Qu'est-ce que la localisation des données ?

Localiser des données signifie les conserver dans la même région d'où elles proviennent. Le cloud computing rend la localisation des données plus compliquée, mais pas impossible.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir la localisation des données
  • Comparer la localisation des données avec la résidence des données
  • Explorer la relation entre la localisation des données et la vie privée

Copier le lien de l'article

Qu'est-ce que la localisation des données ?

La localisation des données est la pratique consistant à conserver les données dans la région d'où elles proviennent. Par exemple, si une organisation collecte des données au Royaume-Uni, elle les stocke dans ce pays au lieu de les transférer dans un autre pays pour traitement.

Internet permet aux données de traverser le monde en quelques millisecondes, de sorte que la destination de ces données et ce qui en est fait intéressent de plus en plus les régulateurs, les défenseurs de la vie privée et les consommateurs.

Localisation des données et résidence des données

La localisation et la résidence des données sont deux termes parfois utilisés de manière interchangeable, bien qu'ils aient des significations légèrement différentes. En soi, « data residency » fait référence à l'endroit où les données sont stockées. Les exigences en matière de résidence des données peuvent obliger les organisations à changer le lieu de résidence de leurs données. La localisation des données est l'action de se conformer aux exigences de résidence des données.

Quand la localisation des données est-elle nécessaire ?

Certaines normes juridiques comportent des exigences en matière de résidence des données qui obligent les organisations à localiser leurs données. Cependant, la plupart des cadres de confidentialité des données n'exigent pas la localisation des données. Mais même si les juridictions n'exigent pas la localisation des données par la loi, les industries hautement réglementées comme les banques et les soins de santé peuvent adopter des directives de meilleures pratiques affirmant plus d'exigences pour les données si elles doivent être traitées en dehors de leur pays d'origine. Dans ces cas, les organisations peuvent préférer localiser les données plutôt que de répondre à ces exigences supplémentaires.

Pour de nombreuses entreprises qui opèrent dans des régions soumises à des réglementations strictes en matière de traitement des données, il se peut qu'elles souhaitent éviter toute violation éventuelle en conservant les données dans ces régions, même si cela ne protège pas mieux les données.

Comment fonctionne la localisation des données ?

La localisation des données est assez simple pour les organisations qui sont basées dans un seul pays ou une seule région et qui utilisent une infrastructure sur site pour stocker les données. Tant que leurs données restent sécurisées dans leurs datacenters, elles devraient être correctement localisées.

Le cloud computing rend la localisation des données plus compliquée. Les serveurs cloud sont accessibles par Internet et peuvent donc être situés n'importe où dans le monde. Les organisations qui ont recours à l'informatique cloud ont beaucoup moins de visibilité sur l'endroit où leurs données sont effectivement traitées et stockées, puisque c'est le fournisseur d'informatique cloud qui prend ces décisions.

Cependant, la localisation des données est possible avec le cloud computing si le fournisseur de cloud computing s'engage à traiter et à stocker les données uniquement dans les datacenters de la région spécifiée. Tous les fournisseurs de services cloud n'ont pas une présence mondiale suffisante pour mettre en place ce système, mais beaucoup le font.

Si un fournisseur de services cloud possède un datacenter dans la région requise, il peut s'assurer de plusieurs façons que les données d'un client donné restent dans ce datacenter.

Par exemple, l'approche adoptée par Cloudflare pour son offre Regional Services consiste à offrir un proxy les connexions TCP (Transmission Control Protocol) vers un datacenter situé dans la région désignée. TCP est un protocole de transport utilisé pour déplacer les données dans les deux sens sur Internet. Le TCP établit une connexion entre deux appareils, par exemple, l'ordinateur d'un utilisateur et un serveur Web, et veille à ce que tous les paquets de données arrivent bien entre ces deux appareils.

Lorsqu'une personne visite un site Web qui utilise Cloudflare, elle se connecte en fait à un datacenter Cloudflare, plutôt qu'au site Web lui-même. La connexion TCP est établie entre leur appareil et un serveur dans un datacenter Cloudflare.

Si le site Web en question souhaite localiser ses données via les services régionaux, cette connexion TCP est alors proxiée, ou transmise, à un autre serveur Cloudflare qui se trouve dans la région localisée. Les requêtes de l'appareil de l'utilisateur vers le site Web peuvent alors se rendre dans la bonne région avant d'être traitées.

Imaginez qu'une requête d'utilisateur voyageant sur TCP soit comme un gros camion avec une remorque, et que chaque datacenter Cloudflare soit comme un poste de contrôle de sécurité. Normalement, lorsqu'un « camion » arrive à un poste de contrôle de Cloudflare, Cloudflare ouvre la remorque et jette un coup d'œil à l'intérieur afin de s'assurer qu'elle ne contient rien de dangereux.

Cependant, avec la localisation des données, Cloudflare vérifie plutôt avec le conducteur si le camion se dirige vers certaines destinations. Si la destination est l'adresse d'un client de la localisation des données, Cloudflare demande au conducteur de continuer vers un autre point de contrôle. Cloudflare ne regarde pas à l'intérieur de la remorque avant qu'elle n'atteigne ce point de contrôle spécifique.

La localisation des données améliore-t-elle la protection de la vie privée ?

De nombreuses organisations souhaitent de plus en plus ou sont confrontées à des obligations de conformité nécessitant la localisation des données. De nombreuses catégories de données que les clients de Cloudflare traitent (notamment les données médicales, juridiques ou financières) peuvent être soumises à des obligations qui spécifient que les données doivent être stockées ou traitées dans un lieu spécifique. La suite Cloudflare Data Localization aide les organisations qui doivent respecter les exigences de localisation des données.

Cependant, la protection de la vie privée des utilisateurs est une question complexe, et de multiples facteurs influent sur le degré de confidentialité des données. Par exemple, la localisation des données ne garantit pas l'utilisation du chiffrement, qui est crucial pour la protection de la vie privée. Si un utilisateur visite un site Web qui localise les données et conserve les données de cet utilisateur dans la même région, la localisation des données n'a aucune importance si le site Web n'utilise pas le chiffrement HTTPS. La localisation des données n'empêcherait pas non plus une entreprise de vendre des données à des tiers dans la même région, ce qui pourrait être considéré comme un acte portant atteinte à la vie privée. Elle n'empêcherait pas non plus les utilisateurs non autorisés d'une entreprise d'accéder à des données privées.

Par conséquent, la localisation des données ne suffit pas à garantir la confidentialité des données. En savoir plus sur la confidentialité des données.