Les lois sur la localisation des données génèrent de nouveaux modèles d'affaires
Plusieurs start-up aident les entreprises à naviguer parmi l'imbroglio juridique et à faire en sorte que leurs data soient stockées au bon endroit.
Ces dernières années ont vu se multiplier les normes et réglementations autour de la manipulation et du déplacement des données. Dans ce contexte, les entreprises opérant à l'international se retrouvent confrontées à un véritable casse-tête réglementaire. Dernier rebondissement en date : l'abandon, en juillet, du bouclier de protection des données UE-Etats-Unis. Mis en place en 2016, il permettait jusque-là aux entreprises de transférer les données personnelles sans restriction entre les Etats-Unis et l'Union européenne. Celui-ci n'étant plus valide, le transfert de données entre les deux zones peut désormais entraîner des pénalités, en accord avec le RGPD. Plus de 5 300 entreprises seraient concernées. En cas de non-respect des normes imposées par le RGPD, elles risquent une amende pouvant monter jusqu'à 4% de leurs revenus.
À l'heure où la souveraineté des données est à l'ordre du jour et où un nombre croissant d'Etats se dotent de lois limitant leur libre circulation, plusieurs jeunes pousses surfent sur cette vague pour aider les entreprises à respecter les normes en matière de souveraineté et de localisation des données et éviter les amendes. Quelques jours après avoir levé 18 millions de dollars, InCountry, basée à San Francisco, a ainsi annoncé le vendredi 4 septembre dernier qu'elle étendait son offre de localisation des données à tous les pays européens, notamment en réaction à cette décision. OneTrust, une autre entreprise spécialisée dans la gestion des données, leur gouvernance, et leur mise en conformité, qui travaille avec la moitié des entreprises du Fortune 500, affirme de son côté que cette décision a conduit de nombreuses entreprises à la contacter.
"L'arrêt Schrems II de la Cour de justice de l'UE a accru la demande de services de localisation et de management des données en Europe"
"L'arrêt Schrems II de la Cour de justice de l'Union européenne a accru la demande de services de localisation et de management des données dans l'UE. Nous avons travaillé avec de nombreux clients pour les aider à mettre en place des mécanismes de transfert des données en conformité avec la décision de la Cour de justice et le RGPD", affirme Victoria Matallah, responsable marketing France de OneTrust.
De la Chine à la Russie, en passant par l'Australie et le Vietnam, plus de 130 pays ont mis en place des lois obligeant les entreprises à stocker au moins certains types de données concernant leurs citoyens dans des serveurs situés sur le territoire national. Dans plusieurs pays, comme la Russie, tous les types de données sont concernés. D'autres ciblent seulement certaines données sensibles : la loi australienne ne concerne par exemple que les données de santé. Le fonctionnement de ces lois diffère dans chaque pays et évolue en permanence. Les multinationales sont donc confrontées à un paysage de plus en plus fragmenté et risqué, sachant que toute infraction peut engendrer une amende salée, voire le bannissement pur et simple du pays en question.
Résidence des données en tant que service
Pour répondre à la demande des entreprises confrontées à une multiplication des normes, OneTrust a conçu un système qui lui permet de naviguer facilement parmi ces dernières : "L'outil est alimenté par le contenu d'une base de données comprenant des renseignements sur des centaines de lois. Par conséquent, OneTrust s'adapte aux juridictions et aux cadres de référence applicables aux activités de nos clients, en générant des tableaux de bord, des graphiques et des rapports de tenue de registres correspondant à leurs besoins", précise Victoria Matallah.
L'an passé, OneTrust a racheté DataGuidance, une plateforme de recherche et de veille spécialisée dans la sécurité et la confidentialité des données, afin de renforcer sa capacité à fournir un service juridique aux entreprises dépassées.
InCountry affirme de son côté offrir à ses clients la "résidence des données en tant que service" et veut devenir le "Deloitte des données", selon les mots de son fondateur, Peter Yared. Le logiciel de la jeune pousse crée une copie des données soumises à résidence et les stocke en local dans les pays concernés, dans ses propres serveurs cloud fournis par AWS, Azure, Google Cloud et Alibaba Cloud. Les données sont ensuite synchronisées en temps réel entre les deux bases de données.
"Il devient très difficile pour les entreprises de se conformer aux règles sur la localisation des données qui se révèlent de plus en plus complexes et disparates"
"Nous aidons les multinationales à croître dans un monde de plus en plus régulé. Le nombre de lois sur la localisation des données est en hausse constante, et il devient très difficile pour les entreprises de se conformer à ces règles complexes et disparates. Cela demande beaucoup de temps, des moyens financiers et un recours à des experts qui maîtrisent les différentes régulations régionales, un investissement qui n'est pas à la portée de la plupart des entreprises. Dans ce contexte, notre ambition est de fournir une solution unique autour de la conformité des données afin que les entreprises n'aient plus besoin de s'en soucier", explique Peter Yared.
Le coronavirus a donné un important coup de pouce au logiciel en tant que service (SaaS), déjà en pleine croissance depuis plusieurs années. La généralisation du télétravail a accru l'appétence pour les solutions logicielles permettant d'opérer à distance et de facilement manipuler les données depuis n'importe quel endroit, tandis que les remous de la conjoncture économique ont rendu la flexibilité offerte par le SaaS, qui permet de facilement accroître et réduire le volume de ses activités, ce qui se révèle plus nécessaire que jamais.
Mais dans la précipitation, et dans un contexte de régulations croissantes, le risque est grand pour ces entreprises d'enfreindre par mégarde l'une des nombreuses lois régissant le déplacement des données. C'est cette conjoncture de phénomènes qui ouvre un boulevard à des start-up comme OneTrust et InCountry. Ces entreprises suivront tout naturellement l'évolution des régulations au cours des prochains mois avec une attention soutenue. "Les autorités européennes et américaines discutent actuellement du futur des transferts de données entre les deux juridictions. Nous verrons comment évoluent ces négociations", conclut Victoria Matallah.