Souveraineté des données : il est temps pour les entreprises de (ré)agir !

La souveraineté des données est un sujet brûlant dont tous les dirigeants devraient rapidement se saisir. Car, même si les Digital Service Act et Digital Market Act européens annoncent un certain renforcement de la législation entre les États membres, la prédominance de la Chine et des États-Unis dans l’industrie du numérique fait peser des risques forts sur la protection des actifs des organisations.

Souveraineté des données et cybersécurité vont de pair
Souveraineté des données et cybersécurité vont de pair

La prédominance des géants du numérique (GAFAM et BATX) dans la vie sociale et économique mondiale pèse lourdement sur la capacité des organisations à protéger leurs données des regards extérieurs. D’autant qu’avec le numérique, la notion même de « frontières territoriales » devient floue. La loi du CLOUD Act (Clarifying Lawful Overseas Use of Data Act), adoptée par le Congrès des États-Unis en 2018, permet par exemple aux forces de l’ordre du gouvernement américain de saisir des données stockées en sol étranger en cas d’infraction, tout en reconnaissant le droit aux prestataires de services de contester les demandes contraires aux lois locales.

Une situation encore réversible en 2021 – 2022 peut donc rapidement devenir irréversible d’ici quelques années. Dans ce contexte, comment pouvons-nous agir dès maintenant sur la souveraineté de nos données ? Et quelles sont les bonnes pratiques cyber à envisager dans les entreprises ?

 

Souveraineté des données : de quoi parlons-nous ?

La souveraineté des données recouvre entre autres deux dimensions : celle de l’individu et celle de la nation (ou du regroupement de nations, dans le cas de l’Europe par exemple).

Du point de vue de l’individu, les données personnelles sont devenues comme un prolongement de son intégrité physique et de son intégrité de citoyen. Chacun peut donc s’attendre à ce que les informations rattachées à sa personne soient aujourd’hui protégées par l’État de droit dont il dépend.

À l’échelle d’un pays, la souveraineté des données pourrait s’entendre comme la capacité suprême de l’État de droit à disposer de son « espace numérique national », en toute indépendance (vis-à-vis des autres nations), et à tout mettre en œuvre pour le protéger contre toute tentative de violation de son intégrité. En un sens, les données deviennent un nouvel actif national dont il convient de défendre les intérêts stratégiques.

Une responsabilité collective dans la souveraineté des données

Les organisations, comme les individus d’ailleurs, sont bien entendu parties prenantes de cette souveraineté numérique nationale. En tant qu’unités productrices de données brutes, ou tout du moins détentrices de données raffinées à valeur ajoutée, les entreprises endossent une grande part de responsabilité dans la manière dont elles les gèrent.

La question des pratiques et des usages de la data, mais aussi celle des conditions d’hébergement, deviennent de véritables enjeux stratégiques de sécurité que toute direction d’entreprise se doit d’adresser. La réalité des attaques cyber menées ces dernières années montre à quel point tout le monde peut être concerné : des TPE aux grandes compagnies du CAC40, en passant par les collectivités locales et les opérateurs de services publics.

Souveraineté et protection des données vont donc de pair. Voici les principaux dispositifs sur lesquels ils reposent :

–        La réglementation : en France (et plus largement en Europe), la sécurité des données est encadrée au premier niveau par le RGPD (Règlement Général de Protection des Données) depuis mai 2018.

–        La régulation de la concurrence : les saisines de l’Autorité de la concurrence permettent d’intervenir contre les positions dominantes, qu’elles soient américaines (GAFAM) ou chinoises (BATX). Récemment, l’Autorité de la concurrence a sanctionné Google pour avoir favorisé ses propres services sur ses pages de recherche, au détriment de ceux de ses concurrents.

–        Digital Service Act (DSA) et Digital Market Act (DMA) : ces deux règlements européens actualisent les dispositifs législatifs existants. Ils apportent un nouveau cadre harmonisé de règles et de responsabilités légales sur l’espace numérique européen.

Ces dispositifs sont d’autant plus nécessaires que les évolutions technologiques des réseaux (5G, IoT, WiFi 7, notamment) font encore plus appel à l’intelligence disponible dans les réseaux. Ces nouvelles générations accélèrent la dissémination de la donnée dans tous les écosystèmes numériques.

