<img src="https://ad.doubleclick.net/ddm/activity/src=11631230;type=pagevw0;cat=pw_allpg;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;npa=;gdpr=${GDPR};gdpr_consent=${GDPR_CONSENT_755};ord=1;num=1?" width="1" height="1" alt="">

Data With Borders : L'avenir de la souveraineté numérique

L'agence danoise de protection des données a jugé la semaine dernière que la suite Google Workspace - qui comprend Gmail, Google Docs, Agenda et Google Drive - ne répond pas aux exigences de la réglementation de l'Union européenne sur la confidentialité des données (GDPR).  Plus précisément, les régulateurs ont constaté que l'accord de traitement des données de Google (conditions générales) permettait de transférer les données pertinentes vers les États-Unis dans le but de fournir une assistance, même si elles sont normalement stockées dans l'un des centres de données de Google dans l'UE.  À la suite de cette décision, les systèmes scolaires danois ne pourront plus utiliser Google Workspace pour éduquer les élèves, coordonner les programmes scolaires avec les enseignants et partager des informations avec les parents.

Des produits comme Google Workspace sont essentiels à l'éducation des élèves dans le monde moderne.  En outre, Google Workspace est une plateforme étonnante qui apporte une valeur ajoutée considérable à des milliers d'écoles dans le monde, dont le Sussex Learning Trust, le Kemnal Academies Trust et des universités de renommée mondiale comme l'université Brown.  Alors, pourquoi le Danemark a-t-il suspendu Google Workspace dans ses écoles ?  Il s'agit d'une situation complexe qui se résume à deux faits simples :

  1. L'ère des données sans frontières est terminée.
  2. L'ère de la souveraineté numérique commence

L'ère des données sans frontières touche à sa fin

Pendant de nombreuses années, alors que l'internet connaissait une croissance explosive, les données elles-mêmes existaient dans un monde sans frontières.  Il s'agissait d'un environnement très dynamique et peu réglementé qui a permis à des hypercalculateurs comme Google, Amazon et Microsoft de créer des plateformes en nuage qui ont fourni des services d'infrastructure et d'application à des milliards de personnes dans le monde.  Finalement, d'autres pays ont commencé à se sentir mal à l'aise du fait qu'un petit nombre d'opérateurs de cloud basés aux États-Unis contrôlaient des quantités massives de données provenant de l'intérieur de leurs frontières.  Ils ont donc décidé de faire quelque chose.  Aujourd'hui, l'ère des données sans frontières touche à sa fin.

Aujourd'hui, plus de 50 pays accélèrent leurs efforts pour contrôler les informations numériques produites par leurs citoyens, leurs agences gouvernementales et leurs entreprises.  Poussés par des préoccupations liées à la sécurité et à la protection de la vie privée, ainsi que par des intérêts économiques et la fierté nationale, les gouvernements fixent de plus en plus de règles et de normes sur la manière dont les données peuvent ou non circuler dans le monde.  L'objectif est de gagner la souveraineté sur les données, ce qui représente un changement tectonique dans l'économie mondiale.  Mais ce changement ne s'est pas produit du jour au lendemain.  

En effet, l'ère des données sans frontières a commencé à décliner en 2016 lorsque l'UE a promulgué pour la première fois la réglementation GDPR sur la confidentialité des données.  Cette nouvelle réglementation a mis en branle plusieurs années de saucissonnage qui ont vu les États-Unis et leurs homologues de l'UE négocier différents "accords de partage de données" en vertu desquels les données pouvaient être légalement transférées au-delà des frontières souveraines de l'UE vers les États-Unis sans violer les droits des citoyens européens.  En cours de route, nous avons vu Max Schrems, un militant autrichien de la protection de la vie privée, persuader les tribunaux européens d'annuler la "sphère de sécurité" UE-États-Unis en 2015 (Schrems I).  Puis, à nouveau, en juillet 2020, nous avons vu Schrems convaincre la cour de l'UE que l'accord qui lui a succédé, le Privacy Shield, était également illégal (Schrems II).

L'ère de la souveraineté numérique commence

Aidée en partie par le GDPR et Schrems, la "souveraineté numérique" est une idée qui est devenue de plus en plus populaire au cours de la dernière décennie - non seulement dans les démocraties occidentales, mais dans la plupart des pays du monde.  En effet, dans un monde qui ne s'accorde pas sur grand-chose, la plupart des gens semblent convenir que les citoyens de pays souverains devraient être propriétaires de leurs propres données.  En d'autres termes, la souveraineté numérique consiste à respecter les données et à examiner attentivement la manière dont les informations et les actifs numériques des autres sont traités.  En conséquence, les pays du monde entier prennent des mesures pour mettre en place des "frontières numériques" conçues pour renforcer la protection de la vie privée et les aider à gouverner les données en tant qu'actif souverain.  Ces efforts ont les conséquences suivantes : 

  • Ils créent des environnements juridiques distincts dans lesquels les données peuvent être réglementées par le pays dans lequel elles ont été créées. 
  • Ils incitent les fournisseurs de services en nuage et les innovateurs technologiques à construire de nouveaux centres de données et à développer des contrôles nouveaux et innovants qui facilitent la création de frontières clairement définies autour des données.

