Résidence des données (partie 2) - Quand le stockage local des données n'est plus automatiquement sécurisé

par Résidence de données

Ceci est la deuxième partie de notre série sur la résidence de données. Lisez ici la partie 1 sur Résidence de données : les centres de données locaux sont-ils vraiment sûrs ?

Un sujet important à ne pas négliger : la résidence des données, également appelée "localisation des données" ou "souveraineté des données". Si une entreprise qui travaille avec des données sensibles prend la sécurité des données au sérieux, il convient d'examiner attentivement les lois sur la résidence des données et leurs conséquences sur la sécurité des données. Ces règles imposent des exigences concernant l'emplacement de la conservation des données - dans différentes juridictions et zones géographiques - afin de les protéger contre tout accès non autorisé. Mais cette protection est-elle vraiment suffisante ?

Avec l'introduction du GDPR, le droit européen de la protection des données devient applicable au-delà des frontières de l'Union européenne. D'autres États (par exemple les États-Unis ou la Chine) font de même avec l'UE, - tout simplement parce qu'ils veulent être traités d'égal à égal et qu'ils sont en principe assez grands pour faire valoir leurs propres intérêts (également dans le domaine de la protection des données). Le fait est que les directives réglementaires telles que GDPR et autres exigent un traitement toujours plus strict des données sensibles et personnelles. Mais les entreprises doivent également respecter les lois sur la localisation ou la résidence des données afin que les données sensibles ne quittent pas un territoire donné malgré la protection des données.

Nous l'avons déjà expliqué : Les lois sur la protection des données et sur la résidence des données sont difficiles, voire impossibles, à concilier. On peut donc se demander si une solution locale dans le pays du siège principal d'une entreprise est conforme lorsque des données sensibles de citoyens d'autres pays sont traitées dans ces centres de données locaux. Une gestion locale des données qui assure la gestion des données dans le pays d'origine respectif dès que des données de citoyens correspondants sont concernées n'est techniquement réalisable qu'en théorie, mais dans les faits, elle n'est pas abordable et, en l'état actuel des choses, elle ne peut pas non plus être exploitée sur le plan opérationnel.

Autre aspect : la concurrence pour les données ou les connaissances qui en découlent (Big Data), qui se joue entre les grands blocs économiques mondiaux. Aujourd'hui déjà, les États-Unis ont du mal à accepter que les données de leurs citoyens ou de leurs entreprises soient traitées sur l'infrastructure informatique chinoise. On peut s'attendre à ce que la Chine fasse de même à l'inverse. De nombreux autres pays ont introduit des directives similaires, renforcent constamment leurs lois sur la protection des données et surtout sur la localisation des données et les interprètent de manière toujours plus stricte.

Répondez pour vous, chère lectrice, cher lecteur, à la question suivante : La Chine hébergera-t-elle l'infrastructure informatique de sa Belt and Road Initiative (BRI) sur Azure ou AWS si l'on craint qu'en cas de conflit, les États-Unis puissent prendre le contrôle de cette infrastructure critique, voire la désactiver en appuyant sur un bouton ?

Avec la sécurité 100%, une puissance économique mondiale s'appuiera sur des technologies et des infrastructures informatiques dont elle pourra prendre le contrôle (si nécessaire).

La liste croissante des pays qui exigent la localisation signifie à la fois pour

  • les entreprises actives à l'international ainsi que
  • les entreprises actives au niveau local avec des collaborateurs ou des clients étrangers, de même que pour les entreprises qui ne sont pas établies en Suisse.
  • toute institution ayant des relations commerciales mondiales pertinentes,

qu'ils ne pourront guère se conformer aux lois pertinentes en matière de protection des données et de résidence des données et qu'ils seront donc toujours confrontés à un risque permanent de non-conformité, c'est-à-dire de violation des lois ou des règlements ou, plus généralement, de manque de respect de la protection des données.

Alors, que faire ?

Les entreprises doivent choisir entre les trois variantes suivantes si elles veulent respecter de la même manière les règles de confidentialité et de résidence des données :

1. Il est possible que les entreprises ne cherchent à se conformer à la législation sur la protection des données que sur leurs principaux marchés. Étant donné que les marchés d'avenir de nombreuses entreprises se situent en Asie et plus particulièrement en Chine, il s'agit d'une tâche peu aisée, voire impossible, pour les entreprises européennes ou américaines. Bien entendu, cela vaut tout autant pour les entreprises de l'espace économique du Sud-Est asiatique qui souhaitent s'établir en Occident (voir nos arguments dans le 1ère partie).

2. Les entreprises hébergent leurs données au niveau régional afin de se conformer aux réglementations en vigueur. Par exemple, en hébergeant les données des collaborateurs et des clients européens en Europe sur Gaia, les données des citoyens américains aux États-Unis sur AWS, Google ou Azure, les données des personnes domiciliées en Chine sur Huawei ou AliCloud, etc. Cette approche semble toutefois plutôt théorique. Les obstacles techniques à une distribution sécurisée des données sont très élevés et les coûts liés à plusieurs environnements complètement séparés sont difficilement justifiables d'un point de vue économique. En outre, les petits pays ne proposent pas leur propre écosystème de cloud et doivent donc nécessairement faire confiance à l'une ou à toutes les autres solutions mentionnées ci-dessus. De manière générale, il faudrait compter avec un doublement, voire un quadruplement des coûts informatiques actuels. Rares seront les entreprises qui pourront (pourront) se le permettre.

3. Une autre alternative est la Cryptage des données tout en basant les clés sur différentes juridictions. Les données des citoyens américains sont cryptées avec des clés américaines, les données des citoyens européens sont cryptées avec des "clés européennes", les données des citoyens chinois sont cryptées avec des clés chinoises, etc. En fin de compte, cela signifie que un cryptage local (clé, méthode, emplacement) sous le contrôle de l'entreprise concernée, tout en respectant les lois applicables en matière de protection des données, sans compromettre la protection des données et leur localisation.

Dans un prochain blog de cette série, vous en apprendrez plus sur cette troisième option et sur la raison pour laquelle elle représente la seule alternative raisonnable pour protéger les données de manière sûre et globale tout en respectant les réglementations. À la vôtre.

Vous souhaitez obtenir plus d'informations sur le sujet ?

S'inscrire

Apprenez-en plus sur les tendances. Après votre inscription, vous pourrez télécharger des fiches d'information et d'autres articles spécialisés sur nos sites de tendances.

S'inscrire

N'hésitez pas à nous contacter. Nous vous conseillons volontiers

Nos experts se tiennent à votre disposition pour répondre à vos questions sur ce thème tendance.

 

Courrier électronique(Nécessaire)
Consentement(Nécessaire)