fpdress - Fotolia
AIOps : PagerDuty étend sa présence en Europe
L’éditeur SaaS de réponse à incidents va proposer l’hébergement de données en Europe avec AWS. Une décision motivée par les demandes régulières de ses clients locaux. Mais les interrogations légales sur cette « souveraineté » des données demeurent.
Le spécialiste américain de la réponse à incidents porté sur l’AIOps a annoncé qu’il proposerait un hébergement de sa plateforme en Europe dès le deuxième semestre 2021.
Une question de croissance avant tout
« Cette décision est principalement due à la croissance de notre clientèle et à notre pénétration sur le marché. Quand j’ai rejoint l’entreprise, il y a quatre ans, nous avions environ 300 ou 400 clients en Europe. Nous en avons maintenant plus de deux milles [PagerDuty évoquait 2 500 clients européens en juin 2020, N.D.L.R.] », déclare Steve Barrett, VP EMEA Sales chez PagerDuty. « Certaines des plus grandes marques d’Europe font confiance à PagerDuty lorsqu’elles sont confrontées à un incident qui pourrait nuire à leur relation client. Nous devons donc prévoir à quoi ressemblera notre activité dans quatre ou cinq ans ».
Il y a six mois, l’éditeur spécifiait dans sa documentation « qu’à tout moment » sa plateforme pouvait s’exécuter sur deux régions cloud américaines, à savoir AWS US West et AWS US East, et dans trois zones de disponibilités (Californie du Nord, Oregon et Ohio, une zone de disponibilité correspondant à « un ou plusieurs centres de données », selon AWS). Auprès du MagIT, Steve Barrett, indique que l’éditeur emploie six datacenters AWS aux États-Unis.
Le responsable ne peut pas mentionner la localisation des régions cloud européennes que PagerDuty utilisera, mais évoque la zone « Europe continentale », ce qui exclut selon toute vraisemblance les datacenters londoniens et irlandais d’AWS. Le déploiement de la plateforme se fera sur « au moins deux régions cloud européennes d’AWS », précise-t-il.
La mention de SAP, client de PagerDuty, dans un communiqué de presse apparaît comme un indicateur supplémentaire.
« SAP s’attache à maintenir une infrastructure cloud toujours opérationnelle pour ses clients. L’approche innovante et agile de PagerDuty en matière de gestion des incidents a contribué à rendre cela possible en réduisant les temps de réponse et de résolution des problèmes pour nos équipes d’exploitation du cloud », commente Elamurian Rajagopal, responsable du centre de service et opérations réseau chez SAP. « Nous sommes très satisfaits de cette nouvelle option de centre de données, car elle ajoute un niveau de support régional à l’offre de services de PagerDuty ».
Des performances voulues identiques aux États-Unis et en Europe
Les clients seraient donc sensibles à la notion de taux de disponibilité. Le responsable estime que PagerDuty est déjà reconnu pour les performances de sa plateforme. Apporter de nouvelles régions cloud n’est qu’un atout supplémentaire. « À mesure que nous nous développons à l’échelle mondiale, cela engendre l’amélioration progressive des performances, de la fiabilité et de la redondance », déclare-t-il.
Cela a des conséquences sur l’architecture envisagée par PagerDuty. Les clients ont toutefois des questions sur les données qui pourront être transférées aux États-Unis, à des fins techniques ou commerciales.
De fait, la plateforme de PagerDuty est voulue comme le centre d’interaction des SRE, des DevSecOps et d’autres responsables de la sécurité, afin de gérer des incidents IT et des crises dans des secteurs comme la santé, la finance ou la grande distribution. Elle s’intègre avec des outils de supervision, de collaboration, de sécurité et des briques de support client. Obtenir les informations personnelles de ces responsables peut s’avérer utile pour des agences gouvernementales, de renseignements ou des cyberattaquants.