Les leaders du secteur technologique sont-ils donc à l'écoute ?  En bref, la réponse est oui.

Ce que font les hyperscalers pour faire progresser la souveraineté des données

Google

Malgré la décision prise hier par les régulateurs danois, Google répond activement à la demande du marché en faveur d'un contrôle renforcé de la souveraineté des données.  Un exemple est l'introduction récente d'un cryptage innovant des données appelé Google Workspace Client Side Encryption (CSE).  Cette nouvelle fonctionnalité aide les clients à renforcer la confidentialité de leurs données stockées dans le Google Cloud tout en répondant à un large éventail d'exigences en matière de souveraineté des données et de conformité.  Avec CSE, Google donne aux clients le contrôle direct des clés de chiffrement et du service d'identité de leur choix pour accéder à ces clés.  Par conséquent, les données des clients stockées dans Google Cloud sont indéchiffrables pour Google, mais les clients peuvent continuer à profiter de la suite de collaboration en nuage de classe mondiale de Google.

Microsoft

Dans un autre exemple de grands acteurs technologiques qui tiennent compte des appels à des contrôles avancés du cloud pour favoriser la souveraineté numérique, Microsoft a lancé hier un nouveau service appelé Microsoft Cloud for Sovereignty.  Microsoft affirme que cette nouvelle solution permettra aux gouvernements d'exploiter des charges de travail dans le cloud Microsoft d'une manière qui offre un plus grand contrôle sur les données afin qu'ils puissent répondre à des exigences spécifiques en matière de gouvernance des données, de contrôles de sécurité, de confidentialité des citoyens et de résidence des données associées à des réglementations comme le GDPR.

AWS

Amazon AWS répond également à la montée en puissance de la souveraineté numérique et aux demandes du marché pour un meilleur contrôle des données.  Plus précisément, afin d'aider les clients européens à se conformer au GDPR, Amazon a annoncé l'année dernière qu'il renforçait ses engagements pour contester les demandes des forces de l'ordre concernant les données des clients qui entrent en conflit avec la législation européenne.  En outre, Amazon a lancé en juillet 2021 deux nouvelles ressources en ligne pour aider les clients à effectuer plus facilement des évaluations de transfert de données et à se conformer au GDPR. Collectivement, ces "fonctionnalités de confidentialité pour les services AWS" permettent aux clients AWS d'autres pays de comprendre facilement si leur utilisation des services AWS implique un quelconque type de transfert de données.

Comment l'innovation de Virtu fait progresser la souveraineté des données

Les grands fournisseurs de cloud computing ne peuvent à eux seuls permettre la souveraineté numérique sans des capacités supplémentaires complétées par des tiers de confiance.  Par exemple, dans le contexte du CSE de Google, les clés nécessaires au cryptage/décryptage des données ne peuvent pas être gérées par Google.  Sinon, Google aurait le pouvoir de décrypter et d'inspecter les données du client.  Par conséquent, afin de séparer le stockage des données dans le nuage du cryptage des données, Google s'est associé à Virtru pour fournir des services de gestion des clés aux clients communs.  En travaillant ensemble, Google et Virtru donnent aux organisations la certitude que leurs données sont toujours cryptées et que Google lui-même n'y aurait jamais accès.

Plus largement, Virtru offre une collection de produits innovants de cryptage des données et de contrôle d'accès qui simplifient remarquablement le partage des données sans sacrifier la confidentialité, la propriété ou le contrôle.  Utilisés par plus de 7 000 clients dans le monde, les produits de chiffrement de données de bout en bout de Virtru s'intègrent élégamment à Google Workspace et Microsoft Office365 et permettent aux organisations basées dans l'UE d'adopter simultanément le cloud computing tout en respectant les recommandations du Conseil européen de la protection des données (EDPB) en matière de "protection supplémentaire suffisante pour répondre aux exigences de souveraineté des données". 

En résumé, avec le chiffrement de bout en bout et les contrôles d'accès aux données de Virtru, les clients peuvent :

  • Adopter des services cloud mondiaux tout en répondant aux exigences de souveraineté des données.
  • Partager librement les données avec des tiers sans sacrifier les droits de propriété ou de confidentialité.
  • Maintenir un contrôle approprié des données qui ont été partagées avec eux par des tiers.
  • S'assurer que les données sensibles ne sont accessibles qu'aux personnes prévues, et à personne d'autre.