Lire aussi :  » Interview – DAWEX : L’échange de données, levier de croissance des entreprises « 

Souveraineté des données : de l’importance d’agir…vite

Nous vivons dans une ère de profondes mutations technologiques. Les flux de données entre les individus et l’externalisation de l’hébergement dans le cloud s’accélèrent. La multiplication des objets connectés (smartphones, tablettes et autres équipements faisant appel à l’IoT ou à l’intelligence artificielle) donnera à la data une place encore plus grande, donc encore plus stratégique, dans l’activité des entreprises. L’émergence des assistants vocaux, de la robotisation et du machine learning le démontre déjà. Il devient donc crucial de se donner rapidement les moyens d’exercer pleinement notre souveraineté sur les données.

L’écosystème technologique français actuel peut-il garantir la souveraineté des données ?

De nombreux opérateurs nationaux sont déjà présents : des acteurs historiques (Orange), des challengers récents (OVH) et d’autres entreprises dotées de leurs propres filiales Cloud (Outscale pour Dassault Systèmes, et Scaleway pour le groupe Iliad). Tout laisse supposer un développement national – et européen – florissant malgré l’implantation et la puissance des acteurs mondiaux (Microsoft, AWS).

Par ailleurs, à la croissance des usages se corrèle l’augmentation du nombre de datacenters présents en France et en Europe. Outre le fait d’héberger les données sur le sol national, le recours aux data center français (ou européens) offre des avantages techniques : une plus faible latence, des coûts de transport et globaux minimisés, un impact environnemental maitrisé. Les entreprises ont donc tout intérêt à privilégier un hébergement « de proximité » de leurs données.

Plus récemment, l’initiative GAIA-X semblait vouloir retrouver un cadre européen pour les principaux hébergeurs souverains. L’arrivée de certains GAFAM dans l’initiative et le départ quelque temps après d’acteurs historiques souverains interroge sur le futur de GAIA-X et de son impact.

Souveraineté des données : quelles recommandations pour les entreprises ?

Pour les dirigeants d’entreprise, il est plus que temps d’introduire la notion de souveraineté dans le modèle économique de leurs organisations, et de mettre à niveau leurs infrastructures digitales à l’aune de la cybersécurité. Devenues vitales, car participant à la pérennité de l’entreprise, ces deux dimensions doivent être intégrées dans la culture même de l’entreprise.

Pour rappel, les bonnes pratiques à adopter en matière de cybersécurité sont :

  • Réaliser la cartographie du système d’information et des risques cyber

C’est un outil indispensable pour maitriser la sécurité de son SI

  • Identifier les données clients critiques

Les données sensibles doivent être stockées dans un environnement souverain.

  • Former les collaborateurs à l’éducation numérique

L’éducation numérique des collaborateurs passe par des entraînements à la cybersécurité, via une sensibilisation aux risques et une prise en compte des règles propres à la protection du patrimoine numérique.

  • Assurer un hébergement Cloud des données en France et en Europe.

C’est la meilleure recommandation qu’il soit pour cesser d’alimenter les datacenters des grands acteurs américains ou asiatiques avec nos données.

 

Lire aussi :  » Sauvegarde des données : Comment prévenir la perte de data de l’entreprise ? « 

À retenir :

Nous avons la chance de voir émerger un cadre législatif et réglementaire propice à l’exercice de la souveraineté des données au sein de l’Union européenne. Cependant, nous avons tous notre rôle à jouer. Les entreprises doivent rapidement compléter leur arsenal cyber et instaurer une culture de la souveraineté afin de créer un écosystème solide, face à la multiplication des menaces extérieures. Les mutations technologiques laissent également présager une croissance des usages qui viendront consolider une offre d’hébergement des données sur le sol national en cours de développement.

Vous souhaitez en savoir plus sur la souveraineté des données ? Contactez les experts Hub One pour obtenir une réponse personnalisée.

Guillaume de Lavallade
Guillaume de Lavallade

Directeur Général

Depuis mai 2018, Guillaume de Lavallade occupe le poste de Directeur Général chez Hub One. Possédant un esprit sportif, c’est dans la pratique du ski et du running qu’il se dépense. Amateur d’Opéra, son gadget technologique préféré est son enceinte Phantom de Devialet. D’autre part, Guillaume de Lavallade utilise régulièrement l’application de préparation physique 7MWC qui propose un contenu sportif complet en temps limité.
Pour garder une longueur d'avance, abonnez-vous

Besoin de plus d'informations