Qu'est-ce que la souveraineté des données ?

La souveraineté des données est le principe selon lequel les données sont soumises aux lois et aux structures de gouvernance du pays ou de la juridiction où elles sont collectées ou stockées. Cela peut influencer la capacité d'un gouvernement à exercer une autorité légale sur les données résidant physiquement à l'intérieur de ses frontières, quel que soit l'endroit où l'organisation stocke principalement ces données.

Ceci est important car l'ensemble des règles qui régissent vos données ne dépend pas de l'endroit où votre entreprise est située. C'est le lieu de stockage des données qui le détermine. À titre d'exemple, une entreprise américaine hébergeant des dossiers clients sur des serveurs basés à Francfort est soumise au droit de l'UE pour ces dossiers, ainsi qu'au droit américain.

Ces trois termes sont interdépendants mais non identiques. Le respect de la conformité peut être affecté par des variations dans son application.

•     La souveraineté des données est un concept juridique. C'est le droit d'une nation de réglementer les données sur son territoire. Elle répond à la question « Qui a juridiction ? »
•     La résidence des données est une exigence légale ou contractuelle stipulant où les données doivent être géographiquement situées. Elle répond à la question « Où sont hébergées les données ? »
•     La localisation des données revêt la forme la plus stricte. Il s'agit d'une exigence légale stipulant que les données doivent être à la fois stockées et traitées à l'intérieur d'un pays, avec des restrictions sur les transferts transfrontaliers. Elle répond à la question “Les données peuvent-elles être déplacées hors du pays ?”

Un cloud souverain est un service cloud conçu en fonction des besoins de souveraineté des données d'un pays. Pour s'assurer que les gouvernements, les tribunaux et les entreprises étrangers ne peuvent pas obtenir de données sans la permission du pays hôte, les clouds souverains sont exploités par des entités locales (ou par le biais de partenariats étroitement contrôlés), contrairement aux clouds publics standards gérés par des hyperscalers mondiaux.

•     Géré et détenu localement : Exploité par une entreprise locale ou une coentreprise où les locaux détiennent la majorité.
•     Isolement juridictionnel : Les réglementations nationales ou régionales où résident les données peuvent influencer le processus des transferts de données transfrontaliers.
•     Adéquation réglementaire : Elles sont conformes aux lois nationales, telles que le GDPR, le SecNumCloud français ou la norme C5 allemande.

Les risques pour l'entreprise incluent :

La souveraineté des données ne se limite pas à la conformité légale ; elle implique également la mise en place de systèmes techniques appropriés. Pour réellement garantir cette souveraineté, plusieurs technologies doivent être combinées :

1.   Les plateformes cloud souveraines désignent des infrastructures locales exploitées à l'intérieur de frontières légales et géographiques définies, évitant ainsi toute dépendance à l'égard de systèmes contrôlés par des puissances étrangères.
2.   Les Clés de chiffrement gérées par le client (CMEK) offrent à l'organisation un contrôle sur les clés de chiffrement, restreignant potentiellement la capacité du fournisseur de cloud à déchiffrer les données, même en réponse à des requêtes légales.
3.   Apportez Votre Propre Clé (BYOK) / Conservez Votre Propre Clé (HYOK) sont deux niveaux différents offrant au client la possibilité de garder la clé. Le cloud facilite généralement les opérations cryptographiques mais ne déchiffre généralement pas les données.
4.   Les contrôles de résidence des données sont des configurations qui limitent la réplication ou la sauvegarde des données à des régions spécifiques.
5.   L'informatique confidentielle offre un support matériel (par exemple, via Intel SGX ou AMD SEV) pour protéger les données pendant leur traitement, en plus des données au repos ou en transit.
6.   L'architecture Zero Trust repose sur la vérification constante de l'identité et le principe du moindre privilège pour l'accès.

L'application pratique de la souveraineté des données peut impliquer des considérations complexes. Les principales préoccupations sont classées en trois domaines clés :

1.   Coût. Le coût associé à la construction d'un système souverain infrastructure cloud est distinct de celui d'un système standard de cloud public.
2.   Gestion. Les organisations opérant dans plusieurs juridictions doivent se conformer à des réglementations différentes dans chaque pays.
3.   Lois. Les systèmes juridiques souverains peuvent s'adapter à des interprétations divergentes, et les solutions techniques peuvent ne pas constituer une réponse universellement applicable.

D'autres domaines à prendre en considération incluent :

•     Contrairement aux hyperscalers mondiaux, le nombre de fournisseurs plus petits et conformes aux réglementations souveraines peut être lié à leurs offres de fonctionnalités.
•     Les différences dans le développement des normes entre les pays peuvent influencer la création d'une posture de conformité mondiale cohérente.