L'Affaire Snowden et la révélation de la surveillance généralisée des données en ligne par la NSA, associés au Patriot Act, ont déclenché une vague d'inquiétude des entreprises sur la localisation physique des données. Mais cette localisation physique n'est pas la plus importante selon le cabinet Gartner. De plus, le cabinet (américain) avertit qu'il ne faut pas accorder trop d'importance à cette surveillance (par les autorités américaines) en regard d'autres enjeux comme les incertitudes juridiques, les risques judiciaires, les insatisfactions des collaborateurs, les pertes de chiffre d'affaires ou le recul de l'innovation, tous ces risques pouvant être encourus en renonçant à certains fournisseurs (américains ?).
Malgré ce plaidoyer pro domo, le cabinet Gartner met bien en avant quatre formes de localisation qu'il faut distinguer. Ces quatre formes de localisation ont en effet des impacts sur les règles applicables aux données.
La localisation physique est la première et la plus évidente. Il s'agit de l'endroit où les supports physiques comprenant les données sont présents. Le cabinet rappelle que l'obsession du contrôle par la localisation physique n'est pas forcément pertinente car un serveur local comprenant des données peut généralement être accessible par un réseau.
La deuxième localisation est la localisation juridique. Celle-ci serait trop négligée selon le cabinet Gartner. Il s'agit du droit national applicable aux entités ayant affaire avec les données : le propriétaire des données, le propriétaire des infrastructures, le propriétaire des murs où se situent les infrastructures, les entreprises intervenant sur les données (comme un infogéreur ou un prestataire off-shore), etc.
La localisation politique est plus subtile encore. Il s'agit des implications politiques des choix opérés en matière de fournisseurs IT. Par exemple, recourir à des prestataires opérant dans des pays à main d'oeuvre exploitée peut avoir un coût politique pour les clients.
Enfin, la localisation logique se définit comme celle d'où l'on peut avoir accès aux données. Le cabinet Gartner cite l'exemple d'une entreprise allemande signant un contrat d'hébergement avec une entreprise irlandaise. Mais cette dernière est détenue par un acteur américain et donc, du coup, les données disposent d'une localisation logique américaine.