Pourquoi la souveraineté des données est plus importante que jamais dans un monde cloud

Qui contrôle les données de votre entreprise, et comment ? Si elles sont générées dans un pays, mais traitées dans un autre, vous avez dans doute des préoccupations liées à la souveraineté des données.  

Savez-vous ou vos données sont entreposés ou traités, notamment en ce qui a trait à leur sécurité ? Connaissez-vous les lois qui s’y appliquent ? 

Vous pourriez être tenu de respecter les exigences légales de la juridiction ou votre entreprise est implantée — ou encore celles du pays ou les données sont manipulées. Parfois, il faut répondre aux deux cadres législatifs.  

Les organisations multinationales, en particulier, doivent porter une attention rigoureuse à la trajectoire de leurs données, notamment dans les environnements infonuagiques et hybrides. Les gouvernements sont de plus en plus nombreux à exiger que les données présentes sur leur territoire soient assujetties à leur fois, peu importe leur provenance.  

Poursuivez votre lecteur pour mieux comprendre ce qu’est la souveraineté des données, comment elle s’applique à votre organisation, et comment assurer la conformité règlementaire. 

Qu’est-ce que la souveraineté des données ? 

On dit que les données sont le nouveau pétrole. Elles ont une valeur stratégique croissante pour les gouvernements, les entreprises et les citoyens. C’est pourquoi un nombre grandissant de nations adoptent des lois visant à encadrer leur circulation. Concrètement, cela signifie que certains États revendiquent un droit de regard sur l’accès, la gestion, le transfert et l’entreposage des données se trouvant sur leur territoire, peu importe où ces données ont été générées.  

Avec la généralisation des services cloud, les frontières deviennent floues — et les lois doivent suivre. En 2021, seulement 62 pays avaient adopté des politiques de souveraineté numérique, selon la Information Technology and Innovation Foundation. Aujourd’hui, plus de 100 pays disposent de telles lois. Et ce nombre continue de croitre. 

Si votre entreprise utilise des centres de traitement ou des plateformes d’entreposage situés à l’étranger, vous pourriez devoir respecter les exigences propres à chaque pays. Par exemple, certaines juridictions imposent que les données générées localement soient conservées ou traitées sur place. 

La souveraineté s’applique habituellement à l’entreposage, à la transmission, à la sécurité et à la gestion des renseignements numériques.  

Les organisations bien préparées savent dans quels pays leurs données résident, comprennent les lois qui s’y appliquent, et se dotent de stratégies claires pour assurer leur conformité. Pour les multinationales, rester à jour représenter un véritable casse-tête. 

Pour éviter de contrevenir aux exigences règlementaires liées à la souveraineté des données, il peut être judicieux d’utiliser un service tel que le 365 Permission Manager de Hornetsecurity, afin de : 

• Surveiller et contrôler les autorisations pour toutes vos applications Microsoft 365 
• Assurer la conformité avec les règlements en matière de protection des renseignements personnels et de résidence des données 
• Prévenir les accès non autorisés 
• Réduire les risques de non-conformité 

Souveraineté des données vs résidence des données : quelle est la différence ? 

Les pays revendiquent la souveraineté des données, soit le droit d’imposer leurs règles sur la gestion des données, pour diverse raison : protéger les intérêts nationaux, empêcher les ingérences étrangères, défendre les droits individuels à la vie privée, ou encore promouvoir l’innovation et la compétitivité. 

Mais en pratique, il s’agit avant tout de conserver le contrôle sur les renseignements personnels ou confidentiels. Les juridictions appliquent souvent ce contrôle en fonction de la résidence des données sont physiquement situées, prenons l’exemple d’une entreprise dont le siège est à New York, avec un bureau à Paris. Si les données sont recueillies par le bureau de New York, elles seront assujetties aux lois de l’État de New York. Si les données concernent Paris, elles relèveront de la résidence des données de l’Union européenne. Et si ces données sont ensuite transférées vers un centre situé au Royaume-Uni, elles tomberont sou la juridiction britannique. La souveraineté applicable varie donc selon la résidence des données.  

