Michael Chen | Responsable de la stratégie de contenu | 2 mai 2024
La souveraineté des données fait référence à l'application des législations aux données d'un utilisateur, en particulier, quelles sont les législations applicables à ces données et quels sont les droits de chaque utilisateur en matière de confidentialité, d'utilisation par une entreprise et de consentement. L'exemple le plus connu comprenant les principes de souveraineté des données est le règlement général sur la protection des données (RGPD) de l'Union européenne (UE), qui définit la manière dont les données des citoyens de l'UE sont protégées en termes de collecte et d'utilisation.
La souveraineté des données fait référence au concept selon lequel les données sont soumises aux législations et règlements de la géographie dans laquelle se trouvent ses propriétaires. En général, les règles de souveraineté des données confèrent la responsabilité de gérer et de protéger les données utilisateur sur l'entreprise qui les collecte et les traite. Les questions de confidentialité et de sécurité de l'utilisateur doivent être traitées par l'entreprise et doivent être conformes aux réglementations du pays ou de l'état de résidence de l'utilisateur. Cela signifie que plusieurs niveaux de conformité sont requis pour les entreprises disposant de bases d'utilisateurs multinationales. Par exemple, une entreprise ayant des utilisateurs au sein de l'UE et aux États-Unis peut être tenue de se conformer au RGPD de l'UE ainsi qu'aux lois sur la souveraineté des données d'un État donné.
En général, les lois sur la souveraineté des données dans le monde se chevauchent considérablement, certaines étant plus restrictives que d'autres.
Points à retenir
La souveraineté des données est un concept complexe avec de nombreux aspects distincts, bien que les bases puissent être explorées dans les points suivants :
Parties impliquées. La souveraineté des données peut impliquer plusieurs parties, bien que la responsabilité puisse finalement incomber à l'entreprise qui collecte ou vend les données. Les parties peuvent inclure ces entreprise, les individus dont les données sont collectées, les fournisseurs de cloud qui stockent les données, et les pays/régions /États qui dictent les lois directrices qui supervisent les données. Au sein d'une entreprise, la supervision de la souveraineté des données peut inclure les services informatiques et les équipes juridiques.
Enjeux. Pour les entreprises qui ne respectent pas les directives réglementaires, il peut en résulter un réseau complexe, voire international, de problèmes juridiques et d'amendes. Les conséquences juridiques peuvent entraîner d'autres problèmes pour une entreprise, soit en fermant des régions de clients, soit en bloquant les activités de l'entreprise.
Investir dans la conformité peut permettre aux entreprises de respecter les exigences réglementaires.
Bénéficiaires. Si les propriétaires de données individuels peuvent bénéficier intrinsèquement de la souveraineté des données en raison de l'accent mis sur la protection et la surveillance, les entreprises peuvent également y trouver des avantages. À un niveau donné, une entreprise peut bénéficier simplement de la continuité des opérations et de l'établissement d'une base solide pour la conformité future. En outre, la conformité constante peut aider à renforcer la confiance du public, ce qui peut faire partie des relations publiques ou des communications marketing pour attirer d'autres entreprises.
La souveraineté des données est importante car elle peut garantir le respect des lois et réglementations applicables aux données. C'est souvent plus facile à dire qu'à faire maintenant, car au cours des vingt dernières années, la façon dont les données sont utilisées au sein des entreprises a complètement changé. Lorsque les données sont devenues dynamiques et mobiles, elles couraient également un plus grand risque : les fichiers ne restaient plus dans les limites des lecteurs et des périphériques locaux, et les bases de données ont commencé à stocker des enregistrements bien au-delà de quelques applications spécifiques. Cette portée étendue des données a engendré de nombreux types de risques. La protection contre ces dangers est devenue une question de plus en plus importante, d'autant plus que les cyberattaques se sont intensifiées et que les transmissions de données ont commencé à franchir les frontières internationales.
