Sur le terrain, ce sont essentiellement les usages et la criticité des données qui guident les décideurs dans les entreprises dans le choix de leurs applications cloud. « Il faut être assez pragmatique. Selon les usages, le choix des applications et des clouds diffère, un groupe pharmaceutique qui stocke des brevets n’aura pas les mêmes contraintes qu’un retailer qui édite un catalogue de prix publics, ce dernier peut tout à fait héberger ses données dans un cloud à prix optimisé et qui fonctionne bien comme celui d’AWS. Quant au groupe pharmaceutique, il va gérer ses données sensibles en interne ou chez un acteur souverain et sécurisé. Et quand je parle de sécurité, je ne me base pas uniquement sur une norme de type ISO 27001 ou d’un autre règlement de conformité qui n’empêchent pas certains SI d’être des passoires. J'insiste sur le fait d’avoir un service de hacking capable de tester assez régulièrement la fiabilité du SI. Ceci doit être couplé avec une formation continue des utilisateurs, pour les sensibiliser aux pratiques de phishing, qui elles-mêmes évoluent rapidement », explique Catherine Meyer, Manager de transition, DSI et VP Transformation qui intervient dans des grands groupes internationaux pour des missions ponctuelles. De par son expérience au sein des différents ministères (de la Santé ou de l’Intérieur) en tant que directrice du numérique et actuelle directrice du numérique chez Île-de-France Mobilités, Hélène Brisset est également pragmatique dans le choix de ses applications et ses hébergeurs.

« L’usage et la sensibilité des données sont des éléments clés dans notre choix de solutions d’hébergement, qu’elles soient cloud ou on premise, françaises/européennes ou américaines. C’est la sensibilité des données qui prime, sans doctrine a priori. Par exemple, dans mes fonctions actuelles au sein d’Île-de-France Mobilités, nous disposons d’une plateforme qui publie des informations en temps réel, ces données ouvertes (ndlr : horaires des passages des métros et des trains par exemple) pour lesquelles il n’y a pas d’enjeux de sensibilité particuliers sont hébergées dans un cloud américain. En revanche, dans d’autres situations, je pense par exemple à certaines données de santé qui doivent être conservées jusqu’à 30 ans, avec bien sûr une sensibilité particulière vis-à-vis de la protection des données personnelles et du RGPD, c’est le choix d’un hébergeur soumis à des certifications, le référentiel HDS notamment, qui s’impose. A cet effet, le rôle des règlements est important car il permet d’avoir un socle éthique et juridique opposable, à partir du moment où le texte pose des principes de fond sans être figé sur une technologie ou un état de l’art. Le RGPD est un bon exemple, il n’interdit pas l’usage de telle ou telle solution mais il agit comme un levier de transformation important en posant les enjeux pour la protection des données personnelles, et ce, peu importe la technologie et la nationalité de l’hébergeur. »