Qu’est-ce que la souveraineté des données ?

La souveraineté des données fait référence au fait que les données sont soumises aux lois et réglementations de leur emplacement physique. Il peut s’agir de données en cours de stockage, de traitement ou de transmission, quel que soit l’emplacement physique de l’entreprise.

Toutes les données stockées, traitées et transitées dans un pays, un État, une région ou une juridiction sont soumises aux lois et réglementations applicables en matière d’utilisation des données et de protection de la confidentialité. Les lois sur la souveraineté des données sont créées pour protéger et régir les individus, les organisations et les gouvernements. Les réglementations en matière de protection des données comprennent des règles sur le traitement des données de santé personnelles, des niveaux de sécurité des données pour les informations du secteur public et la mise en place d’un stockage de données local pour les entreprises étrangères.

La résidence des données est l’endroit où les données sont physiquement localisées. La souveraineté des données est la façon dont les lois d’un lieu s’appliquent aux données qui existent physiquement dans ce lieu. La souveraineté et la résidence des données sont particulièrement importantes dans le cloud computing et les services cloud, où il est possible de stocker des données n’importe où dans le monde. 

L’ensemble du stockage, des instances et des services dans le cloud s’exécutent sur des machines physiques liées à un emplacement géographique spécifique. En raison de ces différents environnements réglementaires, les entreprises doivent accorder une attention particulière à l’endroit où se trouvent leurs instances cloud et à l’endroit où les services cloud s’exécutent. La souveraineté des données de ces espaces de stockage et de ces instances est une décision très importante.

La souveraineté des données relève généralement de la fonction de gouvernance, de gestion des risques et de conformité du programme juridique et de cybersécurité d’une organisation.

L’engagement de souveraineté numérique d’AWS est notre engagement à offrir aux clients AWS l’ensemble le plus avancé de contrôles et de fonctionnalités de souveraineté disponibles dans le cloud. Nous vous donnons la possibilité de choisir comment et où vous souhaitez exécuter vos charges de travail pour la localisation des données.

L’engagement de souveraineté numérique d’AWS décrit quatre domaines clés dans lesquels AWS investit dans des capacités visant à aider les clients à répondre à l’évolution de leurs exigences en matière de souveraineté numérique.

Contrôlez l’emplacement de vos données

Les organisations doivent toujours être en mesure de choisir où se trouvent leurs données. AWS a toujours donné aux clients le choix de l’emplacement de leurs données, avec des régions AWS et des zones de disponibilité en Amérique du Nord, en Amérique du Sud, en Europe, au Moyen-Orient, en Afrique, en Asie-Pacifique, en Australie et en Nouvelle-Zélande.

Lorsqu’une région AWS n’est pas suffisamment proche pour répondre à vos besoins en matière de résidence des données, AWS propose diverses offres d’infrastructure distribuée qui offrent une expérience cloud cohérente au sein d’une limite géographique. Avec les régions AWS, AWS Local Zones, les zones locales dédiées AWS, AWS Outposts et AWS Wavelength, vous êtes en mesure d’exécuter vos charges de travail là où elles doivent se trouver.

Contrôle de l’accès aux données

Les organisations doivent mettre en place des protections pour empêcher tout accès non autorisé aux données. Par exemple, le AWS Nitro System est conçu pour appliquer des restrictions afin que personne, y compris personne dans AWS, ne puisse accéder aux charges de travail des clients sur EC2. Les autorisations et restrictions d’accès doivent être définies pour garantir le plus haut niveau de protection des données, en fonction du type de données.

Capacités de chiffrement des données

Les entreprises doivent être en mesure de chiffrer les données en transit, au repos et en mémoire. Les données organisationnelles doivent utiliser le cryptage par défaut, avec l’option d’un cryptage plus fort si vous le souhaitez. Tous les services AWS prennent déjà en charge le chiffrement, la plupart prenant également en charge le chiffrement avec des clés gérées par le client inaccessibles à AWS.

