Souveraineté des données
Qu'est-ce que Souveraineté des données ?
Souveraineté des donnéesPrincipe selon lequel les données sont soumises aux lois et structures de gouvernance du pays dans lequel elles sont collectées, stockées ou traitées, indépendamment du siège du fournisseur.
La souveraineté des données va au-delà de la résidence en affirmant un contrôle juridictionnel : quels tribunaux, régulateurs et pouvoirs d'accès (par exemple le CLOUD Act américain, la loi chinoise sur la sécurité nationale ou le RGPD) peuvent imposer la divulgation, prévaloir sur les contrats ou exiger une localisation. Les réponses techniques incluent les régions de cloud souverain opérées par des entités locales, les clés client avec HSM hors de portée du fournisseur, le confidential computing, et des dispositifs comme European Data Boundary, C5, SecNumCloud, IRAP. Elle structure aussi des initiatives comme EUCS, GAIA-X et le cadre Data Privacy Framework UE-États-Unis dans le sillage de l'arrêt Schrems II.
● Exemples
- 01
Charges de travail du secteur public hébergées uniquement dans une région cloud souveraine opérée par une entité nationale.
- 02
Conserver les clés racines KMS dans un HSM on-premise pour empêcher un fournisseur cloud de déchiffrer les données.
● Questions fréquentes
Qu'est-ce que Souveraineté des données ?
Principe selon lequel les données sont soumises aux lois et structures de gouvernance du pays dans lequel elles sont collectées, stockées ou traitées, indépendamment du siège du fournisseur. Cette notion relève de la catégorie Confidentialité et protection des données en cybersécurité.
Que signifie Souveraineté des données ?
Principe selon lequel les données sont soumises aux lois et structures de gouvernance du pays dans lequel elles sont collectées, stockées ou traitées, indépendamment du siège du fournisseur.
Comment fonctionne Souveraineté des données ?
La souveraineté des données va au-delà de la résidence en affirmant un contrôle juridictionnel : quels tribunaux, régulateurs et pouvoirs d'accès (par exemple le CLOUD Act américain, la loi chinoise sur la sécurité nationale ou le RGPD) peuvent imposer la divulgation, prévaloir sur les contrats ou exiger une localisation. Les réponses techniques incluent les régions de cloud souverain opérées par des entités locales, les clés client avec HSM hors de portée du fournisseur, le confidential computing, et des dispositifs comme European Data Boundary, C5, SecNumCloud, IRAP. Elle structure aussi des initiatives comme EUCS, GAIA-X et le cadre Data Privacy Framework UE-États-Unis dans le sillage de l'arrêt Schrems II.
Comment se défendre contre Souveraineté des données ?
Les défenses contre Souveraineté des données combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Souveraineté des données ?
Noms alternatifs courants : Juridiction des données, Souveraineté numérique.
● Termes liés
- privacy№ 283
Résidence des données
Exigence selon laquelle les données sont stockées physiquement, voire traitées, dans un pays ou une région donnés, sous l'effet de contrats, exigences clients ou réglementations sectorielles.
- privacy№ 276
Classification des données
Processus d'étiquetage des données selon leur sensibilité et leur valeur, afin d'appliquer de manière cohérente les contrôles de protection, de manipulation et de conservation.
- compliance№ 440
RGPD
Règlement général sur la protection des données de l'Union européenne, encadrant le traitement des données personnelles des personnes situées dans l'UE et l'EEE.
- privacy№ 856
Privacy by Design
Approche d'ingénierie et de gouvernance intégrant la confidentialité dans les systèmes, processus et paramètres par défaut dès les premières phases de conception, et non a posteriori.
- privacy№ 284
Conservation des données
Politiques et contrôles définissant pendant combien de temps les différentes catégories de données sont conservées et quand elles sont supprimées, archivées ou anonymisées de manière sécurisée.
- privacy№ 210
Gestion du consentement
Processus et outils permettant de recueillir, enregistrer, rafraîchir et appliquer les autorisations des utilisateurs pour le traitement des données personnelles et le dépôt de cookies, conformément à la loi.