Steve BarrettVP EMEA Sales, PagerDuty
« Il est clair que cela fait partie de nos bêta-tests en ce moment, parce que je reçois les demandes d’explication des clients sur les données qui resteront en Europe. Mais il y aura aussi un élément de redondance et de fiabilité. Je sais que vous [N.D.L.R. LeMagIT] avez écrit à propos de l’exemple OVH. Si dans le pire des cas AWS tombait en panne en Europe, nous devons être capables de basculer [la plateforme] vers les États-Unis. Mais l’intention est d’avoir la majorité des données en Europe et de les protéger en conséquence », assure Steve Barrett.
« Le premier facteur d’investissement est la souveraineté des données, pas la performance », répète-t-il.
Par ailleurs, Steve Barrett indique que PagerDuty dispose d’équipes de support technique en Europe et qu’il s’agirait de « gérer les métadonnées localement ». « Nous serons très transparents avec nos clients sur ce point et d’autres dans le cadre du service. Nous souhaitons également donner le choix aux clients ».
La délicate question de la souveraineté
Mais la question du transfert des données personnelles vers les États-Unis – comme chez beaucoup d’éditeurs SaaS – reste posée. Encore plus avec la fin du Privacy Shield suite à l’arrêt Shrems II.
Pour PagerDuty, cette décision de la CJUE (Cour de justice de l’Union européenne) ne serait pas un réel problème. « L’annonce de Schrems II n’a pas d’impact juridique sur les Clauses Contractuelles Types, qui restent valides », assure le responsable. « Mais il est clair que cela augmente la diligence raisonnable des clients et l’évaluation des risques. Nous essayons donc de prendre de l’avance pour les aider à profiter plus rapidement de notre plateforme s’ils doivent procéder à une évaluation des risques ou à un contrôle préalable lorsque les données sont transférées aux États-Unis ».
Le problème ne serait par ailleurs pas abordé par la majorité de ses clients européens.
« Beaucoup de nos clients ne sont pas inquiets du traitement des données entre l’UE et les US », constate Steve Barrett. « Il y a plus d’interrogations de la part des industries fortement réglementées ».
Steve BarrettVP EMEA Sales, PagerDuty
Autre argument pour rassurer sur la « souveraineté » : les données hébergées et transférées seraient en majorité assez publiques (nom, numéro de téléphone portable, adresse e-mail). « Vous pouvez obtenir beaucoup de ces renseignements sur LinkedIn, mais nous les traitons comme s’il s’agissait d’informations bancaires, parce que c’est important pour nos clients ».
L’annexe relative aux traitements de données – « Data Processing Addendum » (DPA) – de Pagerduty précise que : « l’exportateur de données [PagerDuty] peut soumettre des données personnelles […] dont l’étendue est déterminée et contrôlée par l’exportateur de données à sa seule discrétion ». Elles concernent, « sans s’y limiter, les catégories de données personnelles suivantes : nom et prénom, coordonnées (numéro de téléphone et adresse électronique), société, poste, identifiants de connexion ».
Sur son site, la CNIL confirme que d’après la CJUE « les Clauses Contractuelles Types (CCT) peuvent toujours être utilisées pour transférer des données vers un pays tiers (qu’il s’agisse des États-Unis ou d’un autre pays tiers) ». Mais « concernant les États-Unis, la Cour a estimé que le droit américain en matière d’accès aux données par les services de renseignement (en particulier la section 702 du FISA et l’Executive Order 12333) ne permet pas d’assurer un niveau de protection essentiellement équivalent ».
PagerDuty assure qu’il n’est pas concerné par la loi FISA (contrairement à son hébergeur AWS). Reste que d’autres lois extraterritoriales américaines s’appliquent à lui.
« La poursuite des transferts de données personnelles vers les États-Unis sur la base des CCT dépendra donc des mesures supplémentaires que vous pourriez mettre en place », avertit l’autorité française.
Comme pour quasiment tous les éditeurs américains (ou hébergés sur un hyperscaler), le CLOUD Act, l’arrêt Schrems II, le RGPD et autres Patriot Act, rendent la question de la « souveraineté des données » – mise en avant par PagerDuty comme un point clé de son offre – particulièrement complexe et sensible.