La société française d’hébergement de sites web OVH a réuni ses homologues européens pour établir ensemble une règle de bonne conduite sur la gestion des données personnelles. Quelle est la responsabilité du fournisseur lorsque son client enfreint la réglementation ? La question illustre bien le souci actuel des hébergeurs Internet, dans un contexte où le règlement général sur la protection des données adopté en avril 2016 devra entrer en vigueur dans l’Union européenne le 25 mai 2018.
Les hébergeurs prennent le devant
Dans l’esprit d’harmoniser les législations européennes actuelles sur la protection des données personnelles, le texte prévoit une co-responsabilité de l’hébergeur avec le client. En effet, le fournisseur d’infrastructure de stockage de données en ligne (le cloud) peut aussi être mis en cause si le client venait de griller un feu rouge. Ce sont les hébergeurs qui ont décidé d’effectuer une offensive avant l’application de ce règlement. La société française OVH, n°1 européen dans le domaine et 3ème mondiale, a ainsi organisé une réunion avec ses principaux concurrents. Une vingtaine de géants européens et l’américain Amazon Web Services ont participé à cette table ronde. Alban Schmutz, vice-président d’OVH, a contacté un à un ses homologues pour les persuader sur l’utilité de la démarche. Cette action découle du fait que la Commission européenne semble méconnaître sa profession.
Lever toute incertitude
Alban Schmutz a indiqué que lorsqu’il a rencontré l’administration bruxelloise, celle-ci ne savait pas qui était OVH, ni ce qu’est la mission d’un fournisseur d’infrastructures. Voilà selon lui la preuve que les dirigeants et parlementaires européens font des législations sur des marchés dont ils ne comprennent même pas le fonctionnement. Cette méconnaissance concerne notamment la distinction entre deux métiers du Cloud : d’un côté, l’IaaS ou Infrastructure as a Service qui se charge du stockage des données (partie matérielle), et de l’autre le SaaS ou Sofware as a Service qui s’occupe du traitement des données (partie logicielle). Suite à ces différentes discussions, OVH accouché d’un code de bonne conduite révélé le 27 septembre 2016 à Bruxelles. Il affirme avoir expliqué dans le document sa responsabilité et comment il peut aider ses clients à intégrer la future réglementation. L’objectif est, pour lui, d’« éviter de générer de l’incertitude ». Le texte engage surtout ses 25 entreprises « participantes » à traiter la totalité des données de ses clients en Europe, les informe sur lieu où elles se trouvent, et les conseille de ne pas les réutiliser.
Base juridique et interlocuteur pour le législateur
Sur le long terme, ce texte doit servir de base juridique pour le législateur. Les principaux fournisseurs d’infrastructure veulent bien peser sur le groupement des CNIL européennes (le G29). Ces derniers se chargeront de définir d’ici à 2018 les modalités de mise en œuvre de ce règlement européen et de soulever les points obscurs sur les entreprises. Entre temps, les professionnels participant à l’initiative doivent s’engager à respecter cette règle de bonne conduite. En échange, ils se verront attribuer un label de conformité par un organisme de certification externe. Pour les clients, il s’agit d’une garantie sur la sécurité des données. Mais les fournisseurs d’infrastructure ne comptent pas aller plus loin. Non seulement ils s’engagent à respecter leur code de bonne conduite, mais ils vont aussi créer une association. Celle-ci sera leur porte-parole. Une autre illustration donc de leur souhait de jouer le rôle d’interlocuteur de référence pour le législateur dans l’avenir.
