Data sovereignty : la souveraineté des données expliquée

La data sovereignty, ou souveraineté des données en français, fait référence à l'autorité de disposer des données et sert de terme collectif pour les nombreuses facettes liées au traitement des données numériques. Celles-ci comprennent la protection, le chiffrement, la transmission et le stockage. Toute personne stockant des données dans le Cloud ou utilisant les services informatiques de fournisseurs de services externes doit veiller à une protection appropriée des données et connaître les réglementations légales. Quelles sont les exigences en matière de data sovereignty et comment maintenir cette souveraineté ?

La souveraineté des données (data sovereignty en anglais) est un terme juridique qui fait référence aux directives juridiques relatives aux données. La souveraineté des données est également étroitement liée à la protection des données, au cloud computing et à la souveraineté technologique. Les lois sur la souveraineté des données établissent des règles concernant le pouvoir des gouvernements et des entreprises de disposer des données numériques des utilisateurs et des entreprises. La data sovereignty se réfère donc spécifiquement aux questions :

• Qui est propriétaire des données ?
• Qui est autorisé à stocker des données ?
• Comment les données peuvent-elles être stockées ?
• Comment les données peuvent-elles être utilisées ?
• Comment les données doivent-elles être protégées ?
• Que se passe-t-il si les données sont mal utilisées ?

Alors que de plus en plus de petites et moyennes entreprises se tournent vers le cloud computing, c'est-à-dire l'externalisation des données et des technologies de l'entreprise vers des serveurs externes, l'importance de la souveraineté des données ne peut être ignorée. Il est notamment important de clarifier la question de la data sovereignty si les serveurs sont situés dans des pays où les directives en matière de protection des données ne répondent pas aux normes européennes.

Les avantages du cloud computing sont bien connus. Cependant, dès que les données sensibles ne sont pas stockées en interne mais sur des serveurs externes et éventuellement dans d'autres pays, des questions de sécurité et de propriété des données se posent.

Sauf si stipulé dans le contrat, les fournisseurs tiers courent le risque que les données soient analysées et vendues. Toutefois, les entreprises qui traitent des données personnelles dans l'UE sont tenues de garantir le plus haut niveau de sécurité des données. Il est donc essentiel de disposer d'une protection des données vérifiable et de directives de conformité modernes, tant pour les entreprises qui externalisent leur système informatique que pour les entreprises qui offrent des services informatiques. Si une entreprise perd ou néglige la souveraineté sur les données commerciales et les données des clients, cela peut avoir de graves conséquences juridiques.

Les données peuvent suivre les trois étapes suivantes sur Internet, dans les réseaux d'entreprise et dans le Cloud :

• Données en cours d'utilisation : données qui sont actuellement utilisées
• Données en mouvement : données qui sont en train d'être transmises
• Données au repos : données stockées localement ou dans le Cloud

Avant la montée du numérique, la souveraineté des données concernait principalement les données au repos, c'est-à-dire les données stockées. Aujourd'hui, d'autres normes s'appliquent : la sécurité, l'archivage à valeur probante et la souveraineté des données s'appliquent quel que soit le lieu de stockage, en particulier lorsque des fournisseurs externes traitent les données de l'entreprise. Les entreprises doivent conserver la souveraineté de leurs données pendant les trois étapes. Cette norme élevée de protection des données peut être appliquée grâce à un logiciel de chiffrement qui garantit que seules les entreprises donneuses d'ordre peuvent décoder les données sensibles et chiffrées.

Les entreprises du secteur public et de l'économie doivent respecter deux règles de base pour garantir la sécurité des données à l'heure du numérique :

1. L'infrastructure informatique doit toujours être sécurisée, flexible et moderne
2. La souveraineté des données sur les clients, les utilisateurs et les entreprises doit être garantie

Seules des mesures de sécurité et des accords contractuels appropriés permettent aux entreprises de protéger les secrets commerciaux et de traiter les données personnelles conformément aux directives européennes sur la protection des données. Les entreprises doivent toujours savoir comment les fournisseurs de services tiers traitent les données et quels sont les droits d'utilisation dont ils disposent. Étant donné qu'il existe également des incertitudes juridiques et des zones d'ombre en matière de souveraineté des données, il convient de réglementer par contrat ce qu'il advient des données et comment elles sont stockées, traitées et transférées.

Exemple :

Si une entreprise souhaite augmenter ses propres performances, elle peut utiliser les services Cloud et les services Web d'un fournisseur de services managés. Grâce à l'analyse des données, ce fournisseur peut, par exemple, faire des prévisions sur les tâches de maintenance et déterminer le potentiel d'optimisation de l'entreprise.

