Dans un contexte géopolitique marqué par l’évolution des politiques appliquées ainsi que la fragmentation numérique, avec notamment l’affirmation de certains acteurs (GAFAM), il est plus que jamais devenu essentiel de maîtriser le flux et le stockage des données les plus sensibles.
Entre les velléités extraterritoriales du Cloud Act américain, les ambitions du FISA 702, et les réponses européennes incarnées par le RGPD ou le Data Governance Act, les organisations font face à un paysage juridique parfois complexe, ou la localisation des données peut n’avoir qu’un impact modéré.
La souveraineté des données ne se résume plus à une simple conformité réglementaire. Celle-ci constitue davantage un pilier organisationnel, un point politique important et surtout, sujet sociétal.
Qu’est-ce que la souveraineté des données ?
La souveraineté des données est un concept de plus en plus populaires, selon lequel les données les plus sensibles doivent être soumises à la législation du pays ou elles sont stockées.
Ce concept repose sur trois piliers. Il s’agit de la la soumission aux lois du pays de stockage, la maîtrise technique de l’infrastructure (sans dépendance à des technologies étrangères) ainsi que l’autonomie opérationnelle qui garantit la continuité de service.
Mais qu’entend-on par “données sensibles” ? Il s’agit des :
- Données personnelles, telles que définies dans l’article 4 du RGPD : toutes les informations relatives à une personne identifiée ou identifiable,
- Données personnelles, telles que définies dans l’article 9 du RGPD : l’origine raciale ou ethnique d’un individu, ses opinions politiques, ses données de santé ou biométriques
- Données de santé
- Secrets d’affaires, qui sont protégés par la directive UE 2016/943
Le sujet de l’extra-territorialité des données
Contrairement à une idée répandue, la localisation des données ne garantit pas leur souveraineté. Une donnée peut être hébergée en France tout en restant accessible à une autorité étrangère si le fournisseur est soumis à une législation extraterritoriale, comme le Cloud Act américain.
Voté en 2018, ce texte autorise les autorités américaines à accéder aux données sensibles stockées par les entreprises américaines (et concernées par le droit US), peu importe où elles et leurs serveurs opèrent.
On parle aussi d’extraterritorialité. Parce qu’un exemple est toujours plus parlant, prenons l’exemple de Facebook. Toutes vos informations privées y sont enregistrées. Même si les serveurs utilisés se trouvent en Irlande, le gouvernement américain peut récupérer vos informations.
Cette extraterritorialité s’ajoute au FISA 702 et au décret exécutif 12333, qui permettent la surveillance de masse des non-ressortissants américains sans mandat judiciaire. En d’autres termes, les données stockées par des entreprises américaines opérant en France ou ailleurs dans le monde, en plus d’utiliser des serveurs locaux, sont soumises aux lois américaines.
Pourquoi est-ce essentiel ?
La souveraineté des données est devenu un enjeu politique et social vital pour les entreprises et les pouvoirs publics :
- En 2024, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a enregistré une hausse de 15% des cyberattaques par rapport à 2023. Les secteurs de la santé (+18%) et les collectivités territoriales (+23%) sont les plus touchées.
- Le développement des technologies d’intelligence artificielle entraîne la crainte de la fraude. Selon le rapport ‘State of AI in Financial Crime‘ du cabinet Deloitte (2024), l’IA générative serait responsable de 12 milliards de dollars de fraudes, principalement via la synthèse vocale deepfake (+300% en 2023) et le phishing assisté par LLM.
Il est plus que jamais impératif d’instaurer un cadre légal permettant d’avoir la main sur les données partagées, utilisées ou stockées sur le territoire national et ce, afin de limiter la fraude, l’impact éventuel d’une cyberattaque et du vol de données qui pourrait en découler.
Quels sont les mesures mises en place en France et en UE pour assurer la souveraineté des données ?
Le RGPD (Règlement Général sur la Protection des Données) est une loi entrée en vigueur en 2018 dans l’Union européenne. Il protège les données personnelles des citoyens, comme leur identité, les moyens de contact ou les adresses IP.
Le règlement RGPD impose aux entreprises et organisations de collecter uniquement les données nécessaires. Elles doivent aussi clairement informer les personnes des informations qu’elles récupèrent et surtout, que tout est mis en place pour en garantir leur sécurité (données stockées sur des serveurs européens, qui ne seront pas revendues…).
