OVHcloud et la souveraineté des données

La souveraineté des données dans le cloud : un enjeu pour tous, en France et en Europe

La souveraineté numérique peut être définie comme la capacité d’un État à pouvoir maîtriser l’ensemble des ressources numériques, tant d’un point de vue économique que social et politique , affranchie de tiers ou d’influences extérieures. En somme, avoir une liberté de choix et être moins dépendants des infrastructures, plates-formes ou points d'accès à Internet non-européens.

La souveraineté des données, quant à elle, étend cette notion aux organisations. Elle détermine leur capacité à protéger leurs données d’éventuelles interférences notamment étrangères et donc à agir de manière indépendante en particulier dans des domaines stratégiques à leur développement. La conformité à la réglementation européenne, laquelle limite les possibilités de transferts de données à caractère personnel en dehors de l’Union Européenne, constitue en particulier un gage de souveraineté des données.

A European Cloud OVHcloud

Nous sommes aujourd’hui dans un contexte de concurrence mondialisée et de croissance exponentielle des volumes de données sensibles et stratégiques utilisées dans le cloud. Un nombre croissant d’organisations européennes ont déjà pris conscience de l’importance de la gouvernance de leurs systèmes d’information et des données qu’elles manipulent. Les risques d’actions d’intelligence économique et d’ingérence extra-européens via des dépendances non maitrisées avec certains de leurs fournisseurs de services cloud sont maintenant reconnus. Ceux-ci font peser un risque à la fois sur la protection des données et sur la capacité à développer de grands acteurs français ou européens. Il est ainsi plus difficile de faire face à la concurrence internationale dans le domaine du numérique. Défendre la souveraineté des données, c’est agir au service de la protection et de la liberté de choix des administrations, des entreprises et des citoyens.

KPMG-livreblanc

Cloud Européen : des enjeux majeurs pour l’Europe et cinq scénarios aux impacts importants d’ici 2027-2030

KPMG a publié en mai 2021 un livre blanc réalisé à partir de données et d’informations provenant d’une grande variété de sources comprenant notamment plus de 250 interactions avec des décideurs publics et privés européens. Il en ressort que la migration vers le cloud est devenue un passage obligé, et que la sécurité et la souveraineté des données constituent l’une des principales préoccupations des décideurs. Par ailleurs, l’actuel paradigme du marché européen du cloud ne semble pas pérenne. Cinq scenarios ont été identifié avec plusieurs bénéfices prévisibles.

Comment OVHcloud garanti le respect de la souveraineté des données de ses clients ?

 

« Chez OVHcloud, nous croyons que la capacité d’exercer notre souveraineté numérique est la clé pour assurer la liberté des utilisateurs de nos services. Et ce, pour conserver le contrôle de notre futur, maintenir la sécurité de l’emploi et nos valeurs européennes. Ce sont les défis d'un cloud de confiance qui garantit que la souveraineté des données stratégiques des États, des entreprises et des citoyens est protégée. Nous entendons rester fidèles à la promesse initiale d'Internet : faire du numérique un espace de liberté, d’autonomie et d’innovation collective ».

Four Triangles

Un pure player français du cloud, engagé dans l’écosystème du numérique européen

Un cloud souverain, c’est avant tout un cloud fournit par un prestataire qui s’engage à ne faire aucun usage des données de ses clients. Cet engagement fait intrinsèquement partie de la proposition de valeur d’OVHcloud, pure player et spécialiste du cloud, sans activités dans d’autres domaines pouvant faire concurrence à ses clients. En France, OVHcloud est étroitement associé aux travaux du Comité Stratégique de Filière dédié aux « Industries de sécurité », placé sous l’égide du Conseil National de l’Industrie. L’objectif de ce Comité Stratégique de Filière est d’instaurer un dialogue concret, performant et régulier entre l’État et les entreprises des secteurs concernés. Dans ce cadre, OVHcloud s’est engagé dans la constitution d’une offre de cloud de confiance pour contribuer à la protection de souveraineté industrielle.