Les lois sur la résidence des données déterminent ou une organisation peut entreposer ou traiter des données, et dans quelles conditions. Ces règles peuvent viser à : 

• Offrir aux citoyens un meilleur contrôle sur leurs renseignements 
• Permettre aux autorités de surveiller certaines informations 
• Prévenir la fraude ou le vol d’identité 
• Attirer ou maintenir des emplois dans le pays 

Le casse-tête de la souveraineté : suivre l’évolution des lois et exigence 

Il peut être difficile de suivre l’ensemble des règles qui s’appliquent à chaque juridiction ou résident vos données, d’autant plus que ces lois changent constamment et varient largement d’un endroit à l’autre. 

Dans des pays comme la Chine, la Russie et l’Inde, les lois sur la souveraineté des données sont particulièrement rigoureuses. Ces États imposent des exigences de localisation des données qui interdisent ou restreignent les transferts transfrontaliers. 

Par exemple, la loi chinoise sur la protection des renseignements personnels (PIPL) exige que certaines données personnelles ou sensibles demeurent à l’intérieur des frontières du pays, sauf si l’autorisation soit accordée par les autorités règlementaires pour leur transfert à l’étranger. Dans d’autres cas, les responsables du traitement doivent se conformer à des exigences précises en matière de transfert, notamment effectuer une évaluation de la sécurité, avant d’envoyer les données à l’extérieur du pays. 

Les normes de localisation des données propres à certains secteurs sont également strictes, en particulier dans les domaines de la finance et des soins de santé. Ces secteurs ne traitent pas seulement les renseignements personnels parmi les plus sensibles, ils sont aussi parmi les plus ciblés par les cybercriminels. 

La loi sur les données de santé des Émirats Arabes Unis (EAU) exige que les fournisseurs de soins de santé conservent les renseignements de santé à l’intérieur du pays et interdit leur transfert à l’extérieur des EAU sans approbation officielle.  

Aux États-Unis, les restrictions entourant les transferts de données étaient jusqu’à récemment limitées. Toutefois cela évolue : en avril, le département de la Justice a commencé à appliquer un décret présidentiel intitulé « Preventing Access to Americans’ Bulk Sensitive Personal Data andUnited States Government-Related Data by Countries of Concern ». Ce décret encadre les transactions impliquant des renseignements personnels ou gouvernementaux avec des entités situées dans des pays préoccupants, incluant la Chine (y compris Hong Kong et Macao), Cuba, l’Iran, la Corée du Nord, la Russie et le Venezuela. 

Dans l’Union européenne, le Règlement général sur la protection des données (RGPD) encadre le transfert des renseignements des résidents européens, même lorsqu’ils sont entreposés sur des serveurs situés hors d’Europe. Les organisations peuvent faire face à des amendes allant jusqu’à 20 milliards d’euros ou 4 % de leur chiffre d’affaires annuel global. Ces règles s’appliquent à toute entreprise traitant des données dans l’UR, peu importe où les données sont situées. 

Pourquoi la conformité devient encore plus complexe à l’ère du cloud 

À mesure que les environnements cloud et multi-locataires se développent, la souveraineté des données devient de plus en plus complexe. Les données circulent désormais à travers plusieurs plateformes cloud publiques, chacune ayant ses propres contrôles et protocoles de sécurité. S’assurer que la conformité est maintenue à chaque étape devient donc un défi considérable. 

La difficulté de respecter les lois basées sur la souveraineté augmente avec la généralisation de l’usage des services infonuagiques pour le traitement de l’entreposage des renseignements. Il est essentiel de savoir où sont situés les serveurs afin d’assurer la conformité aux lois en vigueur dans la juridiction où votre entité est implantée, ainsi que dans celle où les données sont entreposées.  

Selon le Cloud Security Alliance, cette complexité croissante entraine des risques accrus, car de plus en plus d’organisation répartit leurs données entre plusieurs systèmes, duplique les jeux de données et conserve certaines applications sur place. Le résultat : des données non contrôlées, dispersées dans plusieurs systèmes cloud.  

À l’ère de l’intelligence artificielle, où les données sont entreposées, traitées et redistributeur par multiple source à l’échelle mondiale, assurer la conformité à la souveraineté des données devient non seulement critique, mais aussi extrêmement complexe. 

D’ici 2027, Gartner prévoit que la souveraineté numérique deviendra une considération primordiale pour au moins 70 % des entreprises qui choisiront des services cloud publics propulsés par l’IA générative. 

