Alors que les organisations deviennent de plus en plus globales et interconnectées, les problèmes liés à la confidentialité des données sont devenus plus complexes.
Une entreprise peut être basée en France, mais elle peut tirer parti de solutions d’entreprises basées aux États-Unis comme Google ou Amazon pour stocker et transmettre des données sensibles. Si cette société basée en France stocke ses informations clients sur un serveur qui se trouve être basé aux États-Unis, où ces données résident réellement, à qui appartiennent-elles et à quelles réglementations doivent-elles être soumises ?
De nombreux pays et régions adoptent une position ferme pour créer des lignes directrices sur ces questions afin de protéger les données privées. Avec des réglementations telles que le règlement de l’Union Européenne au sujet du règlement général sur la protection des données (RGPD ou GDPR en Anglais) qui fixe la barre en matière de protection de la confidentialité des données, il est plus important que jamais pour les entreprises de protéger de manière proactive les données sensibles de leurs clients et employés, partout où elles sont stockées et partagées.
Qu’est-ce que la souveraineté des données ?
La souveraineté des données signifie que les données sont soumises aux lois et règlements de l’emplacement géographique où ces données sont collectées et traitées. La souveraineté des données est une exigence spécifique au pays selon laquelle les données doivent rester à l’intérieur des frontières de la juridiction d’où elles proviennent. Fondamentalement, la souveraineté des données consiste à protéger les données sensibles et privées et à s’assurer qu’elles restent sous le contrôle de leur propriétaire.
Pour reprendre l’exemple d’une entreprise basée en France utilisant un fournisseur de cloud américain tel que Google, ces données seraient soumises au droit français, mais en réalité, elles sont également soumises au droit américain car elles sont traitées par une entreprise américaine – et ce même si les données sont stockées dans un centre de données européen. Si Google reçoit une requête ou assignation à comparaître ou encore une demande du ministère de la Justice par le biais du US Cloud Act, Google est légalement tenu de fournir ces informations au gouvernement ou à la justice américaine. Pour l’entreprise française, ce serait une violation de la souveraineté des données.
Cependant, si ces données sont chiffrées avec une solution telle que le chiffrement de bout en bout de Google Workspace de Virtru, elles restent protégées et inaccessibles à Google, au gouvernement américain et à tout le monde, y compris Virtru. Si l’entreprise française gère les clés de chiffrement qui débloquent l’accès aux données, elle garde le contrôle total de l’utilisation de ses données, en maintenant leur souveraineté. Les données étant chiffrées, les clés étant également gérées localement (dans le pays, sur site), la souveraineté des données reste réelle et applicable.
Le règlement le plus connu en matière de souveraineté des données est le RGPD, qui a fait des vagues lors de son entrée en vigueur en 2018. Afin d’être conformes au RGPD, les organisations doivent mettre en œuvre et maintenir des procédures et des protections de « sécurité raisonnable » pour protéger les données privées des citoyens et résidents de l’UE d’un accès autorisé – en plus de prendre plusieurs autres mesures de collecte et de protection de celles-ci. Aux États-Unis, la California Consumer Privacy Act (CCPA) a un objectif similaire: donner aux résidents californiens un plus grand contrôle sur la façon dont leurs données sont utilisées et stockées.
Ces réglementations recoupent la souveraineté des données lorsque les données sont collectées, traitées ou stockées en dehors du pays ou de la juridiction des consommateurs que ces lois protègent. Dans le cas du RGPD, les données privées des citoyens et résidents de l’UE sont protégées par les mêmes réglementations, quelle que soit l’entreprise qui collecte et stocke ces données (ou où se trouve cette entreprise). Les entreprises basées aux États-Unis, en Chine ou en Inde sont soumises aux mêmes exigences de conformité – et aux mêmes conséquences de non-conformité – que les entreprises basées dans l’UE.
Comment le chiffrement aide les entreprises à maintenir la souveraineté des données ?
Si c’est une réalité que la plupart des entreprises devront partager des informations sensibles en dehors de la juridiction où elles se trouvent, comment ces entreprises peuvent-elles atteindre une couverture mondiale tout en adhérant à la souveraineté des données et en se conformant aux réglementations telles que RGPD ?
En chiffrant les données sensibles et en hébergeant leurs propres clés de chiffrement, les entreprises peuvent garantir que les informations privées de leurs clients et de leurs employés restent protégées, partout où elles sont partagées ou stockées. Le chiffrement de bout en bout garantit que ces données sensibles sont protégées tout au long de leur cycle de vie, conformément à la souveraineté des données, à partir du moment où elles sont collectées jusqu’au moment où elles ne sont plus nécessaires pour l’entreprise.
Les solutions de chiffrement de bout en bout de Virtru répondent aux exigences de souveraineté des données en protégeant les données sensibles dès leur création et en offrant la possibilité de stocker les clés de chiffrement dans la région géographique requise (comme la France) tout en permettant à l’organisation de continuer à utiliser le fournisseur de cloud international de son choix.
Le chiffrement des données au niveau de l’objet même – en protégeant chaque données et chaque courrier électronique avec sa propre enveloppe de sécurité – garantit que les informations privées restent privées et qu’elles ne sont accessibles que par ceux qui sont autorisés à le faire, leur créateur en l’occurrence.
Débloquer des partenariats cloud mondiaux avec un chiffrement de bout en bout
La protection des données privées n’est pas seulement la seule bonne chose à faire : c’est aussi une décision commerciale intelligente. Le chiffrement des données sensibles conformément aux normes de conformité ouvre un monde d’opportunités mondiales, donnant aux entreprises la confiance nécessaire pour sélectionner les partenaires cloud mondiaux qui répondent le mieux à leurs besoins, tout en conservant la propriété complète de leurs données.
Le chiffrement au niveau objet de Virtru pour chaque donnée les protège tout au long de leur vie numérique, protégeant de fait les entreprises contre les violations et les pénalités de non-conformité coûteuses. Pour voir comment votre organisation peut mettre en place et maintenir cette souveraineté des données, contactez Virtru dès aujourd’hui.