OVHcloud est partie prenante des efforts menés par les pouvoirs publics européens et les associations professionnelles défendant la souveraineté numérique en Europe. Membre fondateur notamment de l’associations CISPE (Cloud Infrastructure Services Providers in Europe) et du projet GAIA-X, OVHcloud contribue activement à ces initiatives européennes. Leur objet est de garantir la sécurité, l’interopérabilité, la transparence et la confiance propres à l’usage serein des données. En 2020, OVHcloud a initié le programme Open Trusted Cloud avec l’objectif de co-créer un écosystème de solutions SaaS et PaaS dans un cloud ouvert, réversible et fiable avec tous les acteurs du numérique. Ces initiatives veulent tirer le meilleur de nos écosystèmes européens et encourager les cercles vertueux.

 
Pour les entreprises

Des clients européens protégés contre les actions d’ingérence d’autorités étrangères

OVHcloud met en œuvre des mesures techniques et organisationnelles visant à protéger les données hébergées par ses clients européens au sein de l’Union européenne, contre l’ingérence d’autorités non-européennes. Techniquement, aucune entité OVHcloud ou tiers partenaire d’OVHcloud, localisé dans un pays tiers n’assurant pas un niveau de protection des données conforme à celui en vigueur au sein de l’Union européenne, n’a la possibilité d’opérer et donc d’accéder aux infrastructures d’hébergement desdites données.

Ainsi, concernant par exemple les États-Unis, qui ne sont plus considérés comme un pays disposant d’un niveau de protection adéquat depuis l’invalidation du « Privacy Shield » par l’arrêt dit « Schrems II » de la Cour de justice de l’Union européenne en date du 16 juillet 2020, les entités américaines d’OVHcloud n’interviennent pas dans le cadre des services fournis aux clients européens d’OVHcloud et n’ont pas la possibilité technique d’accéder aux données hébergées par ces derniers dans les centre de données européens d’OVHcloud. Dès lors lesdites entités américaines n’ont pas le contrôle des données stockées dans ces centres de données et ne peuvent répondre favorablement à des demandes d’autorités américaines visant à obtenir communication desdites données.

Seules des entités localisées au sein de l’Union européenne ou dans des pays dont le niveau de protection a fait l’objet d’une décision d’adéquation de la Commission européenne, en particulier le Canada, peuvent, dans les conditions de service en vigueur, prendre part à l’exécution des services fournis aux clients européens d’OVHcloud et intervenir techniquement sur les infrastructures sur lesquelles ces derniers hébergent leurs données.

Un total respect des réglementations, libertés et droits fondamentaux européens

Sur le plan organisationnel, le Groupe OVHcloud est un groupe européen dans lequel les entités commerciales européennes, de même que les entités susceptibles d’intervenir sur les infrastructures d’hébergement d’OVHcloud situées au sein de l’Union Européenne et utilisées par ses clients européens, relèvent de la juridiction exclusive d’états membres de l’Union européenne ou d’états ayant fait l’objet d’une décision d’adéquation de la Commission européenne. En effet lesdites entités sont contrôlées par OVH Groupe SAS qui est une société de droit français, sans lien de dépendance avec une quelconque entité ou organisation soumise à la juridiction d’états n’assurant pas niveau de protection des données adéquat.

Des demandes d’autorités (gouvernementales, administratives, judiciaires, ou autres) tierces à l’Union européenne peuvent être formulées visant à obtenir la communication de données hébergées par un client européen d'OVHcloud dans un datacenter localisé au sein de l’Union européenne. OVHcloud est dans ce cas pleinement en capacité, conformément à sa politique de traitement des demandes des autorités, et aux dispositions l’article 48 du RGPD, de s’opposer à de telles demandes dès lors que celles-ci ne sont pas réalisées conformément à un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays demandeur et le ou les États membres de l’Union européenne concernés.

De plus, pour les clients souhaitant que le traitement des données qu’ils confient à OVHcloud soit réalisé exclusivement depuis le territorien européen, OVHcloud met en place une option dans le cadre de laquelle il est prévu que seules des entités européennes participent à l’exécution du service, à l’exclusion de toute autre entité y compris les entités localisées dans des pays tiers considérés comme disposant d’un niveau de protection adéquat par la Commission européenne.

HDS Certification OVHcloud

En conformité avec les normes de sécurité et les référentiels souverains les plus exigeants

Chez OVHcloud, aucun accès aux données des clients n’est autorisé, sauf si celui-ci intervient à la demande du client ou après accord de ce dernier et lorsque cela est nécessaire, dans le cadre d’une intervention des équipes support ou d’une opération de maintenance par exemple. L’entreprise assure une traçabilité complète de ces actions, gage de la souveraineté des données.

