L’internationalisation des échanges et l'essor des technologies numériques – et notamment du cloud computing – ont révolutionné le stockage et l’échange des données. S’il est aujourd’hui possible d’utiliser des serveurs distants pour traiter ou stocker des volumes de données très importants, se pose la question de leur sécurisation, notamment après la découverte de nombreuses failles (Heartbleed, Dropbox, etc.) et surtout du scandale PRISM, dévoilé par Edward Snowden. Une récente étude révèle ainsi que si 70 % des décideurs IT interrogés déclarent utiliser des applications web et de stockage dans le cloud, une majorité d'entre eux s’inquiète pour la sécurité de leurs
Pour répondre aux enjeux de sécurité des données échangées au sein des banques et aux réglementations en vigueur, de nombreuses solutions technologiques existent, parmi lesquelles les datarooms virtuelles, véritables coffres-forts électroniques accessibles en mode cloud privé.
Depuis quelques années, cette technologie remplace progressivement les datarooms physiques. Équivalent virtuel d’une pièce où sont stockés tous les documents nécessaires à une opération financière (cession d’entreprise, fusion-acquisition, introduction en Bourse…), les datarooms virtuelles sont des espaces ultra-sécurisés qui donnent accès à des informations confidentielles à des tiers, en interne ou en externe.
Une solution efficace, en interne et pour le partage avec des tiers
Parce qu’elles sont indépendantes des systèmes informatiques des banques, les datarooms virtuelles permettent de stocker les informations sur un serveur distant, rendu inaccessible pour les intervenants internes par le cryptage des informations et une connexion « end-to-end », c'est-à-dire ininterrompue entre le serveur du fournisseur de dataroom et le poste de l'utilisateur invité. Les informations sont regroupées et stockées dans un coffre-fort sécurisé, uniquement accessible sur invitation, excluant ainsi tout risque de fuite dans le cadre, par exemple, d’interception de mails à caractère confidentiel.
Outre la sécurisation et l’échange de données en interne, les datarooms virtuelles sont également largement utilisées lors de partage avec des tiers. C’est le cas, par exemple, dans le domaine de la banque d'investissement, où la dataroom virtuelle a l'avantage d'augmenter le périmètre d'investisseurs potentiels en rendant disponible la documentation sur une entreprise sans aucune contrainte spatiale ou temporelle. Grâce à la gestion des accès, la dataroom permet de gérer simultanément plusieurs acquéreurs potentiels et leurs conseillers (banques, cabinets d'avocats...) et facilite la consultation de documents juridiques, financiers et fiscaux. La due diligence peut donc être effectuée en parallèle et optimise ainsi les chances de succès. Dans le cadre de certaines transactions, selon leur taille et leur complexité, la documentation peut représenter des milliers, voire des millions de pages. En cas de prêt consortial, la dataroom permet également de rassembler l'intégralité de la documentation mise à la disposition des banques concernées.
Face aux enjeux réglementaires
Les datarooms virtuelles peuvent aussi faciliter la transmission des informations dans le cadre des reportings réglementaires. Par exemple, depuis 2013, la directive européenne sur les fonds d'investissement alternatifs (AIFMD) oblige les gestionnaires de fonds travaillant dans les domaines de l'immobilier, du Private Equity et des fonds spéculatifs à transmettre régulièrement, dans le cadre du rapport de transparence des informations aux autorités de surveillance, aux investisseurs et aux autres parties prenantes. Cette documentation peut être mise à disposition dans un espace contrôlé et accessible uniquement sur invitation. La gestion des droits permet de définir précisément le nombre d’éléments auquel l’utilisateur aura accès : consultation d'une partie restreinte de la dataroom, sauvegarde de l'intégralité des documents, etc. Les alertes automatiques permettent par ailleurs d'informer par mail sur les actualités de la dataroom et de se conformer aux exigences de transparence requises par la législation. Dans ce contexte, la banque a régulièrement l’obligation de faire une due dilligence approfondie et sollicite souvent l’accès à une dataroom pour toutes les parties impliquées.
Un autre cas d'application concerne les testaments de banque (living wills), qui imposent aux établissements de détailler leur activité et de préciser la meilleure voie à adopter en cas de défaillance pour éviter l'effondrement de l'intégralité du système. En Allemagne par exemple, l'organe de contrôle des banques, le BaFin, impose ainsi à ses entités la mise en place de ce testament, pour lequel certaines utilisent une dataroom virtuelle pour préparer et actualiser cette documentation ultra-confidentielle.
Du bon usage du cloud
L'utilisation d'outils informatiques oblige à prendre en compte certains aspects techniques et juridiques lors du choix d'un prestataire. En 2012, la Cnil a publié des recommandations pour les entreprises souhaitant souscrire à des services de cloud computing. L'une d'elles consiste à identifier le type de cloud pertinent pour le traitement envisagé. Un aspect à considérer est la différence entre cloud privé et cloud public. Dans le cas du cloud privé, l'infrastructure est utilisée par une seule entreprise. À l’inverse, le cloud public est une infrastructure mise à la disposition du grand public ou d’un groupe d’entreprises via Internet. Dans le cadre des datarooms, le cloud privé présente l'avantage d’être une infrastructure accessible uniquement via une application propriétaire, permettant de mettre à disposition informations et données à des utilisateurs définis.
Le Secrétariat général de l’Autorité de contrôle prudentiel (SGACP) a rédigé en juillet 2013 une synthèse concernant les risques associés au cloud computing, qui souligne l’importance de l'aspect technique et, notamment, du chiffrement systématique des données lors de leur transfert et de leur stockage. Un autre point à prendre en compte est le manque de visibilité quant à la localisation des données : il est essentiel de toujours vérifier le lieu de stockage avant de transmettre des données à caractère personnel, car la loi sur la protection des données exige le consentement d’une personne concernée au cas où ses données seraient stockées en dehors de l’Union européenne ou par des prestataires non européens. Malheureusement, même l’accord « Safe Harbor », auquel se sont soumis quelques prestataires américains, ne suffit pas à être conforme aux lois européennes sur la protection de données. Le Patriot Act donne ainsi le droit aux États-Unis de demander accès aux informations confidentielles stockées par des fournisseurs américains de services cloud, où qu’elles se trouvent. L'aspect juridique est donc un point stratégique à prendre en compte afin de garantir la protection de sa propriété intellectuelle. L’ACPR recommande ainsi l'utilisation de certaines clauses contractuelles vis-à-vis du prestataire externe, comme celles permettant de réaliser un audit, de restreindre la sous-traitance en dehors de l’Union européenne, ou encore d’exiger le stockage des données dans l’Union européenne.
