Souveraineté des données et RGPD [Comprendre la sécurité des données]

Souveraineté des données et RGPD [Comprendre la sécurité des données]

La souveraineté des données peut causer de la confusion pour de nombreux professionnels de la sécurité, nous allons donc couvrir ce que c’est et comment cela se rapporte à la sécurité des données de votre entreprise.

Qu’est-ce que la souveraineté des données?

La souveraineté des données est le concept selon lequel l’information, et la protection et la gestion de cette information, appartient à la nation ou à l’individu dans lequel elle est originaire. C’est la conviction que les données appartenant à un citoyen français, par exemple, ne devraient pas être soumises aux lois et règlements américains simplement parce que les données sont stockées ou traitées par une entreprise américaine. L’entreprise américaine devrait plutôt stocker les données en France et ces données devraient être soumises aux lois françaises ou aux lois de l’Union européenne (EU). Ce concept devient de plus en plus important à l’ère numérique, car le cloud computing et d’autres services nécessitent que des données personnelles et des informations confidentielles soient transférées à travers les frontières.

Pourquoi la souveraineté des données est-elle importante?

La souveraineté des données est importante car elle régule comment les données doivent être gouvernées et sécurisées, spécifiques au pays où elles ont été collectées et non pas là où réside le collecteur.

Les individus bénéficient de la souveraineté des données, car ils sont assurés que leurs données sont sécurisées et protégées contre toute interférence ou accès extérieur. La souveraineté des données peut protéger les données contre l’accès ou l’utilisation non autorisés et garantir que les données ne sont pas utilisées à des fins qui ne sont pas dans l’intérêt de l’entreprise. De plus, la souveraineté des données peut assurer aux entreprises que leurs données, ainsi que celles de leurs clients, seront sécurisées et resteront dans la juridiction où elles ont été créées. Cela peut rendre les entreprises plus confiantes dans l’utilisation du stockage en nuage et d’autres services numériques qui nécessitent le transfert de données à travers les frontières. Enfin, cela peut assurer aux entreprises que leurs données resteront protégées même si elles changent de fournisseur, car les données resteront dans la même juridiction.

Une entreprise qui ne respecte pas les lois sur la souveraineté des données peut être tenue responsable de toute perte monétaire résultant de l’accès ou de l’abus des données. De plus, l’entreprise peut faire face à des répercussions juridiques pour ne pas avoir respecté les lois de confidentialité pertinentes. Le risque de réputation est un autre élément à prendre en compte. Une entreprise peut subir des dommages dans le tribunal de l’opinion publique si les clients actuels et potentiels prennent conscience de l’échec de l’entreprise à protéger les données des clients.

Les organisations rencontrent plusieurs problèmes dans l’interprétation de la souveraineté des données. La souveraineté est une réglementation spécifique à chaque État qui exige que les informations collectées et traitées dans un pays doivent rester dans les limites de ce pays et doivent respecter les lois de ce pays.

Cela peut donner lieu à des lois complexes, interconnectées et contradictoires que les entreprises doivent suivre. Par exemple, un pays qui collecte des informations dans l’UE pourrait utiliser les serveurs cloud de Microsoft Azure ou de Google. Les deux sont des entreprises américaines régies par la loi américaine, ce qui signifie qu’elles pourraient être soumises à des demandes légales du gouvernement pour divulguer, une violation des lois de l’UE sur la confidentialité des données.

Dans un monde des affaires où le commerce international et le stockage en nuage sont la norme, ces types de situations peuvent mettre les organisations dans des conditions incroyablement difficiles.

Souveraineté des données vs Confidentialité des données vs Localisation des données vs Résidence des données

La souveraineté des données, la confidentialité des données, la localisation des données et la résidence des données sont quatre concepts interconnectés qui jouent un rôle significatif dans le paysage numérique moderne. Alors que le flux mondial d’informations s’accélère rapidement, les entreprises, les gouvernements et les individus doivent naviguer dans ces problèmes complexes pour garantir la conformité aux réglementations et protéger leur vie privée et leur propriété intellectuelle.

