Plusieurs évènements ont récemment remis en pleine lumière le débat sur la géolocalisation des centres de données utilisés par les hébergeurs informatiques et plus particulièrement ceux proposant des offres de « cloud ».

En novembre dernier, le Conseil Régional de Bretagne annonçait qu’après un appel d’offres international en bonne et due forme que lui impose la loi et la réglementation européenne, il confiait la gestion d’une partie non critique de son infrastructure informatique à la société Néoxia qui s’appuie sur l’offre Amazon Web Services. Le contrat était signé « au terme d’un an d’expérimentation » et portait sur une évaluation opérationnelle des « possibilités du Cloud Computing et l’accompagnement des équipes techniques de la Région dans l’utilisation de ces nouveaux services ». Dans son communiqué, le Conseil Régional précisait «qu’aucune donnée de la Région ne se trouve à ce jour hébergée dans le serveur d’Amazon » et précisait « l’utilisation de ses services n’est envisagée qu’en cas de sinistre majeur sur le système d’information de la Région ». Enfin, les élus, sûrement conscient du tohu-bohu médiatique que cette annonce provoquerait, affirmaient que « la Région Bretagne veille activement, avec l’ensemble de ses partenaires, opérateurs télécom et sociétés de services informatiques, à l’émergence de solutions françaises qui offrent ce même niveau de maturité, seul capable de répondre durablement aux problématiques des directions informatiques de structures publiques ».

Deux groupes pour un cloud tricolore

Cette décision ne concerne finalement qu’une solution de secours (PRA, plan de reprise d’activité), hébergée qui plus est en Europe puisque les data centers d’Amazon sont installés depuis 2008 en Irlande pour ce qui concerne cette zone d’activité. Mais elle intervenait au moment où naissaient, à l’instigation de l’Etat, deux acteurs du cloud tricolore : Cloudwatt créé par Orange et Thales, et Numergy, porté par SFR et Bull, tous deux épaulés par la Caisse des Dépôts et Consignations qui a injecté deux fois 75 millions d’euros d’investissements publics. Ces deux projets « se démarquent des offres existantes et devraient permettre de lever les derniers freins à l’utilisation du cloud computing, déclarait à cette occasion la ministre déléguée à l’économie numérique, Fleur Pellerin ; une affirmation que condamnaient immédiatement plusieurs autres entreprises françaises, présentes depuis des années sur le marché du « cloud ». Pour le gouvernement, l’enjeu est clairement d’établir une position stratégique afin de préserver la souveraineté des données des entreprises françaises en assurant leur hébergement sur le territoire national, dans des infrastructures établies en France. On essaye aussi de jouer habilement sur la crainte des investigations dans les bases de données que peuvent mener les autorités américaines sous couvert des lois anti-terroristes du Patriot Act. Quoi qu’il en soit, pour bon nombre d’observateurs, Cloudwatt et Numergy sont arrivés trop tard pour répondre à l’appel d’offres du Conseil Régional de Bretagne, et les autres acteurs français n’ont pas répondu (à l’exception d’un seul), incapables peut-être de répondre aux exigences techniques du cahier des charges.

Les américains ont-ils des atouts ?

Quels avantages auraient donc les offres américaines ? Elles sont séduisantes car elles émanent d’un marché déjà très mature, construit sur un tissu de plus de 1000 data centers actifs, alors que l’Europe est loin du compte (moins de 700 data centers au total chez les 27) et que seulement trois pays peuvent aligner chacun plus d’une centaine d’intervenants (160 en Grande Bretagne, 126 en Allemagne et à peine plus de 100 en France selon des chiffres publiés par l’Usine Nouvelle). Les offres américaines reposent aussi sur d’importantes capacités de calcul et de stockage mises à disposition d’une demande toujours croissante, provenant des entreprises comme des organismes publics et gouvernementaux. Le pays compte aussi quelques géants de l’Internet qui, du fait de leur activité, ont construit des outils et élaboré des savoir-faire qu’ils proposent maintenant à des tiers à des prix rendus attractifs par les économies d’échelle. Cet environnement très favorable permet de développer toujours plus d’infrastructures, en Amérique du Nord mais désormais aussi en Europe, ce qui évidemment crée une dynamique très porteuse pour l’offre. Résultat, la presque totalité des données américaines sont hébergées aux USA ou par des sociétés américaines, alors qu’un tiers seulement des données européennes le sont en Europe ou par des sociétés européennes.

