Surmonter les défis liés à la souveraineté des données
La conformité sans limiter l'activité à l'échelle mondiale
Les lois sur la souveraineté des données sont devenues une préoccupation majeure pour les responsables des technologies de l'information, de la confidentialité, de la conformité et de la sécurité. Plus de 100 pays ont adopté des lois visant à protéger la confidentialité des informations personnelles de leurs citoyens, et c'est une bonne chose. Toutefois, le respect de ces lois peut poser de sérieux problèmes aux entreprises internationales.
Le terme « souveraineté en matière de données » a revêtu plusieurs significations. Il désigne souvent le droit d'un groupe ou d'un particulier à contrôler et à conserver ses propres données. Ces dernières années, le terme a été plus spécifiquement utilisé pour faire référence à l'idée que les données collectées ou stockées dans un emplacement géographique particulier (comme un pays donné) devraient être soumises aux lois de cet emplacement. Qu'il s'agisse de saisir des informations relatives à une carte de paiement sur un site d'e-commerce ou de publier des commentaires sur une plateforme de réseaux sociaux, les lois sur la souveraineté des données permettent de s'assurer que ces données sont réglementées par le gouvernement de l'État dont les utilisateurs sont citoyens.
De nombreuses juridictions ont également adopté des lois sur la protection des données qui régissent les conditions selon lesquelles les données générées au sein d'une juridiction peuvent être transférées vers d'autres pays. Le règlement général sur la protection des données (RGPD) de l'UE, par exemple, n'autorise les transferts transfrontaliers de données vers d'autres juridictions que si certains mécanismes de transfert ont été mis en place (comme le nouveau cadre de protection des données UE-États-Unis). Toutefois, d'autres juridictions, comme la Russie, ont adopté des lois sur la régionalisation des données qui exigent, sous certaines circonstances, que les données générées au sein d'un pays restent à l'intérieur de ce dernier.
La dynamique en faveur des lois sur la souveraineté et sur la régionalisation des données s'est considérablement accélérée au cours de la dernière décennie, à mesure que les entreprises du monde entier collectaient de plus en plus de données personnelles. Les gouvernements sont de plus en plus préoccupés par le fait que les données de leurs citoyens soient accessibles aux gouvernements de pays étrangers. Les gouvernements qui tentent de protéger les données ne souhaitent pas que leurs adversaires (et parfois même leurs alliés) accèdent ou contrôlent les informations concernant leurs citoyens.
L'application TikTok a permis de sensibiliser le grand public aux questions de souveraineté, de régionalisation et de confidentialité des données. Les législateurs américains sont préoccupés par l'idée que le gouvernement chinois pourrait accéder aux données de millions d'utilisateurs de TikTok résidant aux États-Unis, sans que le gouvernement américain en ait conscience. Ils s'inquiètent du fait que la société mère de TikTok, ByteDance Ltd., est basée en Chine et que la législation chinoise peut exiger des entreprises qu'elles communiquent des données. Comme certains législateurs ont menacé d'interdire l'application incriminée, ByteDance a dû s'engager à stocker les données de ses clients américains aux États-Unis.
Votre entreprise n'opère potentiellement pas à la même échelle que TikTok, qui compte plus d'un milliard d'utilisateurs dans le monde, mais les lois sur la souveraineté des données et la tendance à la régionalisation de ces dernières pourraient néanmoins avoir une incidence considérable sur votre activité.
Relever les défis liés à la souveraineté des données
La souveraineté des données pose de sérieux problèmes à toutes les entreprises qui souhaitent exercer une activité à l'échelle mondiale. Si votre entreprise est basée en France, mais que vous décidez de vendre vos produits au Canada et en Argentine, vous devrez peut-être trouver des moyens de conserver les données de vos clients canadiens et argentins au sein de leurs pays respectifs du fait des obligations légales, des recommandations sectorielles ou des normes de certification en vigueur dans ces territoires.
Plus vous élargissez votre activité, plus vous risquez de vous retrouver confronté à certaines exigences en matière de souveraineté des données. Vous pourriez, par exemple, être poussé à trouver des moyens de traiter et de stocker vos données au sein de juridictions spécifiques ou devoir faire face à des coûts de transaction importants pour autoriser les transferts de données transfrontaliers.
Ces défis sont particulièrement difficiles à relever pour les petites entreprises. Une start-up, par exemple, pourrait ne pas disposer des ressources suffisantes pour conserver les données de ses clients au sein de chacun des pays où elle souhaite exercer son activité. Les dirigeants de la start-up pourraient ainsi être amenés à prendre des décisions difficiles concernant l'expansion mondiale de leur entreprise si la régionalisation des données s'avérait nécessaire et que l'entreprise ne pouvait pas se permettre de créer des magasins de données dans plusieurs pays autour du monde.
Les entreprises internationales doivent non seulement réfléchir à la manière de répondre aux exigences en matière de transfert et de régionalisation des données, mais aussi comprendre les défis que la souveraineté et la régionalisation des données peuvent faire peser sur le processus de prise de décision éclairée et fondée sur les données. Vous pourriez, par exemple, souhaiter analyser des données agrégées avant de prendre une décision commerciale cruciale. Toutefois, si vos données sont réparties dans plusieurs pays, vous pourriez ne pas être en mesure de centraliser facilement les données afin de procéder à une analyse approfondie.