Résilience du cloud

Les organisations doivent être en mesure d’atteindre la souveraineté numérique sans risque de perte de données. Le contrôle de vos données et la haute disponibilité sont des considérations essentielles pour la souveraineté des données, qui obligent les entreprises à atténuer de manière proactive le risque de perte de données. Cela vous permet de maintenir vos activités même en cas d’imprévus. AWS offre actuellement la plus haute disponibilité réseau de tous les fournisseurs de cloud. Chaque région AWS comprend plusieurs zones de disponibilité (AZ), qui sont des partitions d’infrastructure entièrement isolées. Pour mieux isoler les problèmes et atteindre une haute disponibilité, les clients peuvent partitionner les applications entre plusieurs zones de disponibilité au sein de la même région AWS.

Il est essentiel de comprendre et d’intégrer les exigences en matière de souveraineté des données pour garantir la conformité. Voici quelques éléments à prendre en compte lorsque vous entamez votre parcours vers la souveraineté :

Planifier la conformité en matière de localisation des données

La conformité à la loi commence par la compréhension des réglementations qui régissent les opérations de votre organisation. Ces lois et réglementations relatives aux données peuvent couvrir les zones géographiques d’activité de votre entreprise, les types de données que vous stockez et traitez (par exemple, la santé, les données financières), les clients et les données de vos employés, ainsi que la durée pendant laquelle les journaux de collecte de données sont conservés.

Effectuez des recherches et communiquez avec les organismes de réglementation et les forces de l’ordre concernés pour vous assurer que vous créez des systèmes conformes et que vous êtes au courant du processus en cas de signalement de non-conformité.

Toutes les entreprises ne disposent pas d’un expert en souveraineté des données. Le partenariat avec un consultant en conformité peut être bénéfique pour rester au courant de l’évolution de la réglementation. 

Mettre en œuvre des contrôles d'accès précis

La résidence des données peut être compromise si un seul utilisateur copie les données vers un autre emplacement physique. Pour éviter cette situation, commencez par une gestion des identités et des accès fondamentale et conforme aux bonnes pratiques, puis mettez en œuvre des contrôles d’accès privilégiés stricts pour les administrateurs de haut niveau. 

Pour vous aider à automatiser et à surveiller vos emplacements de stockage, à chiffrer vos données et à appliquer des barrières de protection de résidence des données, vous pouvez utiliser AWS Control Tower . La bibliothèque de contrôle AWS Control Tower contient un groupe de contrôles de souveraineté numérique. Ces contrôles peuvent appliquer les configurations de souveraineté des données, empêcher les actions, détecter les changements de ressources, appliquer des restrictions d’accès granulaires, activer le chiffrement par défaut et fournir des fonctionnalités de résilience.

Renforcer la résilience des systèmes critiques

La continuité des activités en cas de sinistre dépend de la fiabilité des systèmes de sauvegarde et de basculement. Pour se conformer aux réglementations en matière de souveraineté des données, ces systèmes doivent résider dans la même région afin de conserver la même souveraineté des données que vos opérations habituelles.

Pour renforcer la résilience de vos systèmes critiques, vous devez distribuer vos données dans plusieurs zones de disponibilité pour une localisation renforcée des données.

Pour les clients qui exécutent des charges de travail sur site ou pour des cas d’utilisation à distance, vous pouvez utiliser les services AWS qui fournissent des fonctionnalités spécifiques pour une assistance continue en cas d’interruption du réseau et pour le calcul et le stockage à distance. Ces services incluent AWS Outposts et Amazon EKS Anywhere.

Trouvez un partenaire cloud qui assure la transparence et les garanties

Non seulement le choix de l’emplacement de vos données est une décision importante, mais les organisations doivent également être en mesure de garantir que les systèmes de leur fournisseur de services cloud sont réellement conformes aux règles de souveraineté des données de la juridiction. Faites appel à un expert en conformité et discutez avec l’équipe de conformité du fournisseur pour vous en assurer.

