Souveraineté des données et hébergement des données : quelle est la différence ?
La souveraineté des données est le principe selon lequel les nations ont une autorité légale et réglementaire sur les données générées ou traitées à l’intérieur de leurs frontières nationales. L’hébergement des données fait référence à l’emplacement géographique des données, ou au lieu physique où se trouvent les centres de données, les serveurs ou autres systèmes qui stockent ou traitent les données.
La principale distinction est que la souveraineté des données est un concept juridique, tandis que leur hébergement est une catégorie géographique. Mais les deux concepts sont étroitement liés.
Cet hébergement détermine souvent la souveraineté des données. Ainsi, si une entreprise stocke des données dans un centre de données en Irlande, ces données sont hébergées en Irlande. L’Irlande a donc la souveraineté sur ces données. L’entreprise doit se conformer à toutes les lois sur la protection des données, la confidentialité des données et toute autre exigence réglementaire imposée par le gouvernement irlandais.
Cela dit, l’hébergement n’est pas le seul facteur permettant de déterminer qui a compétence sur les données. D’autres facteurs, tels que le lieu où les données ont été initialement collectées ou la personne à laquelle elles se rapportent, peuvent également être pris en compte.
La souveraineté et l’hébergement des données sont des concepts importants de gouvernance des données pour les organisations d’aujourd’hui. Les entreprises collectent et traitent plus de données que jamais auparavant, et elles ont souvent recours au cloud computing et aux applications SaaS (logiciel en tant que service) pour ce faire.
Cela se traduit par une augmentation massive des flux de données internationaux. Les entreprises peuvent collecter des données auprès de personnes dans un pays, les stocker dans un centre de données dans un deuxième pays et les traiter avec une application basée sur le cloud s’exécutant dans un troisième pays. Les données peuvent être soumises à des exigences légales différentes dans chacun de ces pays.
Les entreprises ont besoin de savoir où se trouvent leurs données à chaque étape de leur cycle de vie, et quelles règles suivre dans chaque région. Le non-respect des lois portant sur la protection des données peut entraîner de lourdes sanctions.
Renforcez vos renseignements de sécurité
Gardez une longueur d’avance sur les menaces grâce à l’actualité et aux réflexions sur la sécurité, l’IA et bien plus encore, dans la newsletter hebdomadaire Think.
L’hébergement des données est l’emplacement physique des données. On dit que les données sont hébergées dans un pays, un État ou un lieu particulier si les centres de données, les serveurs ou autres machines qui hébergent ou traitent les données sont physiquement situés à cet endroit.
Les données d’une entreprise pouvant être très mobiles, les données d’une même organisation peuvent avoir plusieurs hébergements.
Supposons qu’une entreprise basée aux États-Unis collecte des données personnelles auprès de consommateurs américains et stocke ces données sur des serveurs situés aux États-Unis. Les données sont donc clairement hébergées aux États-Unis.
Supposons maintenant que la même organisation utilise une application SaaS pour traiter ces données et que les serveurs de l’application sont situés au Canada. Toutes les données transférées vers les serveurs canadiens pour traitement pourraient désormais être hébergées au Canada et relever des lois canadiennes sur les données.
Les exigences en matière d’hébergement des données découlent souvent des politiques internes d’une organisation ou d’engagements contractuels, indépendamment de toute exigence réglementaire en matière d’emplacement des données.
Cependant, les entreprises n’ont pas toujours le choix de l’emplacement de leurs données. Certaines régions ont des lois imposant des exigences de localisation des données, qui obligent les organisations à conserver ou à traiter leurs données dans un endroit particulier.
Hébergement et localisation des données
Bien que ces termes soient parfois utilisés de manière interchangeable, ils renvoient à deux concepts distincts. L’hébergement des données décrit le lieu où les données sont conservées. La localisation des données fait référence aux exigences légales de conserver les données là où elles ont été créées, c’est-à-dire de les conserver localement.
Certains pays imposent des exigences de localisation des données, en vertu desquelles les entreprises doivent conserver les données créées dans ce pays à l’intérieur de ses frontières. Ces dispositions peuvent aller de la simple conservation d’une copie des données dans le pays à l’interdiction de les transférer en dehors du pays.
La souveraineté des données est le principe selon lequel les données sont soumises aux lois du pays ou de la région où elles sont générées ou traitées. Le pays qui est « souverain » d’une donnée exerce le contrôle légal sur cette dernière, y compris à des fins de sécurité nationale.
La souveraineté des données est souvent conditionnée par leur hébergement. Si les données sont hébergées dans un endroit, elles sont généralement soumises aux lois locales.
Certaines lois sur la souveraineté des données suivent les données, s’appliquant à celles-ci quel que soit leur emplacement. Ainsi, le Règlement général sur la protection des données (RGPD) de l’Union européenne (UE) peut s’appliquer aux données détenues ou traitées en dehors de l’UE si ces données concernent des résidents de ce territoire.
Ainsi, le lieu d’hébergement des données n’est pas le seul élément pertinent, mais aussi le lieu où elles ont été collectées ou la personne à laquelle elles se rapportent.
De la même manière que les données peuvent avoir plusieurs lieux d’hébergement, elles peuvent également relever de plusieurs souverainetés. Par exemple, les données qui résident dans un pays de l’UE doivent respecter les lois locales de ce pays et le RGPD à l’échelle de l’UE.