Aujourd'hui, certains des domaines les plus importants de la souveraineté des données sont les suivants :
Département juridique. Au cours des dernières années, divers pays et régions ont établi des réglementations en matière de protection des données pour répondre aux préoccupations en matière de confidentialité, de sécurité et de stockage concernant l'emplacement du stockage physique des données. Un excellent exemple de cela est le RGPD de l'UE. Ces types de réglementations couvrent des domaines tels que les données des visiteurs du site Web et les données d'utilisation des produits. Le non-respect peut entraîner des problèmes juridiques complexes, qui peuvent alors entraîner des complications opérationnelles et financières.
Sécurité. Qui a accès aux données sensibles ? Qu'il s'agisse de propriété intellectuelle financière, personnelle ou organisationnelle, le contrôle de l'accès aux données sensibles est un élément crucial de la souveraineté des données. Dans certains cas, les législations régionales traitent également de l'aspect confidentialité de la collecte de données. Tout cela peut indiquer la nécessité de maintenir le contrôle de la sécurité, de l'accès et du stockage.
Continuité. Dans un monde de données distribuées à l'échelle mondiale, les fournisseurs de cloud public pourraient théoriquement stocker des sauvegardes dans des data centers situés dans d'autres pays. Cela crée un problème si des pannes graves ou des catastrophes naturelles perturbent l'accès et la connectivité. Cela soulève également la question de la compétence - si quelqu'un pirate le data center d'un fournisseur de cloud, quelles lois s'appliqueraient pour protéger les utilisateurs victimes de cette violation de données résidant dans le monde entier ? Les stratégies de souveraineté des données peuvent aider à garantir que le stockage est conservé dans des régions spécifiques. En termes d'accès dans des circonstances extrêmes, cette localité permet une connectivité de sauvegarde rapide sans problèmes de latence en raison de la distance géographique ou de problèmes d'accès légal en raison des lois régionales.
Les entreprises qui collectent et stockent des données doivent respecter les lois sur la souveraineté des données des pays dans lesquels elles opèrent, et ce travail peut impliquer le stockage de données dans des emplacements spécifiques, la mise en œuvre de mesures de sécurité et le respect des réglementations locales. Il peut s'agir d'un processus complexe et difficile, en particulier pour les entreprises multinationales qui opèrent dans plusieurs juridictions.
Un workflow de base pour la conformité de la souveraineté des données peut se présenter comme suit :
La souveraineté des données est un concept complexe qui contient plusieurs éléments interconnectés différents. Les juridictions, les réglementations et les emplacements du hardware prennent tous en compte la formule dynamique de souveraineté des données. Les éléments les plus importants de ce concept sont les suivants :
À la base, la souveraineté des données fait référence au contrôle juridique des données basée sur la réglementation du pays où elles ont été générées. Les variables telles que les bases d'utilisateurs globales, les travailleurs à distance et les data centers de stockage cloud rendent ce concept initial beaucoup plus complexe. Pour cette raison, des facteurs tels que l'endroit où les données résident, l'endroit où elles sont collectées et la façon dont elles sont collectées sont essentiels pour comprendre les problèmes en jeu.
La localisation des données se situe entre la résidence des données et la souveraineté des données. Elle fait référence à l'idée que les données générées par les citoyens d'une région doivent résider dans cette région avant d'être utilisées en externe. Les restrictions de localisation des données découlent de problèmes de confidentialité et de sécurité, en particulier lorsque les entreprises traitent des données sensibles, personnelles ou financières.
La résidence des données est le terme donné à l'emplacement physique des données d'une entreprise. Si les données sont stockées dans un pays ou une région différent de celui où elles ont été générées, les lois sur la résidence des données de cette région particulière s'appliquent, ce qui ajoute des couches supplémentaires de complexité de la conformité.
La confidentialité des données fait référence à la protection des données personnelles des utilisateurs. Les sites Web et les applications peuvent collecter ces données de plusieurs façons, y compris les formulaires, les informations fournies par l'utilisateur et les cookies de site Web. Des questions telles que le consentement et la légalité de la collecte sont à l'avant-garde des préoccupations en matière de confidentialité des données, et les régions ont commencé à instituer leurs propres lois sur la confidentialité des données pour protéger les citoyens contre les escroqueries et les abus.