Le RGPD permet également à quiconque le souhaite d’accéder à ses données, sur demande auprès de l’entreprise ou de l’organisme tiers qui les a récupéré. Il est aussi possible de les corriger, de les supprimer ou de simplement s’opposer à leur utilisation, notamment dans un cadre commercial ou marketing.
L’objectif du RGPD est d’améliorer la vie privée des internautes et citoyens tout en responsabilisant, les acteurs qui utilisent ces mêmes données.
Les autres textes et certifications justifiant de la souveraineté des données
Le RGPD n’est pas la seule loi ou certification permettant de justifier de mesures de sécurité assurant la sécurité des données.
Nous pensons notamment à :
- SecNumCloud : cette qualification délivrée par l’ANSSI atteste qu’un service cloud respecte des exigences techniques, opérationnelles et juridiques très élevées assurant la protection des données sensibles, permettant d’éviter les accès non autorisés et limite l’impact des lois extraterritoriales.
- Qualification “Cloud de confiance” : c’est une qualification qui repose sur l’initiative SecNumCloud et qui permet à une entreprise de justifier de la mise en lace d’un cloud de confiance, sur lequel personne n’ait le contrôle et permettant, de ce fait, d’héberger des données sensibles.
- HDS : c’est une certification obligatoire pour les acteurs de la santé qui hébergent des données de santé pour le compte de tiers.
- ISO 27001 : c’est une norme ISO internationale pour les systèmes de management de la sécurité de l’information.
- eIDAS : rêglement européen encadrant l’identification électronique et les services associés (signature électronique, notamment).
Ces certifications répondent à des niveaux d’exigence différents : SecNumCloud garantit l’immunité face aux lois extraterritoriales, tandis qu’ISO 27001 certifie uniquement la gestion de la sécurité sans prémunir contre l’accès juridique étranger.
Évaluez, concrètement, la souverainetaire de votre prestataire
Voici les principaux éléments à prendre en compte si vous souhaitez évaluer la souveraineté de votre partenaire et vous assurer que vos données les plus importantes soient conservées de manières souveraine et sécurisée :
- Le pays de juridiction de l’éditeur, idéalement France ou Union européenne
- La nationalité de la société mère, européenne, asiatique ou américaine
- La qualification SecNumCloud ou équivalent, selon les éléments présentés ci-dessus
- L’absence de dépendance à des technologies soumises au Cloud Act américain
- La localisation des équipes d’exploitation les clauses contractuelles de réversibilité
- La liste des sous-traitants, pour vérifier s’ils sont français, européens ou internationaux.
Comment Jamespot assure la protection et la souveraineté de vos données
Jamespot est une entreprise française, répondant au droit français uniquement, avec des partenaires français ou européens, adoptant une approche claire sur la question de la souveraineté.
Nous vous assurons :
- La sécurité de vos données, stockées par des partenaires de confiance, comme OVHCloud en environnement sécurisé (RAID-1/10). C’est une technologie qui garanti la disponibilité de vos données même en cas de défaillance des serveurs OVH.
- Vos mots de passe sont encodés en SHA256 + SALT, qui empêche les attaques par tables arc-en-ciel et qui garantit que deux mots de passe similaires n’ont pas la même empreinte
- La maintenance de votre plateforme et vos sauvegardes, réalisées par les équipes Jamespot et stockées chez Online, sur une période de sept jours
- La conformité RGPD avec DPO dédié,
- Un support réactif qui répondra à toutes vos questions dès que vous en avez une !
Pour plus d’informations, n’hésitez pas à découvrir notre espace “Sécurité”. Une page complète vous expliquant comment Jamespot prend au sérieux la question de vos données les plus importantes.
Notre conclusion sur la sécurité et la souveraineté des données
Pour garantir votre souveraineté numérique, privilégiez des prestataires offrant un hébergement en France ou au sein de l’Union européenne, avec garantie contractuelle de non-transfert de vos informations et de vos données.
Assurez-vous, par la même occasion, que votre partenaire détienne les certifications SecNumCloud ou HDS selon votre secteur et assure une transparence totale sur les sous-traitants et les flux de données et une clause de réversibilité permettant la récupération totale de vos données.
Passionné par le numérique et grand amateur d'écriture qui apprécie tout particulièrement transmettre ses connaissances à d'autres personnes.
