec la GDPR. Nous avons, en effet, un règlement européen qui impacte à peu près toutes les entreprises. Comme le disait Emma Marcegaglia (PDG de ENI à Davos en janvier 2017): «Quand il y a une innovation, les Américains en font un business; les Chinois la copient; et les Européens la réglementent…»

Ces évolutions vont faire émerger de nouveaux métiers (DPO-as-a-Sevice étant certainement le plus populaire à l’avenir) et faire penser nos développeurs différemment, les obligeant à intégrer de nouveaux concepts tels que le droit à l’oubli, l’imbrication des données, la transparence dans les actions… dans leurs produits et solutions. Tout ne sera certainement pas possible, mais un réel nouveau potentiel existe de ce côté.

Pour ce qui est des offres actuelles en la matière, et tout comme pour d’autres grandes régulations, il sera difficile d’assurer la comparaison avec les «grands» opérateurs cloud qui investissent et vont continuer d’investir massivement pour assurer que leurs offres correspondent à ces évolutions réglementaires. Notre place sera, comme nous l’avons fait jusqu’ici, d’intégrer les éléments de la GDPR dans tout ce que nous ferons, et je dis bien tout, afin de garantir du travail de précision et de «dentelle» alors que les «grands» feront du tout-venant. Nous sommes, dans ce contexte et chez POST Group, autant impliqués dans la mise en œuvre de la GDPR pour nos propres clients que pour les clients de nos clients lorsqu’il s’agira de fournir des solutions de cloud ou d’hébergement. Une fois de plus, soyons positifs dans l’analyse de ces évolutions réglementaires et voyons-y les opportunités requises pour faire grandir nos positions, nos solutions et nos revenus.

Bottom line

En résumé, nous pouvons donc constater que ces évolutions offrent aux opérateurs, intégrateurs ou fournisseurs de services divers une réelle chance de se différencier ou tout simplement de développer de nouveaux services tout en renforçant le positionnement de la Place luxembourgeoise grâce aux avantages régulatoires, mais aussi technologiques que nous pouvons leur offrir.