Les principales différences entre la souveraineté des données, la localisation des données, la résidence des données et la confidentialité des données proviennent de la façon dont elles sont liées les unes aux autres. La souveraineté des données fait référence à l'ensemble des juridictions, des citoyens, des entreprises et des réglementations. La localisation des données dicte la façon dont les données utilisateur doivent être traitées, tandis que la résidence des données et la confidentialité des données renvoient aux définitions utilisées lors de l'examen des concepts plus larges. L'illustration suivante montre comment ces concepts fonctionnent ensemble.
Souveraineté ou localisation ou résidence
La confidentialité des données fait référence à l'exigence de protéger les informations personnelles et sensibles, sous peine de perdre la confiance des clients, de souffrir d'une mauvaise presse, voire de se voir infliger des amendes et des poursuites judiciaires.
Souveraineté des données | Localisation des données | Résidence des données |
---|---|---|
Surveillance juridique des données en fonction de la réglementation du pays où elles sont générées et/ou traitées | Concept selon lequel les données générées par les citoyens d'une région doivent résider dans cette juridiction avant une utilisation externe | Lieu physique où une entreprise stocke et/ou traite ses données |
L'accès aux données a évolué au fur et à mesure que les ordinateurs passaient du stade de mastodontes de la taille d'une pièce à celui de poste de travail. La sécurité est devenue le domaine des médias de stockage physiques, des réseaux locaux et des data centers. Les premières notions de souveraineté des données sont apparues au fur et à mesure que les données devenaient de plus en plus portables et transmissibles de manière dynamique. Dans l'UE, la directive de 1995 sur la protection des données a limité le traitement et le stockage des données des citoyens de l'UE à ces frontières. Partout dans l'Atlantique, les États-Unis ont également examiné la souveraineté des données sous différents angles, y compris le PATRIOT Act de 2001, qui a fondamentalement changé les données des citoyens auxquelles le gouvernement américain pouvait légalement accéder. La loi accordait au gouvernement fédéral l'accès aux données stockées dans les juridictions américaines ainsi qu'aux données gérées par des sociétés opérant à l'intérieur des frontières américaines.
Cette époque était celle des supports physiques, des modems d'accès à distance et de l'internet en tant que service de niche. Mais dans les années qui ont suivi, la transformation numérique a été généralisée dans tous les secteurs et collectivités, couvrant l'accès Internet à domicile, les transactions financières en ligne, les données personnelles via les médias sociaux, jusqu'au stockage cloud quotidien, à la monnaie numérique et aux appareils Internet of Things (IoT). Soudain, l'importance de la souveraineté des données a augmenté de manière exponentielle. Les entreprises ont commencé à partager des données à travers les frontières internationales, la cybercriminalité est devenue un risque quotidien, les citoyens ont fait des achats en ligne dans des endroits éloignés et les gouvernements ont été pris en charge pour surveiller illégalement les données personnelles. Tous ces changements ont créé la nécessité d'établir un certain ordre dans le chaos, en particulier avec les différentes juridictions impliquées.
Aujourd'hui, la notion de souveraineté des données englobe un large éventail de sujets, y compris les légalités locales, les préoccupations en matière de confidentialité, l'emplacement physique des serveurs de stockage cloud, etc. Alors que les appareils s'intègrent davantage dans tous les aspects de notre vie quotidienne et que les entreprises repoussent les limites du travail à distance, la souveraineté des données ne fera que devenir plus compliquée et plus essentielle au fil des ans.
En 1995, la directive européenne sur la protection des données (DPD) est entrée en vigueur à l'aube de l'ère de l'Internet. Officiellement connue sous le nom de Directive 95/46/EC, la DPD a été à l'origine de la façon dont le monde considère la confidentialité des données en termes de libertés et de droits fondamentaux. Les principaux sujets abordés dans le DPD étaient les suivants :
Au cours des vingt années qui ont suivi, l'utilisation des données a explosé dans le monde entier, d'abord via l'accès à Internet à haut débit à domicile, puis l'émergence des médias sociaux, puis l'utilisation d'appareils Internet of Things (IoT) tels que les smartphones, qui collectent constamment de grandes quantités de données personnelles. Cette évolution a révélé les lacunes dans les protections du DPD, car les données ont commencé à circuler d'une manière qui était auparavant inimaginable.