Dans un monde des affaires où le commerce international et le stockage en nuage sont la norme, ces types de situations peuvent mettre les organisations dans des conditions incroyablement difficiles.

De plus, certains termes sont souvent confondus avec la souveraineté :

  • Résidence des données : La résidence fait souvent référence aux cas où une entreprise ou une autre organisation stocke des informations dans un lieu géographique spécifique pour trouver des conditions favorables

conformité réglementaire. Cela pourrait inclure le changement de localisations pour montrer que la majorité de leurs opérations commerciales se trouvent dans un autre pays pour des raisons financières.

  • Localisation des données: Dans le sens le plus strict du terme, la localisation fait référence à l’exigence que les données créées dans un lieu spécifique restent à cet endroit. Cela peut inclure des réglementations de conformité, telles que le Règlement général sur la protection des données de l’Union européenne (RGPD), concernant les données personnelles relatives aux citoyens d’un pays qui exigent que les organisations conservent ces informations sur des serveurs locaux et limitent ou interdisent la transmission en dehors des frontières nationales.
  • Souveraineté des données autochtones: Une branche de la souveraineté, la souveraineté autochtone s’applique spécifiquement aux droits des nations autochtones aux États-Unis, au Canada et en Australie (entre autres pays) de gérer la confidentialité de leurs propres informations.

Considérations clés et défis liés à la souveraineté des données

La souveraineté des données fait référence au concept selon lequel les données numériques sont soumises aux lois et réglementations du pays dans lequel elles sont stockées. Cela signifie que lorsque les données sont physiquement situées à l’intérieur des frontières d’un pays, le gouvernement a compétence sur elles et peut appliquer ses politiques de protection des données. Ce principe est particulièrement important pour les organisations opérant à travers les frontières internationales, car elles doivent se conformer aux règles de chaque juridiction où leurs données résident.

Conformité légale et réglementaire pour la souveraineté des données

L’un des principaux défis de la souveraineté des données est le besoin pour les organisations de se conformer à des exigences légales et réglementaires diverses dans différents pays. Cela peut inclure le respect des lois sur la protection des données, des réglementations spécifiques à l’industrie et des accords internationaux. La non-conformité peut entraîner des amendes importantes, des actions en justice et un préjudice à la réputation, ce qui rend crucial pour les entreprises de planifier soigneusement leurs stratégies de gestion des données.

Cas emblématiques établissant la souveraineté des données

L’émergence de la souveraineté en tant que concept juridique à l’échelle mondiale peut être retracée jusqu’au programme PRISM, un programme d’observation et de collecte d’informations clandestines exploité par l’Agence de sécurité nationale qui a été exposé par Edward Snowden.

PRISM et le U.S. PATRIOT Act

L’Administration de la Sécurité Nationale (NSA) observe et collecte des informations, y compris des textes, des images, des films, des appels téléphoniques, des détails de réseaux sociaux, et des appels vidéo sur diverses plateformes et fournisseurs. En dehors de sa légalité douteuse, les États-Unis collectaient également des informations provenant de ressortissants étrangers pris dans le filet.

Parallèlement au programme PRISM, le U.S. PATRIOT Act a donné au gouvernement américain le droit de collecter des données sur n’importe quel serveur situé physiquement à l’intérieur des frontières américaines, ce qui inclut souvent des informations étrangères régies par différents types de lois sur la confidentialité et la sécurité.

Microsoft vs. Les États-Unis

Bien que cette affaire n’ait pas établi de normes pour la souveraineté des données dans la loi, elle a commencé la conversation. Une autre affaire, Microsoft Corp vs. Les États-Unis a servi de repère pour le concept.

En 2013, le Département de la Justice des États-Unis a cherché à collecter des informations sur les serveurs de Microsoft concernant des affaires de trafic de drogues en cours d’investigation. Microsoft a refusé parce que les informations étaient stockées dans un centre en Irlande, hors de la juridiction américaine (selon Microsoft) et soumises aux lois irlandaises sur les données.