J'ai été confronté à cette difficulté dans le cadre de mes fonctions antérieures de RSSI d'une grande entreprise internationale. Nous exercions une activité dans des dizaines de pays et devions conserver les données dans un grand nombre de ces derniers pour assurer la conformité réglementaire. En parallèle, nous devions prendre des décisions concernant la fraude et le blanchiment d'argent. Or, ce processus nécessite une vue d'ensemble des données.
Afin de permettre l'agrégation des données tout en respectant les lois sur la souveraineté des données, nous avons élaboré des règles concernant l'accès à ces dernières et créé un environnement de contrôle permettant de garantir le respect des règles relatives au stockage et à l'accès aux données. Nous avons nommé ce type de gouvernance notre programme « Data Visa » (visa pour les données). Nous avons développé un ensemble de mesures de contrôle strictes en matière de sécurité, d'accès et de données, assorties d'une surveillance 24 h/24 et 7 j/7, afin de garantir toute violation. L'ensemble fonctionnait presque comme un réseau confidentiel ou de haut niveau au sein du gouvernement. Nous disposions de réseaux hautement sécurisés au sein desquels les données ne pouvaient pas sortir. Nous avons ensuite présenté ce programme aux diverses autorités de réglementation nationales, en leur expliquant à quel point cette approche était essentielle à la poursuite de nos activités. Cette approche de la gestion des données nous a permis de recevoir les autorisations gouvernementales nécessaires pour aller de l'avant. Malheureusement, la plupart des petites entreprises ne disposent pas de cette influence auprès des gouvernements ni de la capacité de développer en interne des programmes innovants en matière de gouvernance des données.
Assurer la conformité tout en contrôlant les coûts et la complexité
Comment les entreprises internationales peuvent-elles respecter les exigences en matière de souveraineté et de régionalisation des données sans implanter leurs propres datacenters dans plusieurs pays ? Le cloud peut paraître une réponse évidente, mais pour ce faire, vous devrez chercher au-delà des fournisseurs de cloud public habituels. Ces entreprises ont été bâties sur un modèle de stockage des données centralisé. S'il est vrai que de nombreux fournisseurs cloud disposent de plusieurs datacenters régionaux autour du monde, ces derniers ne sont pas forcément présents dans tous les pays où votre entreprise exerce une activité.
Pour répondre aux exigences en matière de souveraineté et de régionalisation des données, il est essentiel de travailler avec des entreprises de technologie qui vous permettront de stocker et de traiter des données partout où vous avez des clients. Vous aurez également besoin de la flexibilité nécessaire pour choisir l'endroit dans lequel stocker et déchiffrer les données, stocker les clés de chiffrement, procéder à l'inspection des données et conserver vos journaux, afin de vous assurer que votre environnement de contrôle est bien conforme aux obligations légales en matière de souveraineté des données.
Selon la manière dont vous envisagez vos obligations juridiques, vous pourriez être amené à stocker des données au sein d'une juridiction spécifique, tout en conservant la possibilité d'agréger les données à des fins d'analyse en dehors de cette juridiction. Parallèlement, vous pourriez vous retrouver soumis à une autre obligation légale stipulant que les données ne peuvent jamais être accessibles dans une juridiction tierce. Dans un contexte aussi complexe en matière d'obligations légales, vous devrez également réfléchir à la manière de mettre en place les mesures de contrôle de l'accès à ces données.
La conformité aux lois sur la souveraineté et la régionalisation des données pourrait également vous obliger à repenser la manière dont vous développez vos applications et l'endroit où vous les exécutez. Le développement d'applications serverless et leur exécution au sein de régions géographiques spécifiques peuvent, par exemple, vous aider à garantir que les données utilisées par l'application demeurent là où elles le doivent. Cette approche peut également améliorer l'expérience utilisateur, car les applications seront exécutées physiquement plus près de l'endroit où se trouve ce dernier.
L'élaboration de politiques de sécurité cohérentes pour l'ensemble de vos magasins de données s'avérera également un point essentiel. La cohérence vous permettra de vous assurer que votre réseau mondial n'inclut pas de maillon faible et vous évitera la complexité liée à la gestion de nombreux environnements distincts à l'aide de plusieurs outils.
Aller de l'avant sans restrictions
Si vous n'avez pas encore réfléchi à la souveraineté des données, il est temps de commencer à établir des plans en la matière. Dans un avenir proche, vous devrez probablement composer avec un nombre croissant de lois qui vous obligeront à stocker et à traiter les données au sein de certaines frontières géographiques. Si votre entreprise se développe à l'échelle mondiale, vous êtes peut-être déjà confronté à plusieurs exigences concernant la souveraineté et la régionalisation des données.
La bonne nouvelle, c'est que le respect des exigences en la matière n'implique pas nécessairement la mise en place d'un nouveau datacenter ni la limitation de vos plans d'expansion. Avec la bonne stratégie, vous pouvez stocker et traiter les données en toute sécurité dans chacun des pays où vous exercez une activité, tout en accédant à ces données de manière centralisée à des fins d'analyse et de prise de décision, sans entraîner un gonflement excessif des coûts ou de la complexité.
Découvrez comment Cloudflare aide les entreprises à se conformer aux réglementations relatives à la souveraineté et à la régionalisation des données grâce à la Cloudflare Data Localization Suite.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Auteur
Grant Bourzikas – @grantbourzikas
Chief Security Officer, Cloudflare
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
Quels défis la souveraineté des données présente-t-elle aux entreprises internationales ?
Comment votre entreprise peut-elle se conformer aux lois sans se limiter dans ses activités ?
Ce que vous devez rechercher chez vos partenaires technologiques pour rationaliser la souveraineté des données.
Ressources associées :