Beyond GDPR: Why Data Sovereignty Matters Globally

See French translation below (Voir la traduction française ci-dessous)

As organizations become increasingly global and interconnected, issues surrounding data privacy have become more complex. 

A company may be based in France, but it may leverage the tools of U.S.-based companies like Google or Amazon to store and transmit sensitive data. If that France-based company stores customer information on a server that happens to be based in the U.S., where does that data really reside, who owns it, and what regulations should it be subject to? 

Many countries and regions are taking a firm stance to create guidelines around those questions in order to protect private data. With regulations like the European Union’s General Data Protection Regulation (GDPR) setting the bar for data privacy protection, it’s more important than ever for companies to proactively safeguard their sensitive customer and employee data, everywhere it’s stored and shared.

What Is Data Sovereignty?

Data Sovereignty means that data is subject to the laws and regulations of the geographic location where that data is collected and processed. Data sovereignty is a country-specific requirement that data must remain within the borders of the jurisdiction where it originated. At its core, data sovereignty is about protecting sensitive, private data and ensuring it remains under the control of its owner. 

To revisit the example of a France-based company using a U.S.-based cloud provider such as Google, that data would be subject to French law, but in reality, it’s also subject to U.S. law because it’s processed by an American company—even if the data is stored in a European data center. If Google were to receive a CLOUD Act subpoena or a Department of Justice request, Google is legally required to provide that information to the government. For the French company, that would be a breach in data sovereignty. 

However, if that data is encrypted with a solution like Virtru’s end-to-end Google Workspace encryption, it remains protected and inaccessible to Google, the U.S. government, and everyone else—including Virtru. If the French company manages the encryption keys that unlock access to the data, they remain in full control of how their data is used, maintaining data sovereignty. Because the data was encrypted, with the keys also managed locally (in country, on premises), data sovereignty remains protected. 

The most famous regulation related to data sovereignty is GDPR, which made waves when it took effect in 2018. In order to be GDPR compliant, organizations must implement and maintain “reasonable security” procedures and protections to protect EU citizens’ and residents’ private data from authorized access — in addition to taking several other data collection and protection measures. In the U.S., the California Consumer Privacy Act (CCPA) has a similar objective to give California residents greater control over how their data is used and stored.  

These regulations intersect with data sovereignty when data is collected, processed, or stored outside the country or jurisdiction of the consumers these laws protect. In the case of GDPR, EU citizens’ and residents’ private data is protected by the same regulations, regardless of what company collects and stores this data (or where that company is located). Companies based in the U.S., China, or India are subject to the same compliance requirements—and noncompliance consequences—as companies based in the EU.

How Encryption Helps Global Companies Maintain Data Sovereignty

It’s a reality that most companies will have to share sensitive information outside the jurisdiction where they’re located—so how can companies achieve global scale while adhering to data sovereignty and remaining compliant with regulations like GDPR and CCPA? 

By encrypting sensitive data and hosting their own encryption keys, organizations can ensure their customers’ private information remains protected, everywhere it’s shared or stored. End-to-end encryption ensures this sensitive data is protected across its entire life cycle, in accordance with data sovereignty, from the time that data is collected until the time a customer opts out. 

Virtru’s end-to-end encryption solutions satisfy data sovereignty requirements by protecting sensitive data at the time of creation and providing the ability to store encryption keys in their required geographic region while allowing the organization to continue using the multinational cloud vendor of their choice. 

Encrypting data at the object level—protecting each individual data file and email in its own protective wrapper—ensures that private information remains private, and that it can only be accessed by those that are authorized to do so.

Unlocking Global Cloud Partnerships with End-to-End Encryption

Protecting private data isn’t just the right thing to do: It’s also a smart business decision. Encrypting sensitive data in line with compliance standards opens up a world of global opportunity, giving companies the confidence to select the global cloud partners that best meet their needs, while maintaining complete ownership over their data. 

Virtru’s object-level encryption protects data across the entire supply chain, protecting organizations from breaches and expensive noncompliance penalties. To see how your organization can maintain data sovereignty, contact Virtru today.

 

Au-delà du RGPD : pourquoi la souveraineté des données est importante à l’échelle mondiale

Alors que les organisations deviennent de plus en plus globales et interconnectées, les problèmes liés à la confidentialité des données sont devenus plus complexes. 

Une entreprise peut être basée en France, mais elle peut tirer parti de solutions d’entreprises basées aux États-Unis comme Google ou Amazon pour stocker et transmettre des données sensibles. Si cette société basée en France stocke ses informations clients sur un serveur qui se trouve être basé aux États-Unis, où ces données résident réellement, à qui appartiennent-elles et à quelles réglementations doivent-elles être soumises ? 

De nombreux pays et régions adoptent une position ferme pour créer des lignes directrices sur ces questions afin de protéger les données privées. Avec des réglementations telles que le règlement de l’Union Européenne au sujet du règlement général sur la protection des données (RGPD ou GDPR en Anglais) qui fixe la barre en matière de protection de la confidentialité des données, il est plus important que jamais pour les entreprises de protéger de manière proactive les données sensibles de leurs clients et employés, partout où elles sont stockées et partagées.

Qu’est-ce que la souveraineté des données ?

