La loi RGPD, entrée en vigueur le 25 mai 2018, vise à rendre plus éthique et responsable le traitement des données personnelles des individus par les organisations publiques ou privées. Cette charte, soumise à une législation européenne stricte, a mis en lumière un nouveau concept tout aussi important : la souveraineté des données. Décryptage !
En termes simples, la souveraineté des données est un concept selon lequel les données numériques doivent être soumises à la législation du pays où elles sont stockées. Il s’agit d’une véritable révolution à l’heure où de nombreuses entreprises migrent vers le Cloud ou envisagent de le faire. En effet, celles-ci fondent leur choix de fournisseurs d’hébergement sur des facteurs techniques ou commerciaux. La localisation est devenue pour elles un élément secondaire dans un monde de plus en plus connecté.
Le principal problème auquel sont confrontées les entreprises désirant migrer vers le Cloud est que, hormis la RGPD, il n’existe pas encore de normes internationales pour la protection des données privées. Ainsi, aussi pointilleuses soient les mesures qu’elles prennent pour protéger les informations de leurs consommateurs, celles-ci peuvent être stockées dans une infrastructure « cloud », située dans une région où les lois de protection de la vie privée sont moins exigeantes. Cela peut avoir des conséquences très graves tant pour la société que pour l’utilisateur final qui lui confie ses informations.
En réalité, tout le monde est concerné par la souveraineté des données. Consommateurs, entreprises et services Cloud sont tous censés s’adapter à ce nouveau concept. Ainsi, avant de confier ses informations à une quelconque organisation, chaque individu est censé avoir une idée sur ses politiques en matière de protection de données ainsi que sa conformité avec la loi RGPD si elle se trouve dans la zone EU.
Les sociétés, quant à elles, doivent établir un lien de confiance avec leurs prospects et clients en maintenant un très haut niveau d’exigence en matière de sécurité informatique aussi bien en interne qu’avec les services Cloud partenaires. Ces derniers ont la responsabilité de chercher constamment des solutions qui soutiennent la souveraineté des données et de prendre en considération les normes en vigueur dans un pays avant de décider d’y installer ses infrastructures.
Avant de choisir un service Cloud, une organisation doit être certaine de pouvoir garder la souveraineté de ses données. Pour cela, elle est tenue d’avoir une réponse claire aux questions suivantes :
Connaître l’emplacement géographique où les données vont être stockées est un impératif ! Il est important de savoir aussi si avant le déplacement des informations d’une société, le service Cloud demande d’abord son consentement.
Lorsqu’elle traite avec un partenaire Cloud externe, il devient difficile pour une entreprise de savoir si les informations stockées sont en sécurité. Néanmoins, il existe quelques détails pouvant l’éclairer à ce sujet. Parmi eux, figurent les lois locales et les mandats de conservation des données, les contrôles de sécurité mis en place ou encore les politiques de destructions sécurisées si l’on décide de retirer les données du Cloud en question.
Cette question est étroitement liée à la première. Effectivement, il est important de savoir que les données sont conformes aux lois en vigueur dans le pays où elles seront stockées. Cela évite à l’entreprise de voir ses informations vulnérables face à des lois étrangères.
Selon une étude réalisée par Gartner, la croissance du marché du Cloud en 2020 est estimée à 17 %. Cette même enquête nous apprend qu’à l’horizon 2022, 60 % des entreprises feront appel à des services Cloud, soit deux fois plus qu’en 2018. Cette montée en puissance a encore une fois mis sur la table l’importance de la souveraineté des données et son impact sur le marché du Cloud qui est en pleine expansion.
Rappelons qu’en 2018, les États-Unis ont adopté la loi fédérale Cloud Act. Celle-ci donne le droit aux autorités américaines d’avoir accès à toutes les données stockées sur des services Cloud présents sur le sol américain, même si elles proviennent d’autres pays. Pour une entreprise française utilisant un service Cloud américain, cela signifie que toutes ses informations sont désormais à la portée d’entités juridiques d’un pays étranger et qu’elle n’a aucun moyen de les protéger outre mesure, bien qu’elles soient soumises au RGPD qui est en vigueur en Europe.
Cette loi, ainsi que d’autres points concernant la souveraineté des données, a fait l’objet de discussions entre des professionnels très connus sur le marché du Cloud, à l’occasion de l’évènement Tech For Tomorrow, organisé en 2019 par Tech Data.
Ainsi, Michel Paulin, CEO d’OVH, précise que la souveraineté des données ne doit pas être prise à la légère et qu’elle présente des enjeux sécuritaires importants. Pour lui, les entreprises doivent se poser des questions comme : « quelles sont les données qui peuvent être accessibles par un acteur, quel qu’il soit, et à quelles conditions juridiques vais-je les exposer ?”. Il préconise également la hiérarchisation des données et leur répartition sur plusieurs services Cloud en fonction de leur sensibilité. Il rejoint ainsi d’autres acteurs européens du secteur IT qui recommandent quant à eux la migration vers des fournisseurs Cloud en Europe.
Cet avis n’est pas partagé par Alfonso Castro, directeur des services Cloud chez Microsoft. Pour lui, l’impact des lois comme Cloud Act sur la souveraineté des données doit être minimisé. Ses arguments s’appuient sur des données chiffrées datant du premier semestre 2018. Celles-ci nous apprennent que sur les 5 000 demandes de consultations de données faites par les autorités américaines, seule une demande concernait une entreprise étrangère !
Le débat sur la souveraineté des données rappelle encore une fois l’importance du Cloud dans cette ère numérique. Une importance qui, sans aucun doute, va doper le marché d’emploi de cette technologie. Si vous souhaitez profiter de cette dynamique positive pour tracer un bon plan de carrière, nous vous recommandons les formations proposées par l’IPI.
Candidature
Documentation