Des concepts souvent confondus. Attention : danger !
Souveraineté des données et résidence de celles-ci. Plus qu’une nuance ! Dans un récent article de blog, Xavier Warnier, Commercial Director, Datacenter United, fait le point. En voici l’essence.
Deux concepts régissent la gouvernance numérique : la résidence des données et la souveraineté des données. Souvent confondus, ils représentent pourtant deux niveaux de contrôle fondamentalement différents : l’un géographique, l’autre juridique.
« Cette distinction est pourtant cruciale, notamment pour les organisations opérant au sein de l’Union européenne (UE), où les réglementations strictes en matière de protection de la vie privée se heurtent directement à la portée extraterritoriale des législations étrangères, telles que le CLOUD Act américain. »
Résidence des données… et circulation de celles-ci
La résidence des données désigne la localisation géographique des données. Elle définit le lieu physique où se trouvent les centres de données, les serveurs ou autres systèmes qui stockent ou traitent les données. « Étant donné que les données d’une entreprise peuvent circuler fréquemment tout au long de leur cycle de vie, les données d’une même organisation peuvent se retrouver avec plusieurs résidences, poursuit Xavier Warnier. Il s’agit donc de s’y intéresser de près ! »
Si les exigences de résidence peuvent parfois découler des politiques internes ou des engagements contractuels d’une organisation, elles sont souvent dictées par les obligations de localisation des données.
« La localisation des données désigne les obligations légales imposant aux organisations de conserver les données créées dans un pays donné à l’intérieur des frontières de ce pays. Ces obligations peuvent aller de la simple conservation d’une copie des données dans le pays à l’interdiction pure et simple des transferts de données hors du pays. »
La résidence n’est pas le seul critère déterminant la juridiction
La principale distinction réside dans le fait que la résidence est géographique, tandis que la souveraineté est juridique. Souvent, la résidence détermine la souveraineté : si des données sont hébergées dans un centre de données en Irlande, l’Irlande exerce sa souveraineté sur ces données et l’entreprise doit se conformer à la législation irlandaise en matière de protection des données.
Toutefois, la résidence n’est pas le seul critère déterminant la juridiction. Les lois sur la souveraineté des données peuvent s’appliquer aux données quel que soit leur lieu de stockage physique. « Le GDPR en est un parfait exemple, illustre Xavier Warnier. Il peut s’appliquer aux données détenues ou traitées en dehors de l’UE si ces données concernent des résidents de l’Union européenne. Par conséquent, des données peuvent relever simultanément de plusieurs souverainetés, telles que les lois nationales et le GDPR européen ! »
L’impératif de la souveraineté européenne
Pour les entreprises européennes, l’accès à une véritable souveraineté numérique est devenu une nécessité vitale. « La souveraineté réelle garantit que les données, y compris toutes les métadonnées, restent strictement soumises à la juridiction européenne, enchaîne Xavier Warnier. C’est essentiel pour éviter toute exposition à des lois étrangères telles que le CLOUD Act américain, et offre la sécurité juridique que plus de 80 % des entreprises recherchent activement. »
La conformité est primordiale. Le GDPR impose des contrôles stricts sur le traitement des données personnelles et restreint les transferts de données vers des juridictions dont le niveau de protection est jugé insuffisant. « Concrètement, le GDPR exige que toutes les données collectées sur les citoyens soient soit stockées dans l’UE et soumises à la législation européenne sur la protection des données, soit stockées dans un pays offrant un niveau de protection équivalent. »
Par ailleurs, le cadre réglementaire européen évolue rapidement. La loi européenne sur les données, applicable depuis septembre dernier, impose la portabilité et l’interopérabilité des données, tandis que la directive NIS-2 exige des opérateurs d’infrastructures critiques qu’ils maintiennent des processus de sécurité continus et une chaîne d’approvisionnement sécurisée. « En choisissant des solutions cloud européennes souveraines ‘by design’ les entreprises peuvent garantir leur conformité réglementaire et transformer ces exigences légales complexes en un avantage concurrentiel. »
La menace transatlantique : le CLOUD Act américain
Qui dit CLOUD Act dit portée extraterritoriale ! Cette loi autorise les autorités fédérales américaines à contraindre les entreprises technologiques basées aux États-Unis, par mandat ou assignation, à fournir les données demandées stockées sur des serveurs, que ces données soient stockées aux États-Unis ou à l’étranger.
Le champ d’application du CLOUD Act est vaste, insiste Xavier Warnier. « Cette loi ne se limite pas strictement aux entreprises dont le siège social est situé aux États-Unis, mais s’applique à tous les fournisseurs de services de communication électronique ou de services informatiques à distance qui exercent leurs activités ou ont une présence légale aux États-Unis. De plus, les tribunaux ont le pouvoir d’obliger les sociétés mères à fournir les données détenues par leurs filiales. »
En réaction à cette législation, le CEPD, le contrôleur européen de la protection des données, a estimé que le CLOUD Act est une loi potentiellement incompatible avec le GDPR…
Risques potentiels liés à l’utilisation de fournisseurs de services cloud américains
Le stockage de données critiques, y compris les sauvegardes, auprès d’une entreprise américaine – ou de tout fournisseur de services ayant une présence légale aux États-Unis – expose donc les entreprises de l’Union européenne à des risques importants pour préserver leur souveraineté numérique.
Premier risque : un accès forcé sans consentement. La menace la plus immédiate est que les données, y compris les sauvegardes, puissent être saisies ou consultées par le gouvernement américain à l’insu et sans le consentement du propriétaire européen des données… même si ces données sont physiquement hébergées à l’étranger.
Deuxième risque, la conformité au GDPR. La loi CLOUD accordant un accès direct aux autorités américaines, le recours à des fournisseurs américains expose les organisations européennes à la législation étrangère, ce qui peut les mettre en situation de non-conformité au GDR.
Troisième risque : l’instabilité politique. Les données stockées à l’étranger peuvent être vulnérables à un contrôle externe. Le Commissaire allemand à la protection des données, par exemple, a mis en garde contre l’utilisation de services cloud basés aux États-Unis pour le stockage de données sensibles de la police fédérale, en raison de la vulnérabilité inhérente aux politiques de surveillance américaines. De plus, la complexité de la gestion de la conformité dans plusieurs cadres juridiques accroît le risque de mauvaise gestion des données et de création de failles de sécurité.
Quatrième risque : la responsabilité du client dans les modèles SaaS. De nombreuses plateformes SaaS populaires fonctionnent selon un modèle de responsabilité partagée. Bien que l’opérateur SaaS assure la disponibilité et la redondance des applications, la responsabilité ultime incombe au client de protéger les utilisateurs et leurs données contre les violations et les pertes de données, notamment en garantissant la souveraineté des données de ses sauvegardes.
« Pour atténuer ces menaces, les organisations doivent choisir des fournisseurs de cloud transparents quant à l’emplacement du stockage des données, proposant un géo-repérage par pays afin de garantir la résidence des données dans des régions spécifiques de l’UE, conformément à la réglementation européenne, conclut Xavier Warnier. Cette pratique offre la protection juridique fondamentale nécessaire pour opérer en toute sécurité et en conformité avec le cadre juridique international moderne et complexe. »
