Cloud computing et outsourcing sont des mots dans l’air du temps.
S’agit-il d’une nouvelle tendance? 

Absolument pas. De tous temps, des entreprises désireuses de se recentrer sur leur activité première ont fait le choix d’externaliser certaines tâches, particulièrement celles qui requièrent un haut niveau de qualification, comme l’informatique. Cela dit, avec la mondialisation et la complexification des technologies de l’information, l’opération comporte de nouveaux risques qui ne sont pas aisés à identifier pour les décideurs. D’autant plus que le contrat de mandat ne les délie en rien de leur responsabilité à garantir la confidentialité.

Schématiquement, quels sont les risques auxquels sont exposés lesdits décideurs qui décident d’externaliser le stockage ou le traitement de leurs données? 

Il va de soi que les risques dont nous parlons sont problématiques essentiellement pour les entreprises qui possèdent des données sensibles et confidentielles. Concrètement, il suffit de faire appel à un opérateur télécom gérant des mails pour être exposé à certains risques. En effet, il arrive que celui-ci sous-traite, par exemple, la gestion du système anti spam à une entreprise étrangère. L’échange de données se fera en quelques secondes sans même que le client final ne remarque quoi que ce soit; mais ce simple transit pose d’importants problèmes de confidentialité. En effet, il est probable que ces données soient conservées et puissent être consultées par l’entreprise, ses actionnaires voire par un gouvernement dans le cadre d’une enquête. 

Pourquoi est-il si compliqué d’éviter les risques liés à l’externalisation? 

Parce que tout le processus est rarement transparent chez tous les acteurs. D’ailleurs, même s’il l’était entièrement, il suffirait par exemple, que la société mandatée pour faire les audits soit d’origine étrangère (ou détenue en tout ou partie par un actionnaire étranger, par exemple américain) ou fasse elle-même appel à une société de stockage de fichiers installée en tout ou partie sur sol étranger, pour que cela crée une faille dans la confidentialité. 

Que devraient faire les décideurs face à tous ces risques? 

Une fois qu’ils ont pris toutes les mesures pour y pallier en signant, entre autres, une convention avec l’entreprise qui se chargera de l’externalisation afin de garantir que les lois suisses seront appliqués quel que soit le lieu d’hébergement des données, ils doivent prendre pleinement conscience du risque et faire le choix de l’assumer ou non. Ils devront également veiller à appliquer à la lettre les recommandations et impératifs liés à leur activité. Si celle-ci est en rapport avec le domaine financier, ils devront appliquer les règles de la circulaire 2008-7 de la FINMA en matière d’outsourcing.