loader image

Ceci est la partie II de notre série sur la résidence des données. Lire la partie I sur la résidence des données : Les centres de données sur site sont-ils vraiment sûrs ?

Un sujet important et à ne pas ignorer : la résidence des données, également appelée « localisation des données » ou « souveraineté des données ». Toute entreprise qui travaille avec des données sensibles est censée examiner attentivement les lois sur la résidence des données et leurs conséquences sur la sécurité des données. Ces règles imposent des contraintes quant à l’emplacement du stockage des données – dans différentes juridictions et zones géographiques – pour la protection contre les accès non autorisés. Mais cette protection est-elle vraiment suffisante ?

Avec l’introduction du RGPD, la législation européenne sur la protection des données deviendra applicable au-delà des frontières de l’Union européenne. D’autres États (par exemple les États-Unis ou la Chine) font de même que l’UE simplement parce qu’ils veulent être traités sur un pied d’égalité, et également parce qu’ils sont fondamentalement assez grands pour faire valoir leurs propres intérêts (également dans le domaine de la protection des données). Le fait est le suivant : Les exigences réglementaires telles que le RGPD et d’autres exigent un traitement de plus en plus strict des données sensibles et personnelles. Cependant, les lois sur la localisation ou la résidence des données doivent également être respectées par les entreprises afin que les données sensibles ne quittent pas un certain territoire.

Comme nous l’avons déjà souligné, les lois sur la confidentialité et la résidence des données sont difficiles, voire impossibles, à aligner. On peut donc se demander si une solution locale dans le pays du siège d’une entreprise est conforme si des données sensibles de citoyens d’autres pays sont traitées dans ces centres de données locaux. La gestion locale des données, qui assurerait la gestion des données dans le pays d’origine respectif dès que les données des citoyens correspondants sont affectées, n’est en fait pas vraiment réalisable. Ce ne serait ni techniquement faisable ni abordable en regard des coûts.

Autre aspect : la concurrence pour les données (big data), une bataille qui a lieu entre les grands blocs économiques mondiaux. Les États-Unis ont déjà des problèmes avec les données de leurs citoyens ou entreprises qui sont traitées sur une infrastructure informatique chinoise. On peut supposer que la Chine n’est pas contente non plus de savoir les données de ses citoyens sur des infrastructures des Etats Unis. De nombreux autres pays ont introduit des directives similaires, resserrant constamment la protection des données et en particulier les lois sur la localisation des données, qui sot interprétées de manièere de plus en plus stricte.

Répondez à la question suivante par vous-même, cher lecteur : La Chine hébergera-t-elle l’infrastructure informatique de son initiative Belt and Road (BRI) sur Azure ou AWS si l’on craint qu’en cas de conflit, les États-Unis puissent mettre cette infrastructure critique sous leur contrôle, voire la fermer en appuyant sur un bouton ?

Avec une sécurité à 100%, une puissance économique mondiale s’appuiera sur des technologies et des infrastructures informatiques qu’elle pourra mettre sous son contrôle, le cas écheant.

La liste croissante des pays qui nécessitent une localisation signifie à la fois pour

  • les entreprises actives à l’échelle internationale ainsi que
  • les entreprises actives localement avec des employés ou des clients étrangers ainsi que pour
  • toute institution ayant des relations d’affaires mondiales,

qu’elles seront difficilement en mesure de se conformer aux lois pertinentes sur la protection et la résidence des données. Ces institutions et entreprises courent donc un risque permanent de non-conformité, c’est-à-dire de violation des lois ou règlements sur la protection des données.

Alors que faire ?

Les entreprises doivent évaluer les trois variantes suivantes si elles veulent respecter les règles de confidentialité et de résidence des données dans la même mesure:

1. Il est possible que les entreprises ne cherchent à se conformer que dans le cadre de la loi sur la protection des données sur leurs marchés les plus importants. Étant donné que les marchés futurs de nombreuses entreprises sont situés en Asie et en particulier en Chine, ce n’est pas une tâche facile, voire impossible pour les entreprises européennes ou américaines. Bien sûr, cela s’applique également aux entreprises de l’espace économique de l’Asie du Sud-Est qui souhaitent s’implanter en Occident (cf. nos arguments dans la partie I).

2. Les entreprises hébergent leurs données au niveau régional pour se conformer à la réglementation applicable. Par exemple, en hébergeant les données des employés européens et des clients en Europe sur Gaia, les données des citoyens américains aux États-Unis sur AWS, Google ou Azure, les données des personnes domiciliées en Chine sur Huawei ou AliCloud, etc. Cependant, cette approche est plutôt théorique. Les obstacles techniques pour une distribution sécurisée des données sont très élevés et les coûts dus à plusieurs environnements complètement distincts peuvent difficilement être justifiés économiquement. De plus, les petits pays n’offrent pas leur propre écosystème cloud et doivent donc faire confiance à l’une ou l’ensemble des autres solutions mentionnées ci-dessus. En général, on s’attendrait à un doublement ou à un quadruplement des coûts informatiques d’aujourd’hui. Très peu d’entreprises (pourront) se le permettre.

3. Une autre alternative consiste à chiffrer les données et à baser les clés sur différentes juridictions. Les données des citoyens américains sont cryptées avec des clés des États-Unis, les données des citoyens européens avec des « clés européennes », les données des citoyens chinois avec des clés chinoises cryptées, etc. En fin de compte, cela signifie un cryptage local (clé, méthode, emplacement) sous le contrôle de l’entreprise respective tout en respectant les lois applicables en matière de protection des données et sans compromettre la protection des données et leur localisation.

En savoir plus sur cette troisième option dans le prochain blog de cette série et découvrez pourquoi c’est en fait la seule alternative raisonnable pour protéger les données en toute sécurité à l’échelle mondiale, tout en se conformant aux réglementations. À votre santé.