La nouvelle réglementation européenne sur la libre circulation des données non personnelles, une étape importante pour lutter contre les pratiques de vendor lock-in

Temps de lecture estimé : 4 minute(s)

Le 9 novembre 2018, la libre-circulation des données non personnelles dans l’UE a été adoptée définitivement. Qualifiée de « cinquième liberté », après celles des personnes, des biens, des services et des capitaux, la réglementation « Free Flow of Non Personal Data (FFoD) » complète le récent RGPD. Pour les fournisseurs d’infrastructure informatique sur le nuage, cette réglementation sera mise en œuvre grâce à un code de conduite Européen piloté par OVH, comme l’explique Alban Schmutz, Vice-Président en charge du développement et des affaires publiques pour OVH.

Que pensez-vous de cette nouvelle réglementation européenne ?

Alban Schmutz Cette nouvelle réglementation européenne vient compléter le RGPD. Même si elle est moins médiatique par son côté B2B, elle marque une étape essentielle dans la constitution d’un espace européen unique pour la libre circulation des données. Elle élimine d’une part la plupart des restrictions géographiques au stockage et au traitement des données non personnelles en Europe (ce qui concerne avant tout les structures publiques), mais va aussi permettre aux clients des fournisseurs de Cloud (Infrastructure ou Logiciel) de changer plus facilement de prestataire.

C’est donc une excellente nouvelle pour les providers européens et leurs clients surtout. En plus de construire un véritable espace de liberté entre les membres de l’UE, cette réglementation permettra de développer le marché européen de la donnée avec une croissance du PIB estimée à 4 %, soit environ 8 milliards d’euros par an selon Deloitte.

 

Quel impact direct pour OVH et ses clients ?

A.S. L’article 6 du FFoD nous intéresse plus particulièrement et va directement bénéficier à nos clients. Il traite en détails de la portabilité des données non personnelles en Europe, d’un fournisseur de cloud à un autre, sans aucune contrainte. Il marque une étape importante pour lutter contre les pratiques de « vendor lock-in » de certains fournisseurs de cloud qui peuvent bloquer ou sérieusement décourager les éventuelles migrations vers d’autres fournisseurs : les DSI vont pouvoir mettre en concurrence leurs fournisseurs plus facilement et reprendre la main dans les négociations. C’est selon nous une mesure fondamentale qui s’inscrit dans la droite ligne des valeurs que nous défendons depuis l’origine d’OVH : la liberté de choix et la promotion de standards ouverts. La portabilité des données non-personnelles est en fait une manière de s’assurer de la réversibilité. L’idéal serait même de pouvoir aller encore plus loin, notamment sur l’automatisation technique, mais ce n’est pas l’objet de cette régulation.

 

Comment s’assurer que cette réglementation sera correctement appliquée ?

A.S. Cette évolution législative de la libre circulation des données non personnelles oblige les acteurs du marché européen à adopter des codes de conduite pour garantir sa mise en application. OVH au travers de CISPE, l’Association de fournisseurs d’Infrastructure Cloud en Europe, a pris les devants dès le début 2018, par la rédaction d’un tel code sur le IAAS (Infrastructure as a Service) en coordination avec EuroCIO, l’association européenne des DSI. Ce travail a été intégré dans un processus formalisé par la Commission européenne depuis avril 2018. Nommé SWIPO (SWItching and POrting), il inclut deux groupes de travail (IAAS and SAAS). La version finale du ce code de conduite IAAS va être publié d’ici quelques semaines.

 

Quand sera-t-il vraiment opérationnel ?

A.S. La loi a été votée par le Parlement européen le 4 octobre 2018. Le 9 Novembre une version commune et finale entre le Parlement Européen et le Conseil (États Membres de l’Union européenne) a été adoptée, et sera publiée au Journal Officiel de l’Union Européenne sous quelques semaines. Nous présenterons officiellement la version finale du code de conduite le 4 décembre 2018 à Vienne du grand événement ICT2018 organisé par la Commission Européenne. Des documents complémentaires avec des exemples d’usage seront disponible en février 2019, Il sera donc mis en place au cours de l’année 2019 par les fournisseurs qui y souscrirons.

 

Quelle sera la prochaine étape ?

A.S. Tout d’abord, au-delà de notre contribution sur l’Infrastructure Cloud (IAAS), il conviendra de s’assurer que tout le Cloud est couvert, notamment le SAAS. C’est indispensable pour nos clients, mais aussi pour l’innovation et la santé de l’écosystème technologique européen, de s’assurer que l’ensemble du marché du Cloud reste ouvert et applique des principes de réversibilité. Ensuite, de la même manière que beaucoup d’États non-européens ont adapté leur législation nationale pour être en accord avec les impératifs du RGPD, cette régulation fera boule de neige dans le monde : les DSI des quatre coins du globe ont tous besoin de cela, et ils ne comprendront pas que ce qui est fait en Europe par leurs fournisseurs ne soit pas fait pour eux. Pour la seconde fois après le RGDP, l’Union européenne pourra démontrer son impact extra-territoriale dans les régulations qu’elle adopte.

Leave a reply:

Your email address will not be published.