Pour 65 % des cadres et des dirigeants d’entreprises françaises, la souveraineté numérique est un enjeu majeur (étude HP Entreprise, 2020). Alors que la dépendance des organisations vis-à-vis des Clouds publics appartenant aux géants américains (GAFAM) et chinois (BATX) tend à s’accroître, les entreprises qui prêtent une attention particulière à la sécurité des données sensibles et/ou stratégiques ont intérêt à privilégier des solutions souveraines.
Des solutions conçues et administrées par des acteurs français et européens, qui ont fait de la souveraineté des données un enjeu quotidien, comme c’est le cas d’Iguane Solutions.
Le double enjeu de la souveraineté des données
L’enjeu de la souveraineté des données est à la fois stratégique et sécuritaire. Ces deux aspects vont de pair : la souveraineté est ce qui permet aux entreprises d’accroître leur autonomie vis-à-vis des grands acteurs du numérique (principalement américains, et de plus en plus chinois). Mais c’est aussi ce qui leur permet d’assurer la sécurité et la confidentialité des données qu’elles collectent, traitent ou hébergent, que ces informations soient sensibles, stratégiques ou personnelles.
L’importance de ce double enjeu réside en partie dans la localisation des centres de stockage. 92 % des données traitées par les entreprises occidentales sont hébergées dans des datacenters situés aux États-Unis (Oliver Wyman, « European Digital Sovereignty », 2020).
Or contrairement à ce qu’il se passe en Europe, les données hébergées sur (ou qui transitent par) le territoire américain sont soumises à deux lois intrusives : le Patriot Act et le Cloud Act, qui donnent le droit au gouvernement d’accéder aux données personnelles dans certains cadres (même si l’entreprise concernée n’est pas localisée sur le territoire).
En Europe, on constate un mouvement inverse : un renforcement progressif des exigences relatives à la protection des données des utilisateurs, avec l’entrée en vigueur du RGPD.
En l’absence de « bouclier de protection des données », les entreprises sont contraintes d’évaluer par elles-mêmes les risques liés aux Clouds publics. Pour garantir leur souveraineté numérique, elles doivent s’assurer que leurs données soient protégées par le droit européen… Une bonne façon de le faire étant de veiller à ce qu’elles soient stockées dans des datacenters installés au sein de l’Union européenne.
Toutefois, la question de la localisation ne suffit pas : la souveraineté des données passe aussi par un renforcement des processus de collecte, de traitement et de protection des données. Car les utilisateurs sont de plus en plus concernés par ces questions : les deux tiers des Français se disent attentifs à la façon dont leurs données personnelles sont collectées et exploitées (sondage Ifop, 2021).
Cela suppose, pour les entreprises, de s’orienter (dans la mesure du possible) vers des solutions souveraines françaises ou européennes, non soumises au Cloud Act ou à d’autres lois intrusives promulguées par d’autres pays extérieurs à l’UE.
Et c’est là que des acteurs du marché comme Iguane Solutions ont un rôle à jouer.
L’engagement d’Iguane Solutions en faveur de la souveraineté des données
Au regard des enjeux stratégiques et sécuritaires relatifs à la souveraineté numérique des entreprises, Iguane Solutions a mis en place une batterie de garde-fous. Ceux-ci concernent à la fois la localisation des équipements de stockage, l’application des obligations européennes en matière de protection des informations personnelles, le recours à des prestataires souverains français et européens, ainsi que l’organisation interne de l’entreprise.
Le stockage des données
Parce que la souveraineté des données est avant tout une question de localisation géographique, Iguane Solutions a choisi d’installer tous ses équipements (serveurs, baies de stockage, etc.) au sein de datacenters installés sur le territoire français.
Seule exception : un datacenter aux États-Unis géré par une filiale indépendante de l’entité française du groupe. Les activités des deux entités sont rigoureusement séparées, de sorte que les données sont traitées par l’acteur local, sans risques d’interconnexions. Il peut arriver que des collaborateurs américains interviennent sur le périmètre français, auquel cas ils agissent suivant des règles rigoureuses qui ne remettent pas en cause la souveraineté des données.
Ajoutons que nos équipes techniques sont majoritairement installées en France, et que les données ne transitent pas en dehors de l’Europe. Lorsque nos intervenants ne sont pas dans l’Union européenne, nous appliquons des règles d’entreprise contraignantes afin de faire respecter le RGPD et de garantir la souveraineté des données.
L’application des obligations européennes
Au sein d’Iguane Solutions, nous veillons à l’application stricte des exigences du RGPD au regard de la collecte, du traitement et de la protection des données personnelles des utilisateurs. C’est vrai en interne, mais également pour ce qui est du choix de nos fournisseurs.
C’est notre rôle en tant que sous-traitant intervenant sur le traitement des données. Mais nous allons plus loin : notre travail consiste également à sensibiliser nos clients quant à leurs propres obligations vis-à-vis du règlement européen.
Dans ce cadre, nous mettons en place plusieurs processus : accords de traitement des données personnelles signés avec nos clients, fournisseurs strictement encadrés, protocoles de gestion des incidents touchant les données (en cas de cyberattaque, de vol, de perte ou de négligence), etc.
Le recours à des prestataires français et européens
Au même titre que les données sont hébergées sur le territoire français, toutes les opérations système d’Iguane Solutions s’inscrivent dans un cadre territorial strict. Ainsi, nous avons recours à des prestataires réseau français et européens tout au long de la chaîne sensible (voir à ce propos la liste de nos partenaires) afin de garantir la souveraineté des données. Quant au développement des applicatifs, il est pris en charge en interne, en France, sans faire appel à des intermédiaires pour le traitement des données.
L’organisation interne
Enfin, l’organisation interne d’Iguane Solutions est édifiée sur un socle sécuritaire. Iguane Solutions a obtenu la certification ISO 27001 relative à la sécurité des systèmes d’information : elle atteste que les mesures mises en œuvre pour garantir la protection des données de nos clients sont en adéquation avec nos engagements. Cette certification fait l’objet d’un suivi de conformité en continu. De plus, nous privilégions, pour les services critiques et/ou traitant des données sensibles, des fournisseurs qui disposent de cette certification.
Terminons en précisant que l’ensemble de l’actionnariat d’Iguane Solutions est français. Ce qui signifie qu’il n’existe pas d’ingérence possible de la part d’un acteur extra-européen soumis au Patriot Act.
Ainsi, tout est mis en œuvre pour assurer nos clients de la sécurité (et de la souveraineté) de leurs données.
En savoir plus ?