Souveraineté des données : cessons de traiter le symptôme, attaquons-nous aux causes

Pascal Gasp est Senior Solutions Architect South EMEA chez Starburst partage ses recommandations sur le sujet.

La donnée est aujourd’hui l’actif le plus stratégique et le plus exposé des entreprises. L’amende de 40 millions d’euros infligée à Criteo par la CNIL, la hausse de 107 % des cyberincidents constatés par Cybermalveillance en 2025 ou encore le piratage de Basic-Fit qui a touché plus d’un million de membres, ne sont pas des incidents isolés. Ils révèlent une réalité systémique, celle d’entreprises qui produisent et exploitent des volumes de données croissants sans avoir mis en place les fondations nécessaires en termes de sécurité et de conformité.

Dans mes échanges réguliers avec des DSI et des architectes data, notamment dans les secteurs financier et public, un constat revient souvent : le problème n’est pas un manque de conscience du risque. Il est largement identifié. Ce qui fait défaut, en revanche, c’est une approche structurée pour y répondre de manière durable.

Voici cinq axes clés pour aider les entreprises à construire une stratégie complète de souveraineté des données.

Bâtir une gouvernance à la hauteur des enjeux

Une gouvernance efficace couvre l’ensemble du cycle de vie des données : collecte, stockage, traitement, accès, suppression. Elle intègre les exigences réglementaires sectorielles, DORA pour la finance, l’EHDS pour la santé, et repose sur une classification rigoureuse des données selon leur niveau de sensibilité. Sans cette base, toute initiative de sécurité reste fragile. Avec elle, conformité, protection et prise de décision s’alignent naturellement.

Comprendre le cadre légal et anticiper son évolution

Le RGPD reste le socle, mais le paysage réglementaire européen s’est considérablement élargi. Le Data Act redéfinit les droits d’accès aux données issues d’objets connectés. NIS2 étend les obligations de cybersécurité à de nouveaux secteurs. Et l’AI Act introduit désormais une couche supplémentaire. Les systèmes d’IA qui consomment des données personnelles ou sensibles sont soumis à des obligations de transparence, de traçabilité et de contrôle du risque. Ce cadre continuera d’évoluer. Les entreprises qui traitent la veille réglementaire comme une activité secondaire prennent un risque croissant, pas seulement juridique, mais opérationnel.

Pascal Gasp est Senior Solutions Architect South EMEA chez Starburst

Investir dans des technologies qui limitent l’exposition des données

En matière de souveraineté des données, le principe le plus efficace est souvent le plus simple. Il faut éviter de déplacer les données, sauf si c’est vraiment nécessaire.

Aujourd’hui, les architectures modernes permettent d’accéder aux données directement là où elles se trouvent. Qu’elles soient dans le cloud, sur des serveurs internes ou dans un environnement mixte, il n’est plus indispensable de les regrouper au même endroit avant de les utiliser.

Dans le secteur financier, c’est particulièrement structurant. Une banque qui consolide des données de risque provenant de plusieurs pays européens ne peut pas tout centraliser dans un seul lac de données, à cause des règles de résidence. Elle doit pouvoir interroger les données là où elles se trouvent, tout en produisant une vue globale pour le reporting. C’est justement ce que permettent les architectures de fédération modernes.

Cette approche réduit les transferts, les coûts et les surfaces d’exposition réglementaire. Elle s’accompagne de capacités de traçabilité, d’audit et de contrôle d’accès granulaire, indispensables pour exploiter des données distribuées tout en respectant les contraintes locales.

Traiter la sécurité comme une architecture, pas comme une checklist

Chiffrement en transit et au repos, anonymisation des données sensibles, contrôle d’accès basé sur les rôles (RBAC), audits réguliers : ces dispositifs ne sont efficaces que s’ils sont pensés ensemble, dès la conception de l’architecture, et non ajoutés après coup. La sécurité traitée comme une contrainte externe produit des systèmes fragiles. Intégrée comme une exigence d’architecture, elle devient un avantage compétitif.

Ne pas sous-estimer le facteur humain

Une part significative des incidents de sécurité trouve son origine dans des erreurs humaines, mauvaise gestion des accès, phishing, incompréhension des règles de conformité. Même les organisations les plus avancées technologiquement n’y échappent pas. La sophistication des outils ne dispense pas d’une culture de la sécurité ancrée à tous les niveaux, régulièrement entretenue par des formations adaptées et des plans de remédiation testés avant qu’un incident survienne.

Les entreprises qui traitent la souveraineté des données comme un chantier structurel, et non comme une réponse aux crises, seront celles qui transformeront une contrainte réglementaire en avantage compétitif durable.