Frédéric Stiernon, Marco Houwen, Amal Choury, Pierre Van Wambecke et Vincent Wellens (Photo: Julien Becker)

Frédéric Stiernon, Marco Houwen, Amal Choury, Pierre Van Wambecke et Vincent Wellens (Photo: Julien Becker)

Pour les sociétés, quelle que soit leur taille, les données constituent une valeur essentielle. Exposés à leur dématérialisation grandissante, les dirigeants d’entreprise et responsables informatiques se posent des questions de plus en plus cruciales, notamment par rapport au traitement, à la sécurité ou encore à la localisation desdites données. Jadis stockées dans des classeurs, eux-mêmes empilés sur des étagères au cœur de l’entreprise, elles sont désormais digitales. D’abord rassemblées sur des serveurs en interne, elles s’envolent progressivement pour être placées, on ne sait pas toujours où, dans le nuage informatique, le fameuxcloud.

Un modèle plus qu’une localisation

Le mot «valise» est lâché, même si on ne comprend pas toujours bien la – ou les réalités – qu’il recouvre. «Bien plus que la technologie qui permet d’héberger ses données en dehors de l’entreprise, on devrait aujourd’hui plutôt évoquer le business model qui est lié au concept», commente Marco Houwen, CEO de LuxCloud. Il ne s’agit surtout pas de réduire le cloud à de l’hébergement de données dans des lieux éloignés de l’entreprise, sur des serveurs mutualisés, mais de considérer la plus-value et la flexibilité que la technologie peut apporter à toute entreprise au niveau de la consommation des services informatiques. «Aujourd’hui, ce n’est pas sur des critères de localisation des données, mais bien sur un business model permettant à l’entreprise de bénéficier de services applicatifs en mode ‘pay as you go’ qu’il faut définir le concept de cloud computing. Il faut dépasser cette conception des données localisées à la fois partout et nulle part. Aujourd’hui, chacun peut profiter de la technologie cloud, des avantages qu’elle apporte, en décidant, précisément, où seront stockées ses données», poursuit M.Houwen.

Les États, d’ailleurs, n’hésitent pas à mettre en place une réglementation exigeant de préserver une certaine souveraineté liée aux données. Au Luxembourg, comme dans d’autres pays, pour une certaine catégorie de données jugées sensibles, le nuage s’arrête à la frontière nationale. Les données ne peuvent pas quitter le territoire. En outre, les récentes révélations liées au traitement de données privées par des organismes étatiques procédant à de l’espionnage en règle – le scandale du système Prism porté par la NSA (National Security Agency) américaine – devraient renforcer cette volonté des États d’assurer une meilleure sécurité aux données privées de leurs citoyens et de leurs entreprises.

Le concept de cloud est relativement récent. Il doit encore être clarifié aux yeux du grand public et des entrepreneurs. Les avantages qu’il présente sont nombreux, mais pas directement perceptibles. Le concept lui-même, progressivement appréhendé par les acteurs du secteur, ne s’est que petit à petit révélé dans sa totalité. «Il y a cinq ans, dès que quelqu’un virtualisait un serveur, il avait tendance à dire que c’était du cloud. Et beaucoup de gens s’inscrivent encore dans cette logique aujourd’hui, explique Amal Choury, CEO de e-Kenz et présidente d’EuroCloud Luxembourg. Toutefois, c’est avant tout de services informatiques qu’il faudrait parler. Le business va bien au-delà du simple hébergement de données, de la mutualisation de serveurs. Aujourd’hui, au Luxembourg, il faut pousser au développement d’applications disponibles en mode ‘pay as you go’, travailler au développement de services hébergés dans le cloud. C’est dans ces applicatifs que réside la véritable valeur du concept.»

Privé, local, global

Le cloud computing, en effet, offre beaucoup plus de flexibilité aux entreprises, et notamment aux start-up dont les moyens sont souvent limités, ainsi que des garanties relatives à la sécurité et à la localisation des informations. «Aujourd’hui, nos données sont stockées localement, dans un cloud privé. Notre solution n’aurait pas pu être lancée sans ces nouvelles possibilités technologiques, commente Frédéric Stiernon, COO de la start-up Mobey, devenue émettrice de monnaie électronique et qui a développé la solution de paiement mobile Flashiz. Il aurait été beaucoup plus difficile, avec nos moyens, de mettre en place un hardware et du software en gérant les aspects de sécurité, tout en développant le core business de notre structure. Développer tout cela en dehors du cloud aurait constitué pour nous un frein considérable.»