Même si dans ce cas, l'entreprise commanditaire devrait avoir la souveraineté sur les données, cela ne signifie pas qu'elle ait nécessairement accès à toutes les analyses de données. Sauf accord contractuel contraire, certaines parties des données pourraient également être réutilisées ou vendues à des tiers. Dans ce cas, l'absence de data sovereignty crée un risque de sécurité et un désavantage concurrentiel pour les entreprises.

Qu'il s'agisse d’une petite boutique en ligne ou d'une grande société en réseau, l'évaluation des données relatives aux clients et aux entreprises est importante pour adapter la production et les services aux attentes et au comportement des clients. Comme il est presque impossible aujourd'hui de protéger hermétiquement les données contre un accès non autorisé, des règles juridiques sont nécessaires. En plus des accords contractuels individuels entre les clients et les prestataires de services, les réglementations nationales et internationales en matière de protection des données, comme le règlement général sur la protection des données de l'UE (RGPD) et la loi française sur la protection des données, constituent des lignes directrices décisives en termes de souveraineté des données.

A titre de comparaison, il n'existe pas de loi générale sur la protection des données qui fournisse des lignes directrices de base pour la protection des données personnelles aux États-Unis. Elle est ici basée sur l'engagement volontaire des entreprises américaines alors qu'il existe des réglementations spécifiques en matière de protection des données pour les industries de l'UE. De plus, les autorités américaines ont le pouvoir d’accéder à ces données. Si des entreprises allemandes ou européennes utilisent les services de fournisseurs Cloud ou de services Web américains, des lacunes en matière de protection des données peuvent apparaître.

Selon le RGPD, les entreprises qui traitent des données personnelles doivent mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». La protection et la souveraineté des données sont donc des tâches complexes pour les entreprises. Il peut notamment s'avérer difficile de trouver un équilibre entre la protection des données de l'entreprise, les données personnelles et une position forte sur le marché. Étant donné que le RGPD se concentre principalement sur les données personnelles, les entreprises doivent s'assurer que les utilisateurs sont informés et consentent consciemment au traitement ultérieur de leurs données personnelles. En même temps, l'analyse des données des utilisateurs est un facteur de succès crucial pour les entreprises numériques.

Afin d'harmoniser la souveraineté des données, la protection des données et le succès de l'entreprise, il est recommandé d'engager des délégués à la protection des données qui s'occupent de la data sovereignty de votre entreprise. De plus, il convient de clarifier individuellement quelles sont les directives de protection et d'utilisation des données des entreprises tierces et des entreprises partenaires. Il ne faut pas oublier la politique de confidentialité obligatoire qui communique de manière transparente vos mesures pour le traitement sécurisé des données. Les mesures techniques et organisationnelles essentielles que les entreprises doivent observer dans ce domaine sont les suivantes :

• Pseudonymisation et chiffrement des données
• Confidentialité et intégrité des systèmes
• Résilience technique des systèmes
• Récupération et disponibilité des données après des urgences techniques
• Examen, appréciation et évaluation réguliers des mesures de protection
• Respect et incorporation des mesures de protection des données par les employés

Gaia-X est l'initiative européenne pour une infrastructure de données hautement sécurisée, conforme à la protection des données et commercialisable en Europe. Gaia-X se considère comme une contre-proposition aux réglementations inadéquates en matière de protection des données dans les pays non-européens, notamment le Cloud Act américain. Les autorités américaines peuvent légalement accéder aux données sans l'ordonnance d'un juge si elles sont stockées sur des serveurs soumis au Cloud Act. Cela vaut également pour les fournisseurs américains dont les centres informatiques sont situés en Europe.

Avec des partenaires tels que IONOS Cloud, Gaia-X travaille sur une infrastructure de données qui doit devenir l'alternative européenne au cloud computing d'Amazon Web Services, IBM, Google, Alibaba ou Microsoft Azure. Cela permettra aux entreprises de traiter les données de manière hautement sécurisée dans des centres informatiques intra-européens, de bénéficier d'une sécurité et d'une souveraineté maximales en matière de données et d'empêcher la fuite de données industrielles et personnelles vers des acteurs non européens. Une partie de l'infrastructure sera constituée de nœuds de réseau et de centres de données transparents et librement sélectionnables dont les attributs, les capacités et les exigences seront clairement communiqués. Les clients devront être en mesure de changer facilement de fournisseur sans devenir dépendants des fournisseurs de services Web et des fournisseurs de services managés par le biais du Cloud et du vendor lock-in.