Stratégies pour respecter les lois sur la souveraineté des données 

Pour faire face au dilemme de la souveraineté des données, les organisations adoptent de plus en plus de stratégies en matière de souveraineté des données. Selon un rapport, presque tous les services informatiques aux États-Unis et dans l’Union européenne — soit 98 % — avaient déjà mis en œuvre ou étaient sur le point de mettre en œuvre de telles stratégies en 2022. Ces stratégies influents les suivantes : 

Cartographier les flux de données 

Comprendre où vos données sont recueilles, entreposées, traitées et transférées est essentiel pour gérer les risques et s’assurer que les renseignements personnels ne quittent pas une juridiction sans respecter les obligations légales locales. 

Il est aussi important de savoir avec quel tiers les données sont partagées et où ceux-ci entreposent les renseignements. Certaines juridictions interdisent les transferts internationaux, d’autres les autorisent sous conditions. Une cartographie rigoureuse permet d’assurer la transparence et la conformité. 

Collaborer avec des fournisseurs infonuagiques conformes 

Choisir des fournisseurs de service cloud qui ont des installations dans la même juridiction, ou dans une juridiction approuvée est une étape essentielle. Ces fournisseurs doivent fournir des garanties contractuelles claires concernant la résidence des données et leur traitement conforme aux exigences locales. 

Hébergement dans des centres de données conformes 

Lorsque l’hébergement dans des centres de données est nécessaire, il est essentiel d’utiliser des installations qui respectent les normes de sécurité de confidentialité et de conformité juridique, y compris la résidence des données et la souveraineté.  

S’assurer que la sauvegarde et la reprise après sinistre respectent également les lois 

La sauvegarde des données est une mesure essentielle de cybersécurité, mais elle ne suffit pas à elle seule. En cas de sinistre, votre solution de reprise doit également respecter les lois sur la résidence et la souveraineté des données, afin d’assurer une conformité continue. 

---

Comment les solutions de Hornetsecurity aident à préserver la souveraineté des données 

Dans un monde de plus en plus globalisé, les entreprises doivent être informées des pays où leurs données peuvent se retrouver, et se montrer vigilantes quant à la surveillance des lois en vigueur et à leur évolution. À mesure que votre entreprise s’étend à de nouveaux marchés, cette tache devient plus critique et complexe. 

Hornetsecurity 365 Permission Manager prend en charge la souveraineté des données pour toutes vos transactions et interactions impliquant les services et solutions Microsoft 365 — notamment Teams, SharePoint, OneDrive et Groups. 

Cette solution puissante : 

• Fournis une vue d’ensemble complète de tous vos droits et autorisations M365 
• Affiche clairement qui a accès à quelles informations sensibles 
• Suit le partage et la transmission des renseignements 
• Détecte les violations de politique et les risques liés à l’exfiltration des données 
• Notifie les utilisateurs lorsqu’un accès leur est retiré. 
• Automatise la révision des autorisations et la validation des politiques, ainsi que les alertes en cas d’accès excessifs ou inappropriés 

Pour les organisations qui s’adaptent aux exigences changeantes en matière de souveraineté. 365 Permission Manager est la solution idéale pour assurer la conformité aux règlementations liées à Microsoft 365.  

Ne laissez pas des autorisations complexes ni les exigences règlementaires ralentir vos activités. Ayez l’assurance que vous pouvez gérer les droits d’accès et les risques associés aux données grâce à une solution robuste.

Découvrez 365 Permission Manager pour soutenir la souveraineté des données dans votre organisation ! 

---

Conclusion 

Il est de plus en plus essentiel pour les organisations de s’assurer de leur conformité, de protéger les renseignements personnels et de répondre aux exigences légales liées à l’entreposage des données dans un monde axé sur le numérique et le cloud. 

Les lois sont strictes, et les sanctions en cas de non-conformité peuvent être sévères, incluant des amendes importantes et même l’arrêt temporaire ou permanent de certaines opérations commerciales. 

Il ne suffit pas de savoir où vos données sont traitées, transférées ou entreposées, vous devrez aussi respecter les politiques et praxiques associées, ainsi que les lois en vigueur dans chaque juridiction concernée.  

Heureusement, des solutions modernes comme Hornetsecurity 365 Permission Manager vous aident à appliquer les exigences en matière de souveraineté des données et rester conforme à la législation locale.