La souveraineté des données signifie que les données sont soumises aux lois et règlements de l’emplacement géographique où ces données sont collectées et traitées. La souveraineté des données est une exigence spécifique au pays selon laquelle les données doivent rester à l’intérieur des frontières de la juridiction d’où elles proviennent. Fondamentalement, la souveraineté des données consiste à protéger les données sensibles et privées et à s’assurer qu’elles restent sous le contrôle de leur propriétaire. 

Pour reprendre l’exemple d’une entreprise basée en France utilisant un fournisseur de cloud américain tel que Google, ces données seraient soumises au droit français, mais en réalité, elles sont également soumises au droit américain car elles sont traitées par une entreprise américaine – et ce même si les données sont stockées dans un centre de données européen. Si Google reçoit une requête ou assignation à comparaître ou encore une demande du ministère de la Justice par le biais du US Cloud Act, Google est légalement tenu de fournir ces informations au gouvernement ou à la justice américaine. Pour l’entreprise française, ce serait une violation de la souveraineté des données. 

Cependant, si ces données sont chiffrées avec une solution telle que le chiffrement de bout en bout de Google Workspace de Virtru, elles restent protégées et inaccessibles à Google, au gouvernement américain et à tout le monde, y compris Virtru. Si l’entreprise française gère les clés de chiffrement qui débloquent l’accès aux données, elle garde le contrôle total de l’utilisation de ses données, en maintenant leur souveraineté. Les données étant chiffrées, les clés étant également gérées localement (dans le pays, sur site), la souveraineté des données reste réelle et applicable. 

Le règlement le plus connu en matière de souveraineté des données est le RGPD, qui a fait des vagues lors de son entrée en vigueur en 2018. Afin d’être conformes au RGPD, les organisations doivent mettre en œuvre et maintenir des procédures et des protections de « sécurité raisonnable » pour protéger les données privées des citoyens et résidents de l’UE d’un accès autorisé – en plus de prendre plusieurs autres mesures de collecte et de protection de celles-ci. Aux États-Unis, la California Consumer Privacy Act (CCPA) a un objectif similaire: donner aux résidents californiens un plus grand contrôle sur la façon dont leurs données sont utilisées et stockées.  

Ces réglementations recoupent la souveraineté des données lorsque les données sont collectées, traitées ou stockées en dehors du pays ou de la juridiction des consommateurs que ces lois protègent. Dans le cas du RGPD, les données privées des citoyens et résidents de l’UE sont protégées par les mêmes réglementations, quelle que soit l’entreprise qui collecte et stocke ces données (ou où se trouve cette entreprise). Les entreprises basées aux États-Unis, en Chine ou en Inde sont soumises aux mêmes exigences de conformité – et aux mêmes conséquences de non-conformité – que les entreprises basées dans l’UE.

Comment le chiffrement aide les entreprises à maintenir la souveraineté des données ?

Si c’est une réalité que la plupart des entreprises devront partager des informations sensibles en dehors de la juridiction où elles se trouvent, comment ces entreprises peuvent-elles atteindre une couverture mondiale tout en adhérant à la souveraineté des données et en se conformant aux réglementations telles que RGPD ? 

En chiffrant les données sensibles et en hébergeant leurs propres clés de chiffrement, les entreprises peuvent garantir que les informations privées de leurs clients et de leurs employés restent protégées, partout où elles sont partagées ou stockées. Le chiffrement de bout en bout garantit que ces données sensibles sont protégées tout au long de leur cycle de vie, conformément à la souveraineté des données, à partir du moment où elles sont collectées jusqu’au moment où elles ne sont plus nécessaires pour l’entreprise. 

Les solutions de chiffrement de bout en bout de Virtru répondent aux exigences de souveraineté des données en protégeant les données sensibles dès leur création et en offrant la possibilité de stocker les clés de chiffrement dans la région géographique requise (comme la France) tout en permettant à l’organisation de continuer à utiliser le fournisseur de cloud international de son choix. 

Le chiffrement des données au niveau de l’objet même – en protégeant chaque données et chaque courrier électronique avec sa propre enveloppe de sécurité – garantit que les informations privées restent privées et qu’elles ne sont accessibles que par ceux qui sont autorisés à le faire, leur créateur en l’occurrence.

Débloquer des partenariats cloud mondiaux avec un chiffrement de bout en bout

La protection des données privées n’est pas seulement la seule bonne chose à faire : c’est aussi une décision commerciale intelligente. Le chiffrement des données sensibles conformément aux normes de conformité ouvre un monde d’opportunités mondiales, donnant aux entreprises la confiance nécessaire pour sélectionner les partenaires cloud mondiaux qui répondent le mieux à leurs besoins, tout en conservant la propriété complète de leurs données. 

Le chiffrement au niveau objet de Virtru pour chaque donnée les protège tout au long de leur vie numérique, protégeant de fait les entreprises contre les violations et les pénalités de non-conformité coûteuses. Pour voir comment votre organisation peut mettre en place et maintenir cette souveraineté des données, contactez Virtru dès aujourd’hui.

Subscribe to Our Newsletter

Connect With Us

Purchase Virtru email encryption for your organization.

Dive Deeper