Adoptée en 2016 et active depuis 2018, le Règlement général sur la protection des données (RGPD) a remplacé le DPD et s'est appuyé sur tous ses principes clés, notamment les droits de base sur les données, la réglementation applicable aux autorités de contrôle et les limites relatives au transfert de données à caractère personnel vers des pays tiers. Le RGPD a établi que les entreprises ne doivent collecter et traiter les données personnelles que de manière légalement autorisée, y compris par le consentement du sujet, l'obligation contractuelle, ou l'intérêt public dans le cadre de l'autorité officielle. Des préoccupations concernant le consentement et l'autorité gouvernementale se sont manifestées au cours de la décennie précédant l'entrée en vigueur du RGPD, alors que des révélations ont émergé concernant l'utilisation des données américaines en vertu du PATRIOT Act. Le RGPD a clarifié et simplifié l'accès aux données personnelles, la propriété, le consentement, les plaintes et les restrictions pour des limites juridiques plus strictes et une plus grande propriété individuelle tout en transférant les responsabilités aux entreprises et aux responsables du traitement des données.
Largement reconnu comme la loi sur la protection des données la plus influente de l'histoire, le RGPD a contribué à stimuler l'action sur la protection des données dans le monde entier. Aux États-Unis, plusieurs États ont adopté leurs propres lois concernant les données générées par les résidents, y compris la California Consumer Privacy Act et la Colorado Privacy Act. L'Afrique du Sud, la Thaïlande, Singapour et d'autres pays ont également emboîté le pas.
La souveraineté des données peut être un parcours unique et souvent difficile. Une fois qu'une entreprise atteint ses objectifs, le processus se poursuit en raison de l'évolution des réglementations et des nouvelles directives des territoires émergents. Les entreprises doivent rester au fait de toutes ces variables car elles font des choix informatiques cruciaux et évaluent les ramifications. La liste suivante présente les défis les plus courants en matière de souveraineté des données :
Opérations dans plusieurs pays. Si votre entreprise opère dans plusieurs pays, la souveraineté des données peut instantanément devenir plus complexe. Les réglementations en matière de collecte de données dépendent de la juridiction dans laquelle les processus ont lieu. Une multinationale peut avoir à naviguer dans les variations régionales et les nuances des lois sur les données dans les domaines où elle exerce ses activités.
Des lois en constante évolution. Les lois existantes telles que le RGPD de l'UE et la CCPA aux États-Unis peuvent continuer à voir des mises à jour, même si d'autres juridictions introduisent leurs propres versions de la protection des données. Chaque entreprise est responsable de garder une trace de ces changements pour maintenir la conformité, car les responsabilités légales en matière de confidentialité et de protection des données peuvent incomber à des entités plutôt qu'à des individus. Par exemple, le Royaume-Uni a toujours maintenu la norme du RGPD après sa sortie de l'UE en 2020, mais il peut dicter comment la loi évolue pour les résidents britanniques de manière indépendante.
Emplacements de stockage fournisseur. Si votre entreprise utilise un cloud public pour ses besoins en données, les emplacements de stockage et de traitement physiques du cloud public peuvent devenir un facteur. Si les lois sur la confidentialité des données exigent que les données résident dans la juridiction d'un utilisateur, les entreprises peuvent décider de communiquer avec les fournisseurs sur toute exigence légale spécifique concernant la localisation géographique.
Investissements initiaux. La souveraineté des données exige un engagement financier. Si vous exécutez un data center local, cela peut signifier migrer vers le cloud. Si vous collectez des données sensibles telles que des informations financières, vous devrez peut-être implémenter de nouvelles couches de sécurité. Les étapes spécifiques requises pour atteindre une bonne souveraineté des données sont uniques pour chaque entreprise. Ils peuvent également exiger un temps et des efforts considérables pour former à nouveau les collaborateurs sur ces points. Quel que soit l'aspect de votre parcours de souveraineté des données, il est inévitable que votre entreprise soit confrontée à des défis inattendus. Votre entreprise doit donc être prête à absorber les coûts.
