Souveraineté des données : quels enjeux et quelle solution cloud choisir ?
Alors que les organisations vivent sous la menace constante d’une fuite d’informations ou d’une cyberattaque, la question de la souveraineté des données prend aujourd’hui une dimension particulière. De quoi s’agit-il ? Quels sont ses enjeux ? Explications.
Définition de la souveraineté des données
La souveraineté des données (“data sovereignty”) est un principe selon lequel la data doit être soumise à la législation du pays où elle est stockée. Par extension, elle se réfère également à la façon dont les données sont protégées et utilisées. La souveraineté est donc intimement liée à la gouvernance des données, mais aussi au cloud computing.
Les enjeux de la souveraineté des données pour les entreprises
L’hébergement de la data est plus que jamais au centre de l’attention, alors que le marché français du cloud est dominé par un trio de géants américains : Amazon Web Services, Microsoft Azure et Google Cloud.
En effet, les États-Unis ont adopté en 2018 la loi fédérale Cloud Act, qui permet aux autorités américaines d’accéder à toutes les données stockées sur des services cloud présents sur leur territoire, y compris celles qui proviennent d’autres pays.
Pour une entreprise française utilisant un logiciel américain, cela signifie que toutes ses données à caractère personnel ou sensibles sont susceptibles d’être consultées par les instances d’un pays étranger. Elle n’a d’ailleurs aucun moyen de les protéger davantage, quand bien même ses données sont soumises au Règlement général sur la protection des données (RGPD) en vigueur dans l’Union européenne.
Par ailleurs, de nombreuses entreprises sélectionnent, sans en avoir forcément conscience, des éditeurs de logiciels européens dont les data centers sont situés aux USA. Là encore, les autorités américaines ont la possibilité de consulter les données et de les partager comme elles le souhaitent.
L’enjeu est particulièrement grand dans certains domaines, comme le secteur public, où les informations traitées sont critiques. C’est par exemple le cas des données du Commissariat à l’énergie atomique (CEA) ou du ministère de la Santé, dont l’utilisation par une puissance étrangère pourrait avoir des répercussions géopolitiques majeures.
Sans oublier le risque de concurrence déloyale : une grande entreprise multinationale pourrait acquérir un avantage décisif en accédant aux données sensibles de ses concurrents.
Comment choisir une solution garantissant la souveraineté des données ?
La plupart des entreprises fondent leur choix de logiciels et d’hébergements cloud sur des facteurs techniques ou commerciaux.
L’aspect financier joue évidemment un rôle primordial. Toutefois, si les modèles économiques proposés par les GAFAM peuvent être alléchants, il existe des alternatives locales réellement compétitives.
De même, la réputation des grands éditeurs américains joue en leur faveur. Certains décideurs sont plus enclins à confier leurs actifs les plus précieux – à savoir leur data – à Microsoft ou Amazon qu’à une entreprise française moins connue.
Au final, le choix s’appuie bien souvent sur des éléments subjectifs et ne suit pas toujours un raisonnement cohérent.
Il est donc essentiel de ne plus considérer la localisation du fournisseur comme un critère de seconde zone : la solution retenue doit permettre à l’entreprise de conserver la souveraineté de ses données. Pour ce faire, il faut passer en revue trois grands facteurs.
Le lieu de stockage des données
Il est indispensable de connaître l’emplacement géographique où les données sont stockées. Mieux vaut opter pour des data centers installés en France ou en Europe, car ils seront hors d’atteinte du Cloud Act américain.
La sécurité des données
Un fournisseur cloud se doit de garantir la sécurité des données de ses clients. Toutefois, comment mesurer son efficacité en la matière ? Plusieurs indices peuvent éclairer l’entreprise, notamment les réglementations en vigueur dans le pays de l’hébergeur, mais aussi les mesures de sécurité et la politique de conservation des données spécifiques mises en place par le fournisseur.
La conformité des données
Enfin, il convient de vérifier que les données numériques sont en adéquation avec la loi en vigueur dans le pays où elles sont stockées. Ainsi, l’entreprise évite de rendre ses informations sensibles vulnérables à des réglementations étrangères.
Des alternatives locales aux géants du cloud
Les grands groupes internationaux sont si omniprésents qu’ils semblent incontournables. En réalité, il n’en est rien : il existe des clouds locaux vers lesquels les entreprises peuvent se tourner pour maîtriser l’exposition de leurs données.
Arrivées plus tardivement sur le marché, ces solutions souffrent d’un certain déficit de notoriété, alors qu’elles couvrent la grande majorité des besoins fonctionnels des organisations.
Un important travail de sensibilisation reste à faire pour expliquer aux entreprises que ces alternatives locales sont tout aussi performantes, simples d’utilisation et compétitives en termes de prix.
Par ailleurs, il est aisé de comparer ces solutions et de faire le bon choix de manière plus impartiale. Cela est notamment rendu possible par le référentiel SecNumCloud, élaboré par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Ce dernier atteste de la qualité, de la robustesse et de la compétence des fournisseurs cloud, mais aussi de la confiance pouvant leur être accordée.
En tant qu’éditeur français, DigDash a à cœur de sensibiliser ses clients à la question de la souveraineté des données, qui peut parfois sembler assez éloignée de leur réalité.
Partenaires d’OVHcloud, nous œuvrons pour un cloud souverain, à même de sécuriser les données les plus sensibles, mais aussi de gérer toute montée en charge ou évolution fonctionnelle. Non soumis au Cloud Act américain, le cloud OVH est garant du respect du RGPD, tout en transmettant les valeurs d’un monde ouvert et libre.
Un partenariat qui ne remet pas en cause notre indépendance : nos clients restent libres de leurs choix en matière de services cloud et notre solution de Business Intelligence est compatible avec les autres fournisseurs majeurs du secteur.