Comme tous les établissements financiers soumis au contrôle de la CSSF, Mobey ne peut stocker et traiter ses données que sur le territoire luxembourgeois. Cela ne l’empêche pas de profiter de la flexibilité offerte par le cloud computing, de systèmes et de solutions informatiques qui vont grandir au rythme du développement de la start-up.

Des services informatiques en mode «pay as you go» peuvent donc voir le jour à l’échelle nationale. Le Luxembourg dispose désormais d’une infrastructure digne de ce nom permettant de garantir une sécurisation des données optimales. Et pourtant, certaines craintes, dans le chef des clients, peinent à être apaisées. Les révélations liées à l’affaire Prism, dans laquelle sont impliqués de grands acteurs de l’informatique proposant des solutions cloud à l’échelle globale, ne sont d’ailleurs pas spécialement là pour rassurer.

Le cloud a déjà pénétré notre quotidien. Nombreuses sont les personnes qui en bénéficient. À travers des services de messagerie en ligne, les réseaux sociaux, des espaces de stockage en tout genre, ils jouissent de certains avantages offerts par le cloud sans, souvent, avoir conscience des risques inhérents au fait de confier ses données de la sorte. «Évidemment, au cœur des récentes affaires d’espionnage, que des États demandent à des sociétés privées de les renseigner sur des citoyens, cela touche les gens,explique Frédéric Stiernon. Ces affaires ont le mérite de mettre en évidence certains risques et les dérives possibles. Elles nous permettent, à nous, entreprises, de renforcer notre vigilance en la matière. Doit-on abandonner la technologie pour autant?»

Question de valeur

En réalité, non. Le monde continue de tourner, tout comme de nombreux services informatiques hébergés à distance. Le monde entier ne se sent pas espionné pour autant dans son quotidien. «Ce n’est pas parce qu’une affaire d’écoutes téléphoniques – le Watergate – a fait tomber un président américain que la planète a cessé d’utiliser le téléphone», ironise Marco Houwen. Mais, alors que le business du big data est promis à un bel avenir, la question de l’utilisation des données est revenue au cœur des débats.

«Ce qui est dérangeant, dans l’affaire Prism, c’est que les données des citoyens ont été utilisées et exploitées à leur insu. Dans ce contexte, il faut apporter des réponses au niveau réglementaire mais aussi en termes de sensibilisation. Il convient aujourd’hui, dans le chef de chacun, d’avoir conscience des données que l’on partage sur le net, que l’on confie à des opérateurs pour bénéficier de services en ligne. Il faut peser et sous-peser la valeur de ces informations par rapport au bénéfice apporté par le service proposé, commente Pierre Van Wambeke, CEO de Seezam, start-up qui a développé une solution de coffre-fort électronique. Selon l’information et la valeur qu’elle a, on pourra décider ce qu’il convient d’en faire, où la placer, avec quelles garanties liées à sa sécurité.»

C’est la valeur de la donnée qui doit aussi être mise en balance face à la plus-value que peut apporter un service informatique à distance. «En matière de sécurisation des données, il convient de remettre les choses à leur place. Où les données seront-elles le plus à l’abri? En restant dans des cartons, au cœur de l’entreprise, ou en étant stockées au cœur de data centers sécurisés où il est possible de mettre en place des systèmes de traçabilité de l’information, de limiter l’accès à l’information à certaines personnes?», interroge Vincent Wellens, head of intellectual property & technology, media and telecom au sein de l’étude d’avocats NautaDutilh Luxembourg. Tout est relatif. Et il convient de placer tous les éléments dans la balance avant d’opérer un choix.

La technologie apporte des solutions. Le cadre réglementaire doit s’adapter. Ce qui ne va pas sans poser quelques petits soucis dans la mesure où l’augmentation de la quantité de données produites est exponentielle et qu’un des enjeux d’avenir, pour bon nombre d’entreprises technologiques, est de pouvoir mieux les exploiter. «Aux États-Unis, la question n’est plus de savoir si l’on va ou non vers des solutions cloud. Le sujet, au cœur des débats, est celui de la gestion et du traitement des données: le big data», explique Amal Choury.

Créer la confiance

L’Europe n’en est pas encore là. Elle réfléchit, pour l’heure, à l’amélioration du cadre réglementaire de la protection des données privées. Or des mesures précises sont en vigueur, aussi bien au Luxembourg qu’à l’échelle européenne. Mais au-delà de la localisation pure et dure des données, la manière dont les informations sont exploitées, par qui et à quelle fin, pourrait faire l’objet d’un meilleur contrôle.

«Pour l’ensemble des données à caractère privé transmises à un service quelconque, ces règles précisent que la personne qui les livre doit disposer d’une information claire sur la manière dont celles-ci vont être traitées, poursuit Vincent Wellens. Ce qui, en fonction des récents développements technologiques, implique de nouvelles questions. Aujourd’hui, on peut par exemple mettre en place des log files, ou un système de traçabilité relatif à l’usage des données. Le problème est que ces log files génèrent eux-mêmes de nouvelles données relatives aux personnes qui ont eu accès aux informations, à l’usage qu’elles en ont fait. Ces données ont aussi un caractère privé, parce que relatives à un ou plusieurs utilisateurs. Vient dès lors la question de la mise en place de log files relatifs à ces log files… On n’en sort donc plus.»

Plus que de garantir la protection des données – le risque zéro n’existant pas, la technologie et les service level agreements (SLA) des fournisseurs de services pouvant apporter des garanties –, le cadre réglementaire doit contribuer à renforcer la confiance des entreprises dans la flexibilité que peut leur offrir la technologie. «La loi sur les faillites dont s’est doté le Grand-Duché, par exemple, constitue un véritable avantage stratégique pour le pays. Elle offre la garantie, aux acteurs, de pouvoir récupérer leurs données en cas de faillite de l’opérateur qui les héberge», commente Amal Choury.

Avec cette loi, le Luxembourg possède un cadre réglementaire fort, devant favoriser le développement de services cloud sécurisés, donnant à leurs utilisateurs business les garanties suffisantes pour bénéficier de la technologie en toute confiance. Il appartient au marché, désormais, de continuer à les rassurer.

Protection des données

Question de génération

Aujourd’hui, de nombreuses questions se posent sur l’usage des données privées. Réel danger ou méfiance d’une génération à l’égard d’une technologie nouvelle? Il est probable, en effet, que les générations à venir ne développent pas la même perception de l’importance de la protection des données personnelles, qu’elles ne soient plus conscientes du danger. Comme l’ont démontré des sondages réalisés auprès de la population américaine âgée de 15 et 16 ans.

La technologie apporte des solutions. Dans le chef des jeunes, le coût, pour pouvoir bénéficier d’un service gratuit, est justement d’accepter de livrer des informations personnelles qui pourront être utilisées par le provider. Derrière, c’est tout le business du big data qui prend forme. L’enjeu, donc, est de faire prendre conscience aux jeunes de la valeur des informations, de celles qu’ils peuvent livrer sans risque et de celles qui sont sensibles.

Stratégie

Global ou local?

De grands acteurs du cloud s’inscrivent dans une stratégie de globalisation. Dans ce contexte, le législateur peine à imposer des règles. Comment s’assurer que des acteurs qui vendent un service depuis les États-Unis, par exemple, vont respecter la réglementation européenne en matière de protection des données? C’est simplement impossible. On l’a vu, des acteurs mondiaux ont pris part au programme Prism. Et pas n’importe lesquels: Microsoft, Google, Yahoo!, Facebook, Youtube, Skype, AOL, Apple…

Le service étant délivré depuis les États-Unis, il ne doit pas répondre aux exigences européennes. Pour s’assurer du respect de ses droits, l’utilisateur européen doit faire confiance à des acteurs développant un service depuis le territoire de l’Union européenne. Doit-on ne plus recourir à ce genre de service? Pas forcément. On peut aussi imaginer un autre modèle, par lequel ces acteurs globaux pourraient vendre leur licence à des acteurs européens qui, à leur tour, proposeraient le service aux citoyens sur un territoire donné.