Afin de rester concurrentiel dans un marché mondialisé, le Luxembourg a déjà investi massivement pour développer ses capacités de services informatique tant au niveau des datacenter que des réseaux.

Le Cloud Computing semble être la prochaine étape de cette évolution, ce qui soulève néanmoins un certain nombre de risques (ex : le risque de non-conformité, la perte de gouvernance, la perte de données, perte de disponibilité du service, etc.) et de défis qui doivent être identifiés pour être pris en compte efficacement.

En effet, dans le contexte local où le secteur financier est majoritaire mais aussi très réglementé, la confidentialité et la sécurité des données sont les principales préoccupations pour qui se destine à aller vers des solutions de Cloud Computing. En particulier, les problèmes de localisation géographique des données constituent toujours un obstacle majeur pour les entreprises qui souhaitent opter pour des solutions dans « le nuage ». La loi luxembourgeoise et les différentes instances de régulation imposent des règles strictes en termes de gestion, de conservation et de récupération des données. Indirectement, ces lois induisent des règles de localisation des données, qui, à première vue sont contraires aux principes du Cloud Computing. Ce point est d’autant plus critique avec la mise en place du Patriot Act aux USA qui permet aux autorités Américaines d’accéder à toute données à partir du moment où elles sont localisés sur leur territoire.

Cela signifie, pour les entreprises régies par le secret professionnel à Luxembourg, un cadre réglementaire très stricte, une supervision accrue des prestataires et des contrats très précis sur les aspects de localisation des données et d’outsourcing en cascade, la banque restant toujours le responsable final de ses données. Ainsi, en dehors d’une solution interne et locale de virtualisation (Cloud privé) où la maîtrise des coûts n’est pas acquise d’avance, il existe un besoin d’analyser et de considérer les différents flux de données. Une démarche de qualité des données permettra d’une part d’identifier les données clients qui doivent être confidentielles et être gérées par un prestataire PSF local et d’autre part d’identifier les données processus et applications qui peuvent être externalisées dans le cadre d’un Cloud dit public.

Le Luxembourg étant le premier pays d’Europe à légiférer sur la réversibilité des données, il y a fort à parier que cet argument sera un facteur accélérateur pour le développement d’offres de Cloud Computing sur le territoire luxembourgeois dans les années à venir. En revanche, si la loi précise le droit de revendication d’un particulier ou d’une société sur ses données stockées auprès d’un prestataire de services Cloud, elle ne précise ni les procédures, ni les contrôles à mettre en place afin de garantir que chaque client pourra effectivement récupérer ses données dans des délais et conditions acceptables. Dès lors, il semble plus que nécessaire pour toute société qui souhaiterait se tourner vers des solutions Cloud de s’assurer que son prestataire offre bien toutes les garanties permettant de récupérer les données en cas de faillite ou d’incapacité à offrir le service promis. C’est même certainement l’un des critères majeurs à considérer lors de la phase de sélection et de contractualisation avec le prestataire.

« Par Clément Cotel, Manager et Xavier Hermès, Senior Consultant de Kurt Salmon Luxembourg »