Dans un monde où les données circulent entre divers services cloud et traversent les frontières géopolitiques à très grande vitesse, comprendre et gérer leurs emplacements au sein de d’une organisation et la juridiction dont elles relèvent revêt une importance toute particulière.
Données : une souveraineté obscurcie par le cloud ?
Neil Thacker, Global Privacy & Data Protection Officer, Netskope partage son expertise sur le sujet de la souveraineté des données.
Ce besoin croissant a mené à la mise en place de mécanismes de protection des données à large échelle ; le RGPD, par exemple, a permis des économies totales comprises entre 90 et 219 millions d’euros en France uniquement, selon une récente étude de la CNIL.
La souveraineté des données représente un sujet complexe, qui nécessite souvent d’anticiper situations incertaines et jurisprudence internationale. Cette complexité donne l’impression de composer avec une cible mouvante, dans la mesure où la conformité évolue en permanence, à travers des réglementations telles que le RGPD et un nombre croissant de lois nationales (parfois en concurrence) sur la localisation des données. Néanmoins, comprendre la propriété des données, et plus particulièrement l’accès et le stockage par des tiers, constitue un des piliers fondamentaux d’une gouvernance solide qui, à ce titre, requiert d’adopter une approche proactive et stratégique de la gestion des données et des fournisseurs.
Lorsqu’il est question d’évaluer des fournisseurs de technologies, notamment les fournisseurs de services cloud, les délégués à la protection des données (DPO) et les responsables de la sécurité des systèmes d’information (CISO) se doivent d’étudier en détail les pratiques de ces prestataires en matière de traitement des données. Il ne suffit pas de vérifier leur conformité au RGPD. Le moindre détail pouvant faire toute la différence, les entreprises doivent examiner certains points clés et poser certaines questions.
Une confidentialité native et non optionnelle
La confidentialité native (privacy by design) consiste à prendre en compte la sécurité des données tout au long du processus d’ingénierie d’un système, plutôt que de l’ajouter après coup à une architecture ou à des processus métiers. Tandis que la sécurité native (security by design) rassemble une sélection de cadres et de lignes directrices pour aider les organisations à cerner les bonnes pratiques de leurs fournisseurs, la confidentialité native reste encore floue.
En substance, la confidentialité native consiste à rechercher des preuves de l’approche des fournisseurs en matière de données bien avant qu’ils ne collectent quoi que ce soit. Un fournisseur qui applique réellement des mesures de confidentialité à la conception fera preuve de transparence concernant ses processus, et sera prêt à démontrer comment ses solutions sont conçues dans le respect de la vie privée.
Neil Thacker, Global Privacy & Data Protection Officer, Netskope
La souveraineté des données, un aspect essentiel
La minimisation des données représente l’un des principes fondamentaux de la protection des données, qui contribue de manière considérable aux efforts en matière de souveraineté. Un fournisseur ne devrait pouvoir collecter et traiter que les données nécessaires à ses fonctions, et ce temporairement et non permanemment. La minimisation des données revient aussi à examiner la conception architecturale de chaque service et à revoir chaque point de stockage de données. Par exemple, traiter les données en mémoire au lieu de les stocker comporte de nombreux avantages, à commencer par le fait qu’on ne peut y accéder que pendant quelques millisecondes plutôt que plusieurs minutes, voire plus. Au bout du compte, une entreprise doit demeurer gardienne de ses données plutôt que de les laisser dans un système de stockage inconnu.
Limiter la quantité de données traitées par un tiers réduit intrinsèquement l’exposition aux problématiques liées à la souveraineté des données. Un fournisseur qui prône la minimisation des données démontre son engagement en faveur d’une confidentialité native. Une résistance, un manque de processus clairs, ou une incapacité à identifier un interlocuteur en mesure de répondre aux questions éventuelles pousse naturellement à la méfiance.
Tandis que la minimisation des données consiste à ne pas en collecter plus que nécessaire, les technologies d’amélioration de la confidentialité (Privacy-Enhancing Technologies, PET) constituent un moyen utile de protéger les données nécessaires pour un service précis. Concrètement, les fournisseurs qui utilisent des technologies d’amélioration de la confidentialité extraient les informations essentielles des données, sans en avoir réellement besoin en tant que tel. D’un point de vue de la souveraineté, ces approches permettent au fournisseur de services de conserver les données dans des data centers locaux, et de ne les transférer vers d’autres régions qu’après les avoir anonymisées ou séparées de leurs étiquettes d’identification. Les données modifiées ne possèdent ainsi aucune valeur au cas d’interception ou d’analyse.
Par ailleurs, le manque de visibilité sur les sous-traitants constitue un autre défi fréquent en matière de souveraineté des données. Lorsqu’elle fait appel à un fournisseur de technologie, une entreprise peut voir ses données se retrouver entre les mains d’entités non vérifiées. De fait, en dépit de l’investissement en termes de temps que cela représente, toute organisation qui prend au sérieux la souveraineté des données et souhaite mettre en place un plan de gouvernance complet doit impérativement se pencher sur cette question.
La base contractuelle
L’accord de traitement des données (Data Processing Agreement, DPA) entre une organisation et un fournisseur constitue un fondement juridique. Cet accord définit les responsabilités des deux parties concernant le traitement des données personnelles. Une souveraineté des données efficace requiert un DPA solide et précis. Ce dernier doit aussi clairement définir les activités de traitement des données, à savoir quelles données seront traitées, à quelles fins et pendant combien de temps. Les clauses relatives à la localisation des données permettent de définir toute exigence spécifique en matière de résidence de celles-ci. Les clauses relatives à la localisation des données doivent inclure l’engagement de ne traiter les données que dans des zones géographiques spécifiques.
Un traitement responsable des données dans le respect des objectifs de souveraineté ne s’avère pas toujours facile. C’est un processus chronophage qui peut susciter parfois des frustrations lorsqu’un fournisseur n’apporte pas à l’entreprise les informations dont elle a besoin. Cette dernière doit donc défendre les politiques convenues en son sein et éviter autant que possible les exceptions, une approche qui contribue à améliorer les normes du secteur.
Pour préserver la souveraineté des données, une approche proactive et une diligence rigoureuse sont donc impératives. Le choix des fournisseurs, basé sur la transparence, les clauses contractuelles, et l’intégration de technologies de protection, est fondamental. Une gouvernance des données solide se construit sur la confiance et un contrôle permanent, garantissant la sécurité des informations dans un environnement numérique complexe.
Téléchargez cette ressource
Guide de Cyber-résilience pour Microsoft 365
La violation de votre tenant M365 va au-delà d’un simple incident de cybersécurité. Elle peut entraîner une interruption opérationnelle généralisée, des perturbations commerciales et une exposition de vos données sensibles. Découvrez les méthodes et technologies pour évaluer, comparer et renforcer votre posture de sécurité Microsoft 365.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Maîtriser l’observabilité des données IA
- Les entreprises européennes face aux défis socio-économiques et technologiques
- DevOps et cloud hybride : la solution pour des applications plus performantes
- Les 6 prédictions 2026 pour sécuriser l’économie de l’IA
- Anticiper la nouvelle génération d’agents d’IA : concevoir des systèmes autonomes sécurisés, fiables et conformes