Microsoft a perdu le premier défi juridique mais a fait appel à la 2e Cour d’appel des États-Unis, qui a été en désaccord avec les conclusions et a renvoyé l’affaire à la Cour suprême des États-Unis, pendant laquelle le Congrès a adopté le CLOUD Act. Cette loi stipulait, essentiellement, qu’une entreprise américaine doit remettre des informations liées à l’application de la loi, quel que soit l’endroit où ces informations sont stockées. Cependant, elle a ajouté des exigences spécifiques pour la protection des informations des ressortissants étrangers dont les informations existent sur des serveurs exploités par des entreprises américaines dans des juridictions non américaines, spécifiquement dans les cas où les États-Unis ont des lois de partage de données en place avec ces pays.

Le CLOUD Act a également défini des normes pour les pays étrangers cherchant à accéder aux informations hébergées aux États-Unis, sous réserve de la surveillance des tribunaux américains et de la démonstration du mérite légal et probatoire.

Comment la souveraineté des données se rapporte-t-elle au RGPD ?

Le RGPD a été promulgué dans les pays de l’UE participants en 2018, et a établi des normes strictes pour la protection de la vie privée et de la propriété des informations des consommateurs. Ces lois ont également couvert la souveraineté.

Selon le RGPD, toute information collectée auprès des citoyens de l’UE doit résider dans des serveurs situés dans des juridictions de l’UE ou dans des pays ayant une portée et une rigueur similaires dans leurs lois de protection. De cette façon, les informations seront soumises aux lois strictes de sécurité de l’UE et les citoyens resteront sous cette protection.

Plus précisément, cette loi s’applique à la fois aux processeurs et aux contrôleurs, ce qui signifie que les entreprises qui collectent des informations et celles qui offrent des services pour la collecte de données sont soumises à cette loi.

Qu’est-ce que cela signifie pour les fournisseurs et les entreprises en dehors de l’UE ? Si vous opérez dans l’UE ou que vous servez des entreprises en collectant des informations auprès des citoyens de l’UE, vous êtes soumis au RGPD. La violation de ce règlement pourrait entraîner des amendes allant jusqu’à 4% de votre chiffre d’affaires annuel global.

Comment aborder la souveraineté des données avec les fournisseurs de services cloud

Inutile de dire que si vous travaillez avec une base de clients internationale, ou que vous opérez dans des pays étrangers, alors la souveraineté des données est un aspect important de votre entreprise.

Dans cet esprit, plusieurs facteurs doivent être pris en compte par votre organisation :

  • Emplacements des serveurs : Il devrait y avoir des emplacements clairs et convenus pour le stockage et le traitement. Certains fournisseurs de cloud tenteront de diviser la couverture du cloud par “région” pour maintenir la flexibilité, donc plus ces fournisseurs peuvent être précis, mieux c’est.
  • Juridiction locale et lois sur la vie privée : Votre organisation devrait avoir une bonne compréhension des lois de confidentialité et des lois applicables à ces informations. Ces lois pourraient affecter la manière dont ces informations sont gouvernées en entrant ou en sortant de ce pays, et si ces types de transferts de fichiers sont même légaux.
  • Cartographier la propriété des données et les droits des consommateurs :En plus des lois sur la vie privée et la sécurité, vous devriez avoir une bonne compréhension des droits des consommateurs. Par exemple, les informations protégées par le RGPD donnent la propriété au consommateur, ce qui signifie que ces individus peuvent exiger que leurs informations leur soient fournies ou supprimées. Des réglementations comme le RGPD — ou plus récemment la California Consumer Privacy Act (CCPA) — imposent des limites strictes sur la manière dont ces informations peuvent être traitées et utilisées.
  • Déterminer les outils de gouvernance de l’information : Tout fournisseur de cloud ou de services doit également fournir des fonctionnalités critiques de gouvernance de l’information telles que des journaux d’audit complets, la conservation, les outils de remédiation et des analyses avancées.