Le coût du succès. Peut-être que votre entreprise a commencé comme une entreprise locale, mais a élargi sa portée à mesure que vos produits ou services gagnaient du terrain. Avec cette extension vient une plus grande base de clients, et avec cette base vient les problèmes croissants de souveraineté des données, en particulier si votre portée client s'étend à de nouveaux territoires avec des réglementations différentes. La souveraineté des données doit être une partie constante de l'équation lors de la planification de l'expansion et de la croissance, car l'ignorer peut entraîner des conséquences juridiques importantes plus tard.
En ce qui concerne la souveraineté des données, il n'existe pas de solution unique qui fonctionne pour chaque entreprise. Cependant, plusieurs exigences générales sont cohérentes quels que soient les objectifs technologiques ou commerciaux existants d'une entreprise. Les six étapes suivantes constituent un guide général pour atteindre potentiellement la souveraineté des données.
1. Sachez avec quoi vous travaillez
Comment vos données sont-elles stockées ? Où sont-elles actuellement situées et/ou traitées ? Utilisez-vous un data center local, un fournisseur cloud ou un mélange des deux ? Quelles mesures de sécurité et d'accès basé sur les rôles avez-vous mises en place ? Utilisez-vous et/ou avez-vous besoin d'une prise en charge pour les périphériques proches d'une limite juridictionnelle ? Et comment allez-vous vous développer ? Avant de prendre des décisions sur la souveraineté des données, votre entreprise doit répondre à ces types de questions pour obtenir un champ d'application complet de ce qui favorisera la conformité.
2. Sachez ce que vous voulez
Avez-vous répondu aux questions ci-dessus ? Si tel est le cas, utilisez maintenant ces informations et considérez ce dont vous avez besoin et ce que vous voulez en faire. Le respect des exigences réglementaires est important, bien sûr. Cependant, étant donné que les stratégies impliquées auront également un impact sur vos choix informatiques, votre équipe juridique et votre budget, vous devez également établir des objectifs clairs pour les entreprises dans le cadre du processus. Une feuille de route générale, une liste des besoins en matière de hardware et de données et des évaluations de scénarios optimaux/pires peuvent tous être des critères clés pour vous aider à élaborer votre stratégie de souveraineté des données.
3. Sachez ce qui est disponible
Dans de nombreux cas, l'intersection de vos besoins en matière de conformité, d'activité et d'exploitation mènera à une solution cloud. Cela peut impliquer la connexion d'un data center local existant via un modèle hybride, la migration d'un data center local vers le cloud ou la prise en compte des exigences pratiques en matière de conformité par rapport à ce qu'un fournisseur de cloud peut offrir. Votre entreprise doit évaluer les fournisseurs de cloud pour les besoins techniques, financiers et liés à la conformité, en tenant compte de facteurs tels que leurs services de migration, l'emplacement de leurs centres de données physiques et les régions de service.
4. Faites un choix, ou plusieurs
À présent, vous aurez compris votre situation actuelle, répertorié vos besoins spécifiques et exploré les capacités de différents fournisseurs de cloud. Rassemblez tout cela devrait créer une liste claire de plusieurs fournisseurs. Interrogez chaque fournisseur et obtenez une démonstration ou un essai si possible. Ensuite, il est temps de sélectionner le ou les fournisseurs nécessaires et d'élaborer une feuille de route de migration. Dans le cadre de cette étape, vous pouvez examiner en détail les contrats de niveau de service (SLA) de chaque fournisseur pour savoir comment leurs services s'aligneront sur les besoins fonctionnels de votre entreprise.
5. Tenez-vous au courant des changements
Fonctionnalité, sécurité et conformité - même après la migration et le lancement, votre entreprise peut avoir besoin de surveiller les mesures de performances clés et les problèmes de sécurité pour s'assurer que tout se passe comme prévu. Des audits réguliers peuvent être nécessaires dans le cadre des opérations commerciales basées sur les données d'aujourd'hui, tout comme l'intégration dans les mises à jour régionales et les nouvelles lois. À ce stade, votre entreprise devrait également se préparer à un pire scénario : que faire si vous devez vous séparer d'un fournisseur peu performant ?
6. Révisez si nécessaire
Si vous n'êtes pas satisfait de votre fournisseur choisi, sachez qu'il existe toujours une autre option. De plus, il y a toujours de nouvelles capacités technologiques à exploiter. Même si les choses se déroulent bien pour votre entreprise, il n'est jamais inutile de s'interroger sur ce qui existe, tout en tenant compte, bien sûr, des problèmes liés à la migration. Connaître toutes vos options peut être particulièrement important si les choses tournent mal avec vos fournisseurs sous contrat, par exemple, s'ils ne répondent pas aux normes de performance énoncées dans leurs contrats de niveau de service ou si leur service client manque.
Quoi qu'il en soit, la réévaluation et la révision devraient toujours faire partie du plan en matière de technologie, et encore plus lorsqu'il s'agit d'économie et de sécurité axées sur les données.
Alors que la souveraineté des données prend rarement la forme d'une solution universelle, diverses bonnes pratiques s'appliquent dans presque toutes les situations. Ces bonnes pratiques comprennent :
Savoir où vont vos données. Pour le stockage, le traitement et la transmission, l'emplacement est important. La première étape pour sonder la souveraineté des données consiste à identifier tous les environnements physiques. Une fois cette liste générée, les entreprises peuvent rechercher les législations régionales pertinentes pour vérifier la conformité (ou déterminer les risques en cas de non-conformité).
Faire des choix intelligents en matière de localisation des données. La localisation des données simplifie la conformité et les risques réglementaires en garantissant que les données stockées résident physiquement dans la juridiction où elles ont été collectées. Dans de nombreux cas, la localisation des données peut être le moyen le plus rapide d'atteindre la conformité, de sorte que cette approche peut éliminer bon nombre des complications impliquées lorsque les données franchissent les frontières internationales ou étatiques.
Sécuriser les données sensibles. Il y a une différence entre les données personnelles sensibles et, par exemple, les indicateurs généraux des utilisateurs collectées par les sites Web. Les données sensibles, qu'elles soient médicales, financières ou autres, peuvent nécessiter des garanties appropriées pour respecter les directives légales et éthiques. Les entreprises peuvent avoir besoin d'établir une politique spécifique pour gérer et protéger les données sensibles. Pour maintenir la conformité, les entreprises peuvent envisager d'effectuer des examens périodiques et des mises à jour de toute politique créée à cette fin.
Vérifier ses fournisseurs de cloud. Le stockage cloud offre des avantages importants par rapport aux data centers locaux, notamment en termes de vitesse, de coût et d'évolutivité. Toutefois, toute entreprise qui traite les données utilisateur doit savoir où la collecte de données a lieu. Étant donné que les fournisseurs cloud pourraient théoriquement fournir des services aux entreprises du monde entier, il incombe aux entreprises de vérifier leurs fournisseurs et de s'assurer que les bonnes options de résidence des données existent pour la conformité régionale.
Un aspect essentiel et cohérent des bonnes pratiques énumérées ci-dessus est la nécessité de rester à jour sur les législations et réglementations régionales. La conformité est un processus dynamique et continu, avec de nouvelles technologies émergentes et des conseils en constante évolution, parfois très rapidement. Même une fois qu'une entreprise a établi ses principes de souveraineté des données, la validation et la conformité continues dépendent de contrôles réguliers dans toutes les régions et juridictions pertinentes.
Pour aider les entreprises du monde entier à répondre aux nombreuses exigences de souveraineté des données, Oracle propose un ensemble de solutions de souveraineté Oracle Cloud Infrastructure (OCI), des modèles de déploiement conçus pour répondre à des besoins commerciaux et gouvernementaux spécifiques grâce à des fonctionnalités