Christiane Féral-Schul, avocate et présidente de l’Association pour le développement de l’informatique juridique, le rappelle : le transfert de données personnelles hors des frontières de l’Union Européenne, et donc vers l’Inde, est soumis à autorisation. Pour cette avocate, au-delà des risques classiques sur la confidentialité, c’est la rotation des salariés qui est susceptible d’être problématique. Fin septembre dernier, Intel en a semble-t-il fait les frais : le fondeur poursuit l’un de ses anciens ingénieurs en Inde, l’accusant d’avoir dérobé 13 fichiers recelant des secrets industriels pour… les donner à AMD. Pour Christiane Féral-Schul, la première question porte sur la propagation, au salarié, des clauses contractuelles liant le prestataire indien à son client occidental. Et de conseiller, du coup, de « prévoir des mesures à la marge telles que des engagements du personnel sur la confidentialité, la production de documents non modifiables et filigranés, mais aussi des dispositions relatives à un éventuel arbitrage. »
[Retrouvez notre enquête sur le recrutement et la fidélisation des salariés dans les SSII en Inde : Inde : recruter et conserver les talents reste le défi n°1]
Au-délà, Christiane Féral-Schul
entrevoit aussi des risques liés à la propriété intellectuelle sur les
solutions développées par le prestataire : « il faut prévoir la
rétrocession des droits sur les développements. » Et de préciser que…
« ce n’est pas parce que vous avez le droit d’utiliser une application, que
vous avez le droit de la faire sortir du pays ! » Surtout, pour
l’avocate, il y a le risque de « voir des développements sur mesure se
retrouver sur le marché, sous la forme de clones améliorés. Il faut donc
blinder la question des reproductions non autorisées en fragmentant le code et
imposant son retour régulier en France. » Enfin, Christiane Feral-Schul
prévient aussi du « risque de discontinuité de service lié à la distance,
un risque qui existe déjà avec un prestataire local, mais se voit démultiplié
par l’éloignement. Dès lors, il faut organiser, en amont, la
transférabilité et la réversabilité. »
Un engagement pragmatique
Les prestataires installés en Inde ne sont pas dupes : ils savent que ces préoccupations sont présentes à l’esprit de leurs clients et de leurs prospects. Du coup, Yves Bernaert, responsable des centres de services en Europe, Amérique Latine et Afrique d’Accenture, l’assure ; ces questions « sont prises très très au sérieux. » Et de relever que, « en France, on a rarement vu la mise en place de politiques de sécurité [aussi fortes qu’en Inde], sauf pour des secteurs très sensibles. » Jean-Yves Grisi, directeur général de KPIT Infosystems en France, le souligne volontiers : les SSII indiennes ont beaucoup investit dans la certification – CMMI niveau 5, notamment – pour rassurer leurs clients occidentaux et leur montrer que, « dès que l’on parle business, tout va bien se passer. »
Les certifications, un enjeu clé pour les SSII indiennes
envoyé par LeMagIT
Chez KPIT Cummins, justement, la réponse aux questions de confidentialité des données clients nous est parvenue par courriel, sous la forme d’une « FAQ » au format PDF, très détaillée, distribuée aux prospects et aux clients. Dans ce document, on retrouve l’accent généralement mis par les SSII indiennes sur la conformité aux standards internationaux : « nous avons adopté les pratiques recommandées par l’ISO 27001, CoBIT, ITIL, BS/25999/PAS56. […] Notre organisation a été certifiée BS7799 en 2005 et ISO 27001 en 2006 [deux standards internationaux pour la sécurité des systèmes d’information, NDLR], pour ses installations de Pune et de Bangalore. » Plus loin, KPIT Cummins explique disposer d’un comité directeur dédié à la sécurité, l’ISF ou Information Security Forum, impliquant notamment le CSO de l’entreprise et le directeur général. L’ISF se réunit au moins une fois chaque trimestre.
Des espaces très contrôlés
Sur le terrain, la sécurité est effectivement très présente, qu’il s’agisse de sécurité physique ou logique, pour autant que l’on puisse le constater sur place. Ainsi, dans la pratique, il faut très logiquement montrer patte blanche avant de pénétrer sur le site d’une SSII indienne, avec attribution du traditionnel badge de visiteur, fouille des sacs et contrôle du numéro de série des équipements électroniques, à commencer par les ordinateurs portables, en entrée comme en sortie. Une fois sur site, les caméras de surveillance sont très présentes. Dans certaines zones, les photographies sont très logiquement interdites, ne serait-ce que pour garantir les exigences de discrétion de certains clients.
Par in-dou-trois
Tous les services du MagIT sur