Le respect des réglementations en matière de souveraineté des données exige une gouvernance, une conformité et une innovation technologique solides.
Les données sont un sujet brûlant pour les entreprises. Leur volume, ne cessant de croitre, rend de plus en plus difficile leur collecte, leur traitement, leur stockage mais aussi leur sécurisation.
De plus, la notion de « souveraineté des données » transparait de plus en plus au travers de nouvelles lois et règlementations locales (appliquées également aux données collectées à l’international), et rendent l’environnement de plus en plus complexe.
Par exemple, si une entreprise internationale collecte des données dans trois pays différents, les données collectées dans chaque pays seront soumises à leurs lois et réglementations indépendantes. Qu’en est-il aujourd’hui ?
Un concept mondialement admis, mais à géométrie variable
Si la notion de souveraineté des données se renforce avec les nouvelles réglementations, celle-ci est également impactée par l’évolution des outils de gestion des données et le contexte géopolitique. Partout dans le monde, les préoccupations liées à la sécurité des données sont souvent impactées par 3 principaux facteurs : la propriété des données, leur emplacement et les réglementations changeantes qui présentent des risques commerciaux.
Pour bien comprendre ces enjeux, il est important de faire la différence entre la souveraineté des données, la résidence des données, et la localisation des données. Là où la souveraineté concerne le contrôle des données et les lois du pays où elles sont collectées, stockées et déplacées, la résidence, quant à elle, porte sur la localisation géographique du stockage et du traitement de ces mêmes données. De manière générale, la localisation des données fait référence aux lois ou réglementations qui déterminent leur emplacement et la juridiction à laquelle elles sont soumises.
En Europe, le règlement général sur la protection des données (RGPD) est l’une des politiques de souveraineté des données les plus marquantes. Cependant, il ne couvre pas les 120 pays dotés de politiques de protection des données.
Selon le CNUCED, près de 71 % des pays auraient à ce jour mis en œuvre des lois et réglementations concernant la confidentialité et la protection des données. À Singapour, par exemple, la loi sur la protection des données personnelles « reconnaît à la fois la nécessité de protéger les données personnelles des individus mais aussi celle pour les entreprises de collecter, d’utiliser ou de divulguer des données personnelles à des fins légitimes et raisonnables ».
Bien que l’objectif des lois sur la souveraineté des données soit de protéger les données personnelles et sensibles des citoyens, certaines politiques de souveraineté visent également à faire progresser un pays ou une région au rang d’adversaire commercial mondial.
Des conséquences toujours visibles
La souveraineté des données engendre des effets sur deux caractéristiques majeures : les ressources et la complexité de la gestion. De nombreuses entreprises ont embauché des responsables de la conformité et de la protection des données dédiés pour suivre l’évolution des exigences réglementaires.
Cependant, un bon recrutement ne s’arrête pas après l’embauche et l’intégration des experts en question, et il est essentiel de leur fournir une formation de cybersécurité régulière pour leur permettre de mettre à jour leurs connaissances et d’en savoir plus sur les nouvelles réformes à appliquer.
Le recrutement la formation sont deux domaines qui peuvent être coûteux, ils représentent des moyens bien plus responsables que de rester dans l’ignorance ou de se voir infliger une amende pour violation de la souveraineté des données. Alors que le modèle de responsabilité partagée se concentre sur la sécurité et la conformité des données et des applications, une relation transparente avec tous les fournisseurs de services cloud (CSP) est primordiale pour identifier l’endroit où leurs serveurs hébergent les données. Mais, malheureusement, l’incohérence des réglementations d’un pays ou d’une région à l’autre accroît encore la complexité – ainsi que le risque de sécurité – des activités à l’échelle mondiale.
L’application d’une vision holistique de la structure et de la valeur des données des entreprises permet de clarifier les exigences vis-à-vis de leur stockage, de leur conservation, de leur sauvegarde et de leur récupération.
Par exemple, le fait de stocker toutes les données en un seul endroit augmente le risque de cybermenace. Cependant, d’un autre côté, plus il y a de sites de stockage, plus le coût et la complexité seront élevés. Il est alors nécessaire pour les entreprises d’adopter une approche de gestion basée sur les risques afin d’évaluer les compromis nécessaires à la mise en place d’une stratégie de stockage des données plus sûre, et conforme.
L’IA – une couche à part entière
Comment les modèles d’IA à grande échelle affectent-ils la souveraineté des données ?
Il est évident que le Machine Learning nécessite un grand volume de données pour fonctionner. Malgré cela, les entreprises doivent tout de même tenir compte de l’origine, de l’emplacement et de la stratégie de stockage de ces données, ce qui n’est pas sans être complexe et couteux.
Permettre à un modèle de Machine Learning d’accéder à davantage de données peut être un outil puissant car il crée intrinsèquement un réseau de partage de données au sein de l’organisation. Cependant, ce flux doit être géré dans le respect de la souveraineté et être en conformité dès le début.
Dans le cas où des entreprises auraient besoin de développer des modèles d’IA conservés indépendamment dans des régions géographiques soumises à des exigences strictes en matière de souveraineté des données, il leur sera important de réfléchir à la manière dont leur stratégie d’IA s’articule avec la souveraineté des données, tant sur le plan de l’exécution que sur celui des coûts.
La souveraineté des données est un aspect essentiel de l’évolution du paysage numérique. Elle affecte la manière dont les États, les entreprises et les individus gèrent et protègent les données. Le respect des réglementations en matière de souveraineté des données exige une gouvernance, une conformité et une innovation technologique solides. Les données continueront d’être le moteur de l’innovation et à transformer les industries, et la souveraineté sera indéniablement un vecteur de confiance, de transparence, et de sécurité