Le Visa de Sécurité SecNumCloud, obtenue par OVHcloud début 2021, apporte l’assurance aux clients des services cloud certifiés de choisir des solutions dont le niveau de sécurité et de confiance a été vérifié par l’ANSSI (Agence nationale de la sécurité des systèmes d'information). Elle garantit le recours à des solutions, recommandées par l’État français et particulièrement adaptées pour l’administration française et pour les entreprises nationales des secteurs les plus sensibles. OVHcloud fournit par ailleurs ses services cloud aux administrations françaises (UGAP), du Royaume-Uni (G-Cloud), italiennes (AgID) ou encore aux institutions de la Commission européenne (DPS 1 MC5). L’entreprise est par ailleurs impliquée dans les travaux en cours de l’Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) sur la certification cybersécurité des services cloud.

OVHcloud tâche également de répondre aux besoins et exigences des opérateurs d’importance vitale et des opérateurs de services essentiels, qui dans le cadre de leurs procédures d’homologation basées doivent conduire des analyses de risque et mettre en place de nombreuses règles de sécurité. En effet, la documentation d'OVHcloud basée sur la mise en œuvre de différentes normes et référentiels (ISO 27001, ISO 27701, SecNumCloud, HDS, SOC, CSA Star, PCI-DSS et autres) permet aux clients de conduire leur analyse de risques en accédant en toute transparence aux mesures et l’organisation mise en place par OVHcloud afin d’assurer la protection de leurs données.

Best Value Dedicated Servers

Une maîtrise étendue de la chaîne de sous-traitance et des dépendances technologiques

Depuis plus de 20 ans, OVHcloud a développé un modèle d’activités industrielles intégré qui lui permet de totalement maîtriser sa chaîne de valeur. On y retrouve la construction et le pilotage des datacenters, la conception des serveurs et des baies informatiques dans l’usine de Croix (Hauts-de-France), mais aussi l’exploitation d’un réseau de fibre noire, éclairé par OVHcloud. Cette maitrise logistique permet d’assurer une souveraineté des données et des services étendus, grâce à un contrôle de la chaine d’approvisionnement. Elle limite également les dépendances technologiques vis à vis des sous-traitants et des fournisseurs d’OVHcloud. La capacité de la société à soutenir le développement de l’activité de ses clients a été démontrée lors de la crise sanitaire en 2020. OVHcloud a évité les ruptures de stock, contrairement à certains concurrents, souvent plus dépendants de leurs fournisseurs.

OVHcloud présente aussi la particularité d’intégrer dans ses produits des technologies open-source, ouvertes et réversibles, ou alors des standards de marché. Ces plateformes respectent by design la souveraineté des données des clients et sont opérées de bout en bout par OVHcloud sans intervention de sous-traitants externe. OVHcloud s’assure que les éditeurs de logiciels à l’origine de briques technologiques de ses solutions présentent des gages de souveraineté.

Sous réserve de conditions particulières de service, OVHcloud s’assure que les partenaires qui interviennent dans le cadre de la maintenance de la solution s’engage à n’intervenir que depuis des Etats européens ou présentant un niveau de protection des données équivalent à celui en vigueur au sein de l’Union européenne et à respecter la réglementation européenne. La maitrise complète et le très haut niveau d’intégration de services tiers intégrés dans ses produits permet ainsi à OVHcloud d’assurer une protection étendue de la souveraineté des données de ses clients. Le tout, vers un cloud de confiance et respectant la souveraineté des données françaises et européennes.

Besoin d’assistance ou d'informations ?

Demandez qu’un conseiller OVHcloud vous rappelle gratuitement

Autres ressources relatives à la souveraineté des données

Les Français et la souveraineté numérique

L’institut IFOP a publié en avril 2021 un sondage auprès d’un échantillon de 1 028 personnes représentatif de la population française. Plus de deux tiers affirment être attentifs au traitement qui est fait de leurs données personnelles lorsqu’ils utilisent Internet. La grande majorité estime nécessaire de développer de grands acteurs français ou européens pour faire face à la concurrence internationale, susceptibles de renforcer notre sécurité et notre indépendance.