Box Zone : Box tente de faire rimer « localisation des données » et « confidentialité »
Box propose à ses clients français de sauvegarder leurs documents les plus sensibles en France. Une manière pour l’éditeur de répondre à leurs problématiques de confidentialité. Même si la localisation des données ne règle, seule, aucune contrainte réglementaire précise.
Le spécialiste du stockage et du partage de documents Box ouvre une nouvelle « zone » à Paris et à Marseille afin que « les clients puissent sauvegarder leurs contenus au plus près », explique l’éditeur cloud.
« Box renforce ainsi sa présence sur le territoire hexagonal, et devient de ce fait, un acteur stratégique majeur et un réel soutien pour les entreprises sur le marché de la gestion de contenu », affirme son communiqué.
Avec cette offre, Box suit la même logique de localisation des données que celles d’hyperscalers comme Microsoft (avec « EU Data Boundary for the Microsoft Cloud »), Google (avec l’ouverture d’un datacenter en France) ou encore Oracle. Sa solution sera d’ailleurs hébergée « sur un cloud public », confie le fournisseur au MagIT.
Box conclut que « Box Zones permet […] de répondre aux problématiques locales de confidentialité des données, notamment celles les plus sensibles », alors que « la France et l’Europe agissent pour une régulation plus adaptée au monde numérique ».
La localisation ne lève pas totalement le risque qui pèse sur la confidentialité
Reste que la localisation n’est pas un facteur déterminant pour assurer la confidentialité totale des données sensibles face à l’extraterritorialité du droit américain.
Oracle, par exemple, l’admet et qualifie l’ouverture de sa Zone France de « bonne première étape » vers un cloud souverain. De même, la semaine passée, Microsoft s’est engagé à proposer Office sur des clouds réellement souverains (en sus de son partenariat avec Orange dans Bleu).
« Je dirais que [la localisation des données] est une demande presque implicite de la part des clients français », nous confiait Régis Louis, VP Cloud Strategy EMEA d’Oracle. « Maintenant, je suis d’accord. Il peut y avoir un aspect psychologique et cela ne répond pas à un cadre réglementaire plus strict ».
Questionné sur ce point précis de la réglementation, Box arrive à la même conclusion.
« Il n’y a pas de contrainte légale spécifique à laquelle la zone France répondra entièrement », concède Sébastien Marotte, Président EMEA de Box au MagIT. « Il s’agit plutôt d’une réponse aux préférences des clients et aux politiques des entreprises qui souhaitent conserver leurs données dans la région, notamment dans les secteurs de la santé, de l’assurance, de la finance et du secteur public ».
Sébastien Marotte ajoute d’ailleurs que « les clients de Box utilisent généralement KeySafe avec Zones pour protéger leurs données sensibles » en gérant ainsi eux-mêmes leurs clefs de chiffrement. À noter que le seul KMS tiers supporté par KeySafe est, à ce jour, celui le KMS cloud d’AWS.
Pas un Box « de Confiance » pour autant
En l’état, et pour les raisons citées ci-dessus, Box Zones n’est en tout cas pas conforme à la doctrine Cloud de Confiance et ne pourra pas répondre aux nouvelles exigences de l’État – qu’ils ne ciblent a priori pas, mais que certaines organisations pourraient vouloir appliquer pour leurs données les plus sensibles.
Mais Box l’assure, « nous élargissons constamment notre position en matière de conformité, et nous évaluons actuellement la possibilité d’obtenir des certifications européennes supplémentaires ».
Une bonne première étape, donc ?