Faut-il stocker ses données en France ?

Il existe dès à présent une offre conséquente de services (SaaS) et de systèmes de sauvegarde de données « dans le cloud » stipulant que les serveurs utilisés sont localisés en France. Cette spécificité géographique fait théoriquement partie des informations contractuelles que le client doit connaître ou est en capacité d’exiger. La localisation dans l’Hexagone n’est donc pas une chose impossible et devient même un argument de vente que les fournisseurs de services n’hésitent plus à mettre en avant, même si eux-mêmes sont d’origine étrangère. Qu’est ce que cela implique ? A vrai dire pas grand chose. Fournisseurs et hébergeurs sont tous soumis aux lois du pays dans lequel sont installés leurs centre serveurs mais, pour ce qui concerne la France et ses 26 partenaires, ils obéissent aussi et surtout aux règles que s’est donnée la Communauté Européenne, comme par exemple la directive qui interdit les transferts des données personnelles en dehors de l’Union. Une entreprise doit donc d’abord se soucier de savoir si son prestataire de Cloud, français ou européen, peut réaliser des transferts de données extra-communautaires pour assurer, par exemple, son propre backup, ou, qu’au contraire, il garantit à ses clients un strict hébergement des données sur le Vieux Continent.

En définitive, la localisation est secondaire dans les critères de choix à partir du moment ou l’on est sûr que les données restent dans le périmètre européen.

Les critères de choix géographiques d’un hébergeur ou d’un prestataire infogérant doivent plutôt porter sur les points suivants :

Les datas centers (le principal et le backup éventuel) sont-ils situés à proximité de nœuds de transit importants permettant une communication rapide et sûre, entre l’entreprise cliente et ses serveurs, et vers les territoires sur lesquelles l’entreprise cliente fait des affaires,

Les datas centers bénéficient-ils d’un approvisionnement en énergie sécurisé par le biais d’un fournisseur d’énergie de référence qui a déployé des circuits d’approvisionnement redondant et indépendants,

– Les datas centers sont-ils dans un environnement compétitif et donc concurrentiel qui les maintient à un haut niveau technologique pour pouvoir répondre aux exigences les plus extrêmes de leurs clients,

– Les datas centres sont-ils situés dans un pays stable, respectueux du droit et du secret des affaires (cette question est évidemment valable aussi pour la Communauté Européenne)

– Les serveurs utilisés par le prestataire de services SaaS sont-ils situés en Europe ou ailleurs. Le choix doit se faire en toute transparence pour le client, quelle que soit sa taille, qu’il soit un petit cybermarchand ou une grosse PME. Le prestataire doit clairement indiquer la localisation des serveurs qu’il utilise

– Quelle que soit la réponse apportée par le prestataire sur la géolocalisation des serveurs utilisés, le client doit aussi s’enquérir du mode de transmission de données utilisé, de la mise en œuvre ou non d’un cryptage durant cette phase et sur les fichiers résidents dans le data center

– Enfin, il faut rappeler qu’il existe différents types de cloud – privé, public, hybride – et différentes modalités d’administration – délégation totale ou partielle à l’infogérant, pilotage et/ou supervision depuis l’entreprise – et que le choix de l’hébergement n’est pas obligatoirement monolithique : il peut être modulé et même éclaté géographiquement en fonction de la criticité des données stockées et des applications utilisées.

Enfin, les entrepreneurs ou les responsables de SI qui sont chatouilleux sur la géolocalisation de leurs données doivent se poser la question par rapport à leurs terminaux mobiles. Où sont les données sauvegardées dans le compte iCloud associé à un iPhone ou à un iPad ? Où se trouve le « cloud » de Samsung, de LG, de HTC, de Sony, de Blackberry, etc. ? Où se trouve le cloud d’application comme DropBox, Mozy, de Gmail ou d’Office 365, etc. ? Qui peut le dire avec certitude à l’heure du développement anarchique du BYOD, terminal personnel qui sert aussi de portable professionnel ?