Qu'est-ce que la souveraineté des données ?

La souveraineté des données tient à l'idée que les données sont soumises aux lois ou aux règlements du pays ou de la région d'où elles proviennent.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Découvrir le concept de souveraineté des données.
  • Comparer les notions de souveraineté des données, de résidence des données et de régionalisation des données.
  • Découvrir comment la souveraineté et la résidence des données peuvent affecter les programmes de respect de la vie privée.

Copier le lien de l'article

Qu'est-ce que la souveraineté des données ?

Le terme « souveraineté des données » renvoie à l'idée que les données (telles que les données relatives à la propriété intellectuelle, les données financières ou les informations personnelles) collectées ou stockées dans un lieu géographique particulier, comme un pays spécifique ou l'Union européenne (UE), devraient être soumises aux lois de ce lieu. Qu'il s'agisse de saisir des informations relatives à une carte de paiement sur un site d'e-commerce ou de publier des commentaires sur une plateforme de réseaux sociaux, les lois sur la souveraineté des données visent à s'assurer que ces données sont réglementées par le cadre juridique en place dans le pays dont les utilisateurs sont citoyens.

Le concept général de souveraineté des données est souvent lié aux questions de confidentialité des données, d'accès aux données par les gouvernements, de sécurité, de concurrence internationale et de droits humains. Certains paradigmes en matière de souveraineté des données cherchent à s'assurer que les données générées dans une juridiction donnée demeurent physiquement au sein de cette juridiction. D'autres cherchent à faire en sorte que les protections juridiques garanties aux données générées dans une juridiction suivront ces dernières, même lorsqu'elles sont traitées ou stockées au sein d'une autre juridiction. D'autres encore cherchent à s'assurer que les données générées dans une juridiction restent au minimum accessibles aux autorités policières de cette juridiction, qu'elles soient ou non traitées/stockées ailleurs.

Presque tous les pays disposent d'une loi sur la protection des données proposant diverses mesures visant à protéger les informations personnelles collectées auprès de leurs citoyens. Vous trouverez ci-dessous quelques exemples concrets de règles relatives à la souveraineté des données :

  1. Le règlement général sur la protection des données (RGPD) et la directive « vie privée et communications électroniques » (ePrivacy Directive).
  2. Les lois californiennes sur la protection de la vie privée des consommateurs (CCPA et CPRA).
  3. Les principes australiens sur la protection de la confidentialité (Australian Privacy Principles, APP).
  4. La loi japonaise sur la protection des informations personnelles (Act on Protection of Personal Information, APPI).

Afin de mieux comprendre ce que donnerait un exemple de règlement sur la souveraineté des données en pratique, prenons le cas d'une boutique d'e-commerce qui vend ses produits à des clients du monde entier, y compris de l'UE. Pour honorer les commandes de ses clients ressortissants de l'UE, la boutique collecte et traite toute une gamme de données sur les utilisateurs, notamment leur nom, leur adresse et leurs informations de facturation.

Quel que soit le lieu d'implantation de la boutique d'e-commerce, le RGPD s'appliquera aux données des clients de l'UE. La boutique devra donc informer explicitement ses clients avant de collecter leurs données et ne collecter que les informations personnelles pertinentes à la transaction (dans ce cas, les informations liées à l'exécution de la commande). Si la boutique souhaite collecter et utiliser davantage d'informations personnelles pour d'autres motifs, comme l'envoi d'e-mails de marketing, elle devra obtenir le consentement du client (qui peut être révoqué à tout moment).

En outre, conformément au RGPD, les clients peuvent demander l'accès à leurs données collectées et demander à l'entreprise de rectifier ou de supprimer ces données (« demandes par les personnes concernées »). La boutique d'e-commerce doit donc également mettre en place des systèmes permettant d'accepter et de répondre à ces demandes.

Comment la souveraineté et la régionalisation des données affectent-elles les programmes de respect de la vie privée ?

La souveraineté et la régionalisation des données sont des concepts étroitement liés. Comme indiqué plus haut, la souveraineté des données tient à l'idée que les données sont régies par les lois du pays ou de la région où elles sont traitées. La régionalisation des données, quant à elle, consiste à stocker les données à l'intérieur des limites physiques du pays ou de la région d'où elles proviennent. Elle est souvent utilisée pour garantir que les informations très sensibles, comme les données bancaires ou médicales, respectent pleinement les réglementations locales, car le transfert ou le traitement de ces données dans une autre région peut exposer les entreprises à un risque de violation de la conformité.

Revenons à l'entreprise d'e-commerce décrite ci-dessus : dès qu'elle traite des données à caractère personnel, elle doit respecter les différents cadres juridiques applicables aux données collectées auprès des consommateurs. À moins qu'elle ne souhaite adopter les réglementations les plus protectrices et les appliquer à toutes ses données clients, l'entreprise d'e-commerce devra cartographier ses données afin de s'assurer que les exigences applicables en matière de protection des données s'appliquent à ces données à caractère personnel.

De même, les règles relatives à la souveraineté des données peuvent avoir des répercussions considérables sur les décisions relatives au lieu de traitement et de stockage des données. Certaines de ces lois présentent également une incidence sur les transferts transfrontaliers de données, car les dispositifs juridiques protégeant les informations personnelles suivent les données, quel que soit l'endroit où elles sont traitées.

Dans le cas de notre entreprise d'e-commerce, cette dernière devra réfléchir au mécanisme juridique approuvé par le RGPD qu'elle utilisera pour transférer les données des ressortissants de l'UE vers un datacenter situé en dehors de l'UE. En fonction de son lieu d'implantation, l'entreprise pourrait être amenée à mettre en place des dispositions contractuelles spéciales pour traiter les données à caractère personnel de l'UE en dehors de l'UE ou pour se conformer à un régime d'adéquation, comme le cadre de protection des données UE-États-Unis.

Le type de souveraineté des données et les exigences de localisation liées aux données personnelles traitées par une entreprise peuvent également influencer la décision d'une entreprise quant à l'utilisation d'une solution de stockage basée sur le site cloud. Les solutions de stockage cloud proposent une flexibilité et une évolutivité accrues en la matière. En outre, nombre d'entre elles proposent également des services de régionalisation des données. Toutefois, pour satisfaire les juridictions très conservatrices aux exigences particulièrement strictes en matière de régionalisation, une entreprise peut être amenée à réfléchir à la mise en place d'équipements de stockage sur site en plus (ou à la place) des solutions basées sur le cloud.

Comment Cloudflare aide les entreprises à assurer la souveraineté et la régionalisation des données

Cloudflare assurait déjà la protection des données de ses clients et de ses utilisateurs finaux depuis longtemps avant l'entérinement de ces mesures. Nous pensons qu'il est non seulement important d'annoncer que nous nous conformons à certaines lois, mais aussi d'apporter la preuve de cette conformité.

Cloudflare est certifiée ISO/IEC 27701:2019 (une norme qui correspond au RGPD de l'UE) et conforme à la norme ISO 27001/27002, aux normes de sécurité des données du secteur des cartes de paiement (PCI DSS, Payment Card Industry Data Security Standards) et à la norme SSAE 18 SOC 2 Type II. Cloudflare bénéficie également d'une certification en vertu du cadre de protection des données UE-États-Unis, du cadre de protection des données Suisse/États-Unis et à l'extension R-U du cadre de protection des données de l'UE. Enfin, Cloudflare est certifiée conforme au code de conduite cloud de l'UE. Ces validations et autres certifications que nous détenons fournissent un supplément d'assurance aux entreprises qui transfèrent leurs données les plus sensibles via Cloudflare. Nous aidons également les entreprises à respecter et à maintenir leurs propres obligations en matière de conformité.

Cloudflare suit depuis longtemps des principes qui s'alignent sur les réglementations courantes en matière de souveraineté des données :

  • Cloudflare collecte uniquement les données personnelles nécessaires à la prestation des services que nous proposons et à l'amélioration de nos produits pour nos clients.
  • Cloudflare ne suit pas les utilisateurs finaux de ses clients sur les propriétés Internet. De même, nous ne profilons pas les utilisateurs finaux de nos clients pour vendre des publicités.
  • Cloudflare permet à ses clients de consulter, corriger ou supprimer leurs données personnelles.
  • Cloudflare permet à ses clients de contrôler les informations traitées par différents services, par exemple, les données mises en cache sur le réseau de diffusion de contenu (CDN), stockées dans le référentiel clé-valeur Workers ou capturées par le pare-feu d'applications web (WAF).

Cloudflare peut également vous aider à répondre à toutes les exigences applicables en matière de régionalisation des données. Notre solution Data Localization Suite permet aux entreprises de définir facilement des règles et des mesures de contrôle à la périphérie d'Internet, afin de s'assurer que les données restent stockées et protégées localement.

En savoir plus sur l'utilisation des services Cloudflare tout en respectant la souveraineté des données.