Gestion des données conforme et sécurisée avec Kiteworks

La plateforme Kiteworks fournit des contrôles de sécurité technologiques et indépendants de l’industrie qui répondent aux exigences de gouvernance, de conformité et de sécurité de presque toutes les applications. Des fonctionnalités comme les journaux immuables, le transfert sécurisé de fichiers et les analyses commerciales soutiennent les entreprises jonglant avec des réglementations complexes tout en maintenant les opérations de l’entreprise.

Pour soutenir de telles opérations, la plateforme Kiteworks dispose des fonctionnalités suivantes :

  • Sécurité et conformité : Kiteworks utilise le chiffrement AES-256 pour les données au repos et TLS 1.2+ pour les données en transit. L’appliance virtuelle durcie de la plateforme, les contrôles granulaires, l’authentification et d’autres intégrations de pile de sécurité, et la journalisation et l’audit complets permettent aux organisations de protéger les données sensibles tout en assurant une gouvernance et une conformité efficaces.
  • Partage de fichiers sécurisé : Kiteworks prend en charge le partage de fichiers sécurisé pour la gestion des risques des tiers ( TPRM ), permettant aux organisations de partager des données confidentielles, telles que des informations personnellement identifiables (PII), des informations de santé protégées (PHI) et des propriétés intellectuelles (IP), avec des tiers tout en respectant les réglementations de l’industrie et du gouvernement, telles que la loi sur la portabilité et la responsabilité de l’assurance maladie ( HIPAA ), les normes fédérales de traitement de l’information ( FIPS), et Cybersecurity Maturity Model Certification (CMMC), entre autres.
  • Intégration SIEM: Les organisations peuvent maintenir leurs environnements sécurisés en intégrant les métadonnées des communications de contenu sensible avec les données de gestion des informations et des événements de sécurité (SIEM) pour des alertes, des journaux et des réponses à des événements unifiés. Les intégrations comprennent IBM QRadar, ArcSight, FireEye Helix, LogRhythm, entre autres.. Kiteworks a également une intégration avec le Forwarder Splunk et l’application Splunk.
  • Audit des journaux: Kiteworks permet la tenue de journaux d’audit immuables, permettant aux organisations de faire confiance qu’elles peuvent détecter les attaques plus tôt tout en maintenant la bonne chaîne de preuves pour effectuer des analyses judiciaires. Étant donné que la plateforme fusionne et standardise les métadonnées de plusieurs canaux de communication de contenu sensible, ses alertes et journaux Syslog unifiés font gagner un temps précieux aux équipes du centre d’opérations de sécurité (SOC) et aident les équipes de conformité à se préparer pour les audits.
  • Environnement cloud à locataire unique: Les transferts de fichiers, le stockage de fichiers et l’accès aux fichiers se produisent sur une instance Kiteworks dédiée, déployée sur des ressources de Logging-as-a-Service, ou hébergée dans le cloud par le serveur Cloud Kiteworks. Cela signifie qu’il n’y a pas de partage de temps d’exécution, de bases de données ou de référentiels, de ressources, ou de potentiel pour des violations ou des attaques inter-cloud.
  • Visibilité et gestion des données: Le tableau de bord CISO dans la plateforme Kiteworks donne aux organisations un aperçu de leurs données : où elles se trouvent, qui y accède, comment elles sont utilisées et si elles sont conformes. Aidez vos dirigeants d’entreprise à prendre des décisions éclairées, et votre direction de la conformité à maintenir les exigences réglementaires.

Obtenez plus de détails sur comment Kiteworks permet aux organisations de gérer la souveraineté des données, en centralisant les métadonnées pour toutes les communications de contenu sensible dans une seule vue en planifiant une demonstration personnalisée aujourd’hui.

Ressources supplémentaires

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks