La territorialité des données est bien sûr au cœur des interrogations. Un acteur comme Ivalua, historiquement franco-français, mais récemment tourné vers les Etats-Unis, reste parfaitement compatible avec les exigences du RGPD. « BravoSolution, rachetée par l’Américain Jaggaer, reste lui aussi tout à fait en accord avec le RGPD. Mis à part quelques acteurs comme l’Indien Zycus, les garanties sont fortes en la matière », assure Cédric Guillouet.
Dans le cas d’Amazon Web Services (AWS), les réticences peuvent se comprendre, car il y a un risque de redondance des données qui peuvent se retrouver sur le sol américain soumis à une réglementation très différente. « Effectivement, il y a une tendance forte à se tourner vers des fournisseurs de cloud français, en particulier lorsque les données sont sensibles. Mais finalement la majorité des données peuvent aujourd’hui être considérées comme sensibles. » observe François Tourrette, fondateur de la société Brapi (Benchmark des Responsables Achat de Prestations Intellectuelles).
« L’endroit où sont stockées les données est une question fondamentale. Bon nombre d’éditeurs, comme Jaggaer, ont adopté des hébergements en Europe ou en France, pour diminuer le risque lié au RGPD. La problématique de la localisation des données est aujourd’hui une question réglée pour les éditeurs Achats. Les seuls acteurs qui ont un problème sur ce plan sont les réseaux fournisseurs. Ariba par exemple dispose d’un réseau de ce type, de plusieurs milliers de sociétés, et toutes les données sont toujours hébergées aux Etats-Unis. Il va leur falloir mettre en place un hébergement de chaque côté de l’Atlantique et synchroniser l’ensemble », indique Patrick Chabannes, directeur commercial chez Jaggaer.
David Chassan souligne quant à lui « l’extraterritorialité du droit américain qui s’est à nouveau renforcé avec le Cloud Act qui permet aux autorités judiciaires américaines d’accéder aux données stockées hors des Etats Unis. En effet, peu importe que vos données soient localisées sur des serveurs en France ou en Europe par un fournisseur de Cloud américain. Ce dernier peut partager vos données à la demande des autorités judiciaires américaines. »
Les garanties de sécurité sont parfois également remises en question à juste titre. « Ce n’est pas parce qu’un hébergeur est de très haut niveau que l’éditeur de logiciels qui en est client lui achète tous les services. Il est même fréquent que l’éditeur achète un minimum de services. Il peut très bien acheter simplement un certain nombre de mètres carrés ainsi que la sécurité physique des lieux », confie Patrick Chabannes.
Il estime par ailleurs que « les applications informatiques des SI Achats ne sont pas assez auditées par leurs clients, avec des tests reposant sur des tentatives de pénétration réelle pour étudier le niveau de sécurité. Même s’il existe des certifications synonymes de garanties en la matière, la faiblesse de l’analyse de la sécurité du service vendu par les éditeurs peut parfois surprendre. »
La visite des locaux qui hébergent les solutions des éditeurs est recommandée aux entreprises clientes, en particulier s’il s’agit d’un hébergeur de moindre importance n’ayant pas de renom à l’échelle internationale.