Fichiers clients, contrats, devis, mots de passe : la plupart des entreprises confient ces données à un service cloud sans savoir dans quel pays elles sont réellement stockées. Choisir un cloud souverain RGPD, hébergé en France, change pourtant la donne en matière de protection et de tranquillité. Voici comment comprendre simplement le sujet, à travers l’histoire d’une dirigeante de PME en Gironde qui a fait le point sur ses outils en début d’année.
À la tête d’une PME de services à Bègles, Claire emploie une vingtaine de salariés et voit transiter chaque jour quantité de données clients par sa messagerie, son espace de partage de fichiers et plusieurs applications en ligne. Son entreprise tourne bien. Mais un détail finit par l’occuper l’esprit : elle ne sait pas vraiment où vivent ces données.
Des conditions d’utilisation que personne n’avait jamais lues
En janvier, comme chaque début d’année, Claire reprend ses abonnements et ses contrats pour faire le tri. C’est l’occasion de regarder de près les services en ligne qu’elle utilise au quotidien. Elle ouvre les conditions d’utilisation de son espace de stockage de fichiers, puis celles de son outil de partage de documents.
Le constat la surprend. Ses fichiers clients, ses devis, ses échanges sont hébergés sur des serveurs dont elle ignorait l’emplacement, gérés par des prestataires souvent rattachés à des sociétés américaines. Personne dans l’équipe ne s’était jamais posé la question. Tant que tout fonctionne, on n’y pense pas. Pourtant, ces données représentent une part importante de la valeur de son entreprise, et certaines sont sensibles.
La question d’un client de la santé qui reste sans réponse
Le déclic arrive lors d’un rendez-vous. Un client du secteur de la santé, plus exigeant que les autres, lui demande où sont stockées les informations qu’il lui transmet, et si elles restent en Europe. Claire ne sait pas répondre précisément. Elle promet de vérifier, raccroche, et comprend que cette question va revenir de plus en plus souvent, de la part de ses clients comme de ses propres obligations. Elle décide de remettre de l’ordre dans tout cela, sans céder à la panique, mais sans laisser traîner non plus.
Comment nous avons aidé Claire à y voir clair
Claire nous a contactés pour faire le point. Notre travail a commencé par une cartographie simple : quelles données circulent dans l’entreprise, lesquelles sont sensibles, et où chacune est hébergée aujourd’hui. Rien de technique pour elle, juste un état des lieux lisible.
Nous avons ensuite distingué ce qui pouvait rester en l’état de ce qui méritait de migrer vers un hébergement français. Pour ses fichiers clients et ses documents les plus sensibles, nous avons retenu un cloud souverain comme Oodrive, dont les données sont stockées en France et le cadre conforme au RGPD. Au début, l’équipe craignait de devoir changer toutes ses habitudes. En pratique, le partage de fichiers fonctionne de la même façon, et la migration s’est faite par étapes, sans coupure. C’est exactement notre travail sur le stockage et l’hébergement de vos données : poser le diagnostic, choisir le bon niveau de protection, puis accompagner la bascule.
Nous avons travaillé en partie à distance, ce qui convient bien à ce type de projet, avec quelques points sur place quand c’était utile.
Des données cartographiées et hébergées en France
Claire sait désormais où vivent ses données, et lesquelles sont hébergées en France. Quand un client lui pose la question, elle répond clairement. Ses documents sensibles sont sur un cloud souverain, le reste a été trié et rangé. Elle n’a pas tout bouleversé, elle a simplement repris la main. Le sujet ne la réveille plus la nuit, et son entreprise présente un cadre solide à ses propres clients.
Qu’est-ce que le Cloud Act et pourquoi cela concerne mon entreprise ?
Le Cloud Act est une loi américaine qui permet aux autorités des États-Unis de demander à une société américaine de leur communiquer des données, même lorsque ces données sont stockées sur des serveurs situés en dehors des États-Unis. Concrètement, si votre prestataire cloud est une société américaine ou une de ses filiales, vos données peuvent en théorie être concernées par ce cadre, où qu’elles soient hébergées.
Inutile de dramatiser : cela ne veut pas dire que vos fichiers sont consultés tous les jours. Mais pour une entreprise qui manipule des données clients sensibles, c’est un point à connaître pour décider en conscience. Pour réduire cette exposition, on privilégie un hébergement par un prestataire de droit français ou européen. Les bons réflexes tiennent en quelques points :
- savoir dans quel pays vos données sont réellement stockées ;
- identifier la nationalité de la société qui gère le service ;
- pour les données sensibles, choisir un cloud souverain dont l’hébergement est en France et le cadre conforme au RGPD ;
- vérifier les conditions de transfert de données en dehors de l’Union européenne, encadrées par la CNIL ;
- pour les besoins les plus exigeants, se renseigner sur la qualification « cloud de confiance » suivie par l’ANSSI.
Pour la plupart des TPE et PME, un hébergement en France conforme au RGPD répond déjà très bien au besoin. Les niveaux de certification les plus élevés concernent surtout les organisations les plus sensibles, et il n’est pas nécessaire de viser le plus haut niveau pour être bien protégé.
Questions fréquentes
Où sont stockées les données de mon entreprise quand j’utilise un service cloud ?
Cela dépend du prestataire. Beaucoup de services grand public hébergent les données sur des serveurs répartis dans plusieurs pays, parfois hors d’Europe. Un cloud souverain, lui, garantit un hébergement en France et un cadre conforme au RGPD.
Le Cloud Act met-il automatiquement mes données en danger ?
Non, il ne signifie pas que vos fichiers sont consultés. Il décrit une possibilité légale qui concerne les sociétés américaines et leurs filiales. Pour vos données les plus sensibles, un hébergement par un prestataire français réduit cette exposition.
Faut-il une certification SecNumCloud pour être en règle ?
Pas pour la majorité des TPE et PME. Un hébergement en France conforme au RGPD suffit dans la plupart des cas. Les certifications les plus poussées visent les organisations les plus sensibles.
Faut-il être à Bordeaux pour se faire accompagner sur ce sujet ?
Non. Ce travail se fait très bien à distance partout en France, et nous proposons aussi le présentiel à Bordeaux et en Gironde quand c’est utile.
En résumé
Savoir où vivent les données de votre entreprise n’est pas un sujet d’experts, c’est une question de bon sens et de protection. Si vous ignorez aujourd’hui dans quel pays sont hébergés vos fichiers clients, c’est exactement le point de départ que nous prenons ensemble : nous proposons un premier échange gratuit de 45 minutes à une heure pour faire le point sur vos outils et voir lesquelles de vos données mériteraient un hébergement souverain. Ce pilier est national : nous intervenons à distance partout en France, et en présentiel à Bordeaux et en Gironde quand le projet s’y prête.