AWS a toujours donné la priorité au choix des clients plutôt qu’à la souveraineté de leurs données, leur permettant ainsi de contrôler totalement l’emplacement et le mouvement de leurs données. Dès le premier jour, l’approche souveraine dès la conception d’AWS nous a permis de gagner la confiance de nos clients, qui figurent parmi les organisations les plus soucieuses de la sécurité et de la confidentialité des données au monde.

Il est essentiel de tenir à jour une carte de votre environnement de données actuel pour maintenir une architecture de données conforme. Envisagez d’implémenter les mesures suivantes :

Triez et sécurisez les données sensibles

La protection des données sensibles implique des contrôles intégrés, notamment le balisage, la gestion des identités et des accès, le chiffrement, l’isolation et des règles pour les données sensibles au repos, en transit et en cours de traitement. 

Choisissez la résidence de vos données conformément aux lois applicables

Choisissez les emplacements de données qui répondent le mieux à vos besoins en fonction de vos recherches sur vos activités commerciales, vos clients et les types de données. N’oubliez pas que vos besoins en matière de localisation des données peuvent évoluer en fonction de l’évolution de votre activité et que la souveraineté des données peut être affectée.

Choisissez un fournisseur de cloud de confiance

En contrôlant rigoureusement les fournisseurs de cloud public, vous pouvez gagner en confiance dans leurs garanties de souveraineté des données. Choisissez un fournisseur dont les activités sont bien établies dans l’emplacement de données que vous avez choisi. 

Restez au courant des obligations de conformité

Les lois et réglementations relatives aux données changent constamment. Vous devez vous assurer de vous tenir au courant des dernières réglementations, d’anticiper les nouvelles exigences et de respecter les obligations de déclaration. Choisissez un délégué au sein de votre organisation ou d’une entreprise partenaire qui sera chargé de se tenir au courant de l’évolution des lois. Créez une politique interne de protection des données qui correspond à vos obligations.

Les différentes zones géographiques du monde sont soumises à des lois et réglementations très différentes en matière de stockage, de traitement et de manipulation des données. Les juridictions peuvent se chevaucher, ajoutant des niveaux supplémentaires de réglementations sur les données pour le stockage et le traitement des données. Par exemple, l’Espagne, la France et d’autres pays de l’UE ont des lois internes régissant la souveraineté des données, mais doivent également se conformer aux lois de l’UE. Les secteurs hautement réglementés tels que la santé et la finance ont également des réglementations différentes. Certains pays ont des lois sur la souveraineté des données autochtones concernant les droits des peuples autochtones. 

Les activités extraterritoriales peuvent avoir des répercussions sur vos exigences en matière de gouvernance des données. Par exemple, les entreprises australiennes doivent se conformer au RGPD lorsqu’elles traitent les données des citoyens de l’UE. 

Pour les organisations comptant plusieurs entités enregistrées dans le monde entier, la souveraineté des données et la conformité aux différentes réglementations extraterritoriales deviennent très complexes.

Toutes les organisations, grandes et petites, doivent examiner attentivement la souveraineté des données pour s’assurer qu'elles restent conformes à leurs obligations légales en matière de gestion des données. Les considérations relatives à la souveraineté des données s’intensifient pour les opérations transfrontalières, les entreprises multinationales et les organisations travaillant dans des secteurs hautement réglementés. Réfléchissez à la manière dont vous gérez le stockage des données, à la manière dont vous transférez les données et à la manière dont vous les traitez.

Il est important de choisir un fournisseur de cloud qui comprend parfaitement la souveraineté des données. Votre fournisseur de cloud doit fournir des protections intégrées des données à ses clients conformément aux exigences régionales, et proposer un large éventail de contrôles de gouvernance des données, d’identité numérique et d’accès, de sécurité des données et de confidentialité.

Explorez la souveraineté numérique chez AWS pour plus d’informations, des études de cas et les dernières mises à jour de produits dans ce domaine essentiel de la sécurité, de l’identité et de la conformité.