T'as où les données ?
Si la question se pose, alors il est temps de nous consulter.
Publié le 12 juin 2025 par Maurice Kaag
Vos données, ce nouvel eldorado
L'Europe et la Suisse sont à la traîne dans la valorisation des données. Les entreprises collectent un grand volume de données de par leurs activités, mais peu l'exploite correctement pour en faire un avantage décisif. Les GAFAM n'ont pas attendu que l'on se rendre compte de cette situation, ils utilisent non seulement les données collectées par leurs clients, mais aussi les données générées par ces mêmes clients en utilisant leurs plateformes et celles de leurs partenaires.
Que gagne-t-on vraiment à utiliser des services numériques étrangers ? Généralement on recourt à un service étranger lorsque l'on n'a pas trouvé d'équivalent localement. Ou alors le service étranger est moins cher ou plus performant.
Il n'y a aucun souci à faire appel aux plateformes US ou chinoises, du moment que les données ne sont pas sensibles (armées, énergies, personnes) ou que celles-ci soient chiffrées avec une clef uniquement accessible à l'entité propriétaire des données. La grande majorité des entreprises suisses sont de taille modeste, on compte sur les doigts de la main celles qui profitent réellement des technologies de cloud public (Alibaba, Oracle, Azure, AWS, Google) avec des produits bien spécifiques. Les autres ont suivi le mouvement au petit bonheur ou y ont été accompagnées par leur prestataire qui touche un pourcentage des abonnements. Avait-elle besoin d'aller chez Machin ? Mais oui tout le monde y est, c'est le "place to be".
Dialogue bien trop récurrent avec les clients :
- Savez-vous où sont vos données ?
- Bien sûr elles sont hébergées à Zürich.
- Très bien, mais qui héberge ces données au juste ?
- C'est Machin, une entreprise américaine.
- Et vous stockez des données personnelles ?
- C'est à dire ?
- Par exemple les noms, emails, téléphones et adresses des clients et des employés.
- Oui comme tout le monde, mais bon je les mettrai où sinon ?
- C'est une bonne question. Et ainsi les données sont disponibles pour le gouvernement US ?
- Non non, on fait attention, ils sécurisent nos données.
- Ok ils chiffrent les données, impeccable, mais avez-vous la clef de chiffrement ?
- Non c'est eux qui l'ont.
Si vos clients et vos employés sont en Suisse, pourquoi confier vos données à une entreprise étrangère ? Une fois vos données dans un cloud public américain, comme celui de Zürich ou de Francfort, ces données sont répliquées aux USA.
Ces mêmes entreprises US nous jurent sur ce qu'ils ont de plus cher (nos données) qu'ils ont enfin réussi à séparer les données EU des données US. "Yeah" me direz-vous. Je vous répondrai "que neni, poudre aux yeux que tout cela" car l'entreprise reste US, donc assujettie à la loi US, point final.
Joe Biden a signé en avril 2024 l'extension de FISA jusqu'en 2026 (https://www.congress.gov/110/plaws/publ261/PLAW-110publ261.pdf) - ceci rejoint les informations dévoilées par https://fr.wikipedia.org/wiki/Edward_Snowden, à savoir que le gouvernement américain force les entreprises US à collecter les données en leur possession et à les "faire suivre" au gouvernement. Donald Trump n'a pas prévu de faire des fleurs au vieux continent.
Vous reprendrez bien un peu de poudre de perlimpinpin :
- https://blogs.microsoft.com/on-the-issues/2025/02/26/microsoft-completes-landmark-eu-data-boundary-offering-enhanced-data-residency-and-transparency/
- https://aws.amazon.com/fr/compliance/eu-data-protection/
- https://www.facebook.com/legal/EU_data_transfer_addendum/
- https://support.monday.com/hc/en-us/articles/4404392703250-Data-residency
- https://www.salesforce.com/eu/blog/hyperforce-eu-operating-zone/
- https://www.zoom.com/fr/blog/data-europe-updating-zooms-dpa/
- https://cloud.google.com/assured-workloads/docs/eu-sovereign-controls-restrictions-limitations?hl=fr
"Le nouveau Data Protection Framework (DPF) est validé !" Mais pour combien de temps ? Il reprend la quasi totalité du contenu de son prédécesseur, le défunt Privacy Shield, invalidé par le Cours de Justice de l'Union Européenne en juillet 2020 (réf. arrêt Schrems II), lui-même un reliquat du Safe Harbor, invalidé lui aussi en 2000 (réf arrêt Schrems I). Le DPF est en sursit, une nouvelle plainte est en cours. Fait intéressant le DPF reprend mot pour mot le contenu du Privacy Shield, parfois sans changer la dénomination "Privacy Shield", un problème de copier/coller.
Les avocats de Microsoft ont admis devant les services de police écossais que l'entreprise ne pouvait pas garantir que les données sensibles des services de police resteraient au Royaume-Uni, malgré les affirmations publiques de longue date qui prétendent le contraire. Lire l'article https://www.computerweekly.com/news/366589152/Microsoft-admits-no-guarantee-of-sovereignty-for-UK-policing-data - pensez-vous que vos données soient mieux loties ?
Ce maelstrom politico-commercial s'applique aussi au site web en général. On trouve bien trop de sites européens et suisses qui utilisent Google Fonts, Google Maps, Google Analytics, Mailchimp, Dropbox, Captcha, YouTube, Google Drive, Cloudflare et des CDN américains en pagaille. Il n'y a aucun souci à permettre à tout ce petit monde d'accéder aux données de vos visiteurs si ces derniers sont informés et on eu le choix de partager ou non leurs données. Car il est bel et bien interdit d'en forcer l'usage à un citoyen/résident européen. Enfin, qui a envie de lire des bannières de cookies et d'autoriser les 438 revendeurs à accéder à nos données de navigation ? Réduisez votre dépendance, simplifier votre site web, améliorer la navigation de votre site et pourquoi pas, faire des économies !
C'est compliqué
Oui et c'est d'autant plus compliqué d'utiliser ces services étrangers alors que l'on peut trouver tout ce qu'il faut en Europe mais aussi en Suisse. Alors pourquoi donc risquer son business, ses revenus, sa réputation (une amende RGPD c'est 4% du CA ou 20 millions €) ? Pour faire comme tout le monde, pour peut-être payer moins cher, par paresse de comprendre et de parler à quelqu'un pour gérer tout ça...
Cela reste néanmoins une obligation légale. "Je vais passer au tout-papier !" - le RGPD n'est pas restreint aux outils numériques, loin de là.
Toutes ces petites et moyennes entreprises qui vendent leur produit "100% Suisse" ou "Fabriqué en France", mais qui peinent à faire confiance à une entreprise nationale pour leur informatique et leur données, pourtant vitales pour leur activité. Pourquoi devrions-nous acheter leur bien ou leur service ?
Que font les autres ?
Tout n'est pas si sombre, plusieurs entreprises hébergent leurs données chez eux pour les plus grands ou auprès d'un prestataire de service comme SDG, d'autres encore utilisent les services d'Infomaniak ou de Swisscom. Choisir un partenaire local n'est de loin pas plus cher que chez "Mickey and Co." et on peut en plus, parler à un humain.
Outils collaboratifs, emails, vidéoconf, apprentissage, chiffrement, sauvegarde, gestion client, messagerie - on trouve désormais tous ces outils au niveau national.