Les exigences en matière de souveraineté des données varient comme suit :
- Certains pays limitent les types de données sensibles qu’une entreprise peut collecter et la manière dont elle peut le faire.
- D’autres imposent des limites à l’utilisation de certains types de données par les entreprises.
- D’autres encore exigent des contrôles de cybersécurité et des procédures spécifiques en cas de violation de données.
- Certaines réglementations en matière de confidentialité accordent aux personnes concernées de nombreux droits sur leurs données, notamment la possibilité de les faire supprimer.
Le non-respect des obligations en matière de protection des données peut entraîner des amendes ou d’autres sanctions. Cela peut également porter atteinte à votre réputation. Si une entreprise enfreint les règles en matière de protection des données, ses clients peuvent se tourner vers ses concurrents.
Les exigences en matière d’hébergement et de souveraineté des données peuvent influencer les décisions d’une organisation concernant les types de données qu’elle collecte, la manière dont elle les utilise et l’infrastructure informatique qu’elle construit.
Infrastructure cloud
Aujourd’hui, les organisations collectent davantage de types de données (données clients, opérationnelles, transactionnelles) provenant de plus de sources de données (applications Web, systèmes d’entreprise, appareils de l’Internet des objets) dans le monde entier. De nombreuses entreprises ont recours aux services cloud pour le stockage, le traitement et l’analyse des données, ainsi que pour d’autres workloads essentielles.
Lorsque les données circulent dans l’infrastructure informatique connectée au cloud d’une entreprise, elles peuvent traverser de nombreuses frontières. Où qu’elles aillent, elles peuvent être soumises à de nouvelles lois. Lorsqu’elles travaillent avec des fournisseurs de cloud, les entreprises doivent savoir où vont leurs données pour le stockage, la sauvegarde et le traitement.
Les entreprises peuvent choisir de travailler avec des fournisseurs de services cloud public dont l’infrastructure se trouve au même endroit qu’elles. Certaines entreprises s’appuient sur des clouds privés dont le matériel est situé là où elles en ont besoin.
De nombreuses entreprises adoptent une approche multicloud hybride, faisant appel à plusieurs environnements et fournisseurs de cloud public et privé. Cette approche hybride peut aider l’entreprise à bâtir l’infrastructure dont elle a besoin pour se conformer aux diverses lois sur les données en vigueur dans différents endroits.
Les complexités de l’hébergement et de la souveraineté des données dans le cloud ont conduit au développement du cloud souverain, un type de cloud computing conçu pour aider les organisations à se conformer aux exigences légales et réglementaires des différentes régions.
Certaines d’entre elles optent pour des systèmes de données sur site plutôt que pour le stockage et le traitement dans le cloud. La conservation des données sur site peut contribuer à réduire certains problèmes de conformité, mais ces dispositions peuvent également être coûteuses et moins évolutives que le cloud.
Mesures de sécurité des données
Certains pays imposent aux entreprises de prendre certaines mesures pour sécuriser les données, comme la mise en place de contrôles d’accès bien spécifiques et de technologies de détection des menaces.
Si la prévention de l’accès non autorisé aux informations sensibles est déjà une priorité pour la plupart des organisations, l’hébergement et la souveraineté des données peuvent dicter les mesures spécifiques de sécurité des données qu’elles doivent prendre.
Processus de gestion des données
Certaines lois sur les données dictent ce que les organisations peuvent faire avec les données dont elles disposent.
Ainsi, certaines lois interdisent l’utilisation de données sensibles, sauf si des conditions restrictives spécifiques sont remplies. D’autres accordent aux personnes des droits considérables sur leurs données personnelles, y compris le droit de les faire supprimer sur demande.
Les organisations soumises à ces lois doivent mettre en place des mécanismes pour garantir que les données sont exploitées dans le respect des droits des consommateurs.
IA souveraine
Les exigences en matière d’hébergement et de souveraineté des données peuvent avoir des implications pour les workloads d’intelligence artificielle (IA) et de machine learning (ML).
Certains pays restreignent l’utilisation de l’IA sur certains types de données. Par exemple, la loi européenne sur l’IA interdit les systèmes de notation sociale et les systèmes d’IA qui exploitent certaines vulnérabilités, telles que celles liées à l’âge ou au handicap.
De plus, peu d’organisations construisent aujourd’hui leurs propres modèles d’IA à partir de zéro. Beaucoup font appel à des systèmes d’IA de fournisseurs tiers, hébergés dans le cloud. Ces systèmes peuvent introduire les mêmes complexités que d’autres services cloud.
Les préoccupations concernant l’utilisation sûre de l’IA ont suscité un intérêt croissant pour l’IA souveraine, c’est-à-dire les efforts que les nations entreprennent pour développer leurs propres systèmes d’IA et régir l’IA à l’intérieur de leurs frontières.
Les outils de gouvernance de l’IA peuvent aider les organisations à mieux comprendre et contrôler comment et où l’IA est déployée dans leurs infrastructures informatiques. Cette visibilité et ce contrôle accrus permettent aux organisations de s’assurer que leurs applications d’IA et de ML apportent de la valeur tout en respectant les réglementations en vigueur.
Clause d’exclusion de responsabilité : le client est tenu de respecter l’ensemble des lois et des réglementations applicables. IBM ne fournit pas de conseils juridiques et ne déclare ni ne garantit que ses services ou ses produits mettront le client en conformité avec la législation ou la réglementation en vigueur.