Adam Smith (OVH) : "La question de la protection des données se pose ailleurs qu'en Europe"

La licorne française est en pointe dans le domaine du cloud. Avec un vaste plan d’investissement lancé en 2016, le groupe veut accélérer son internationalisation. Son directeur juridique, Adam Smith, revient sur les évolutions des différentes législations autour de la protection des données.

La licorne française est en pointe dans le domaine du cloud. Avec un vaste plan d’investissement lancé en 2016, le groupe veut accélérer son internationalisation. Son directeur juridique, Adam Smith, revient sur les évolutions des différentes législations autour de la protection des données.

Le RGPD est rentré en application au printemps dernier. Comment a-t-il affecté votre travail au sein d’OVH ?

Le RGPD n’a pas beaucoup fait évoluer notre travail, car la protection des données de nos clients était déjà au cœur de l’activité d’OVH. Notre mantra est « vos données vous appartiennent ». En revanche, cette législation a renforcé l’importance du sujet en interne. J’ai d’ailleurs augmenté les équipes en charge de la compliance, en recrutant deux personnes sur le sujet. J’ai nommé un Data Protection Officer, notifié auprès de la CNIL, qui a succédé à notre Correspondant Informatique Libertés (CIL). Il a un statut assez indépendant dans la société, et il est à l’interface entre la CNIL et OVH.

Comment le RGPD a modifié votre travail auprès de vos clients ?

Les clients s’attendent à ce qu’OVH leur fournisse des systèmes qui leur permettent d’être compliant. Ça a pour conséquence d’élever le sujet dans la tête de tous ici.

Aux États-Unis, le Cloud Act (« Clarifying Lawful Overseas Use of Data ») a été voté début 2018 par le Sénat, accordant un accès plus facile aux données hébergées en Europe. Cette loi a été très vite accusée de promouvoir des règles d’extraterritorialité américaine. Pouvez-vous, tout d’abord, nous rappeler ce qu’est cette loi ?

Elle vient faciliter l’accès aux données des entreprises américaines hébergées à l’étranger. Sur le fond, elle ne change rien pour ces entreprises ; elle ne fait que renforcer l’accès à ces datas par les autorités judiciaires américaines. Le Cloud Act apporte une solution à une situation qui était auparavant intenable. Il a été notamment motivé lorsque les autorités américaines ont voulu avoir accès à des données hébergées par Microsoft en Irlande. Les procédures qui existaient auparavant, qui passaient par les MLATs (Mutual Legal Assistance Treaty), n’étaient pas assez rapides. Ils ont voulu clarifier et fluidifier cet accès avec le Cloud Act. Ce n’est pas un cas d’extraterritorialité puisqu’il ne s’applique qu’aux entreprises américaines. En cas de notification de la justice, le gouvernement aurait accès aux données hébergées par OVH.

Pourquoi le Cloud Act a-t-il fait couler autant d’encre en Europe ?

Le Cloud Act touche à plusieurs sujets. Il était destiné aussi à amener les États européens à signer des accords bilatéraux avec les États-Unis. Ces partenariats permettraient de faciliter l’accès aux données hébergées outre-Atlantique, tout comme le Cloud Act facilite l’accès par les autorités américaines aux datas hébergées en Europe. Le problème, c’est que cette législation aurait amené à opposer chaque pays européen aux autres, alors qu’il faudrait agir en bloc. Nous pensions que l’Angleterre allait être un des premiers à signer. Mais pour l’instant aucun État ne s’est engagé.

Est-ce que la signature de ces partenariats reviendrait à inverser ce que l’on reproche aux États-Unis à travers le Cloud Act, à savoir permettre une sorte d’extraterritorialité de l’Europe sur les données hébergées sur des serveurs américains ?

Établir un parallèle entre les deux législations est peut-être exagéré. Mais il est vrai que le Cloud Act soulève des questions contradictoires. Nous avons besoin de permettre aux autorités, qu’elles soient américaines ou européennes, d’avoir accès aux données en cas d’enquête bien constituée. Mais nous constatons également que l’augmentation des lois autour de la protection de la vie privée indique qu’il y a une préoccupation de plus en plus grande autour de ces questions.

Revenons à l’Europe. Vous attendez-vous à une évolution de la législation autour des données après le RGPD ?

Il y a récemment eu un accord européen, qui permet la libre circulation des données non-personnelles. Cette législation revient à instaurer un libre marché des données, à l’image de ce qui existe pour les êtres humains. En Europe, cela empêche le vendor Lock-in, une situation dans laquelle l’hébergeur capte les données de son client, et l’empêche de partir. Cette évolution va dans le sens d’OVH.

OVH a annoncé en 2016 un plan d’investissement de 1,5 milliard d’euros, dont une grande partie doit être consacrée au développement à l’étranger. Est-ce que les différences de législations autour des données peuvent freiner votre expansion ?

Non, nous partons du principe que les données appartiennent au client. Cependant, nous sommes dans un contexte géopolitique qui fait que la question de la protection des données émerge. La Californie a voté une législation proche de celle du RGPD, le California Consumer Privacy Act. Il faut donc regarder les législations dans chaque pays où nous nous implantons. J’attire d’ailleurs votre attention sur un point : l’idée selon laquelle le RGPD ne s’appliquerait qu’en Europe. Or ce règlement s’applique aux clients européens, donc potentiellement en dehors de l’espace de l’UE.

En dehors du RGPD, quelle évolution de la législation a affecté le quotidien de vos équipes ?

Nous sommes en train de renforcer la direction de la compliance. Nous avons notamment une forte activité Abuse. Une équipe de techniciens et de juristes travaillent sur nos infrastructures, et est chargée de repérer les données illicites, ou qui appartiennent à d’autres personnes.

Quelle est la tendance sur le marché du cloud actuellement ?

C’est un marché toujours très prometteur, avec une croissance de 50 % par an. Même si on en parle depuis longtemps, cela ne fait que quelques années que les entreprises investissent dans ces infrastructures. Aujourd’hui, le cloud hybride est de plus en plus demandé, pour des raisons de souplesse et de flexibilité pour le client. Il permet d’adapter ses investissements selon ses besoins.

Vous venez du monde de l’aéronautique, notamment de chez Airbus et de Safran. Quelles sont les différences que vous avez constatées dans la gestion des données chez ces groupes ?

Il y a une différence importante, c’est que, dans ces groupes, on parle de données qui leur appartiennent. Chez OVH, nous gérons nos datas, bien sûr, mais devons également fournir les infrastructures pour héberger celles de nos clients. Nous sommes comme des sous-traitants, ce qui nous demande d’être doublement respectueux des données.

Florent Detroy

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

Game of Thrones, money is coming

Game of Thrones, money is coming

Après huit saisons, la série Game of Thrones s’achèvera le 19 mai prochain. Phénomène culturel et de société, la série est aussi un monstre économique...

Taxe Gafa : définition, projet de loi en France

Taxe Gafa : définition, projet de loi en France

Alors que la France étudie un projet de loi, adopté à l’Assemblée nationale et examiné au Sénat, pour taxer les géants du numérique, qu’est-ce que la...

ManoMano, la prochaine licorne française ?

ManoMano, la prochaine licorne française ?

La market place spécialisée dans le bricolage s’offre l'une de plus importantes levées de fonds de 2019, avec 110 millions d’euros. Elle affiche désor...

E.Tourte (Total) : "L'IA est un gisement de valeur colossal"

E.Tourte (Total) : "L'IA est un gisement de valeur colossal"

Evelyne Tourte, ancienne DSI de la branche Exploration-production du groupe Total, a élargi son périmètre d’activité au niveau monde depuis le 1er oct...

Médiator, Servier : le combat d’Irène Frachon

Médiator, Servier : le combat d’Irène Frachon

Les laboratoires Servier ont versé 116 millions d’euros aux victimes du Mediator. Cela n’aurait pas été possible sans l’engagement d’Irène Frachon.

Nidal Zeidan (Groupe Vital) : « Notre croissance pourrait passer par d’autres acquisitions »

Nidal Zeidan (Groupe Vital) : « Notre croissance pourrait passer par d’autres acquisitions »

La société de conseil et de services en ingénierie informatique fondée par Nidal Zeidan réalise une croissance solide et régulière. Un développement q...

Le directeur financier de chez Qualcomm rejoint Intel, son grand rival

Le directeur financier de chez Qualcomm rejoint Intel, son grand rival

George S. Davis arrive à la direction financière d’Intel pour remplacer Bob Swann, promu CEO.

Matthieu Beucher (Klaxoon) : "Nous sommes dans une logique d’accélération"

Matthieu Beucher (Klaxoon) : "Nous sommes dans une logique d’accélération"

La solution digitale, développée pour optimiser le travail en équipe, Klaxoon figure dans le top 10 des levées de fonds de 2018. Fondée en 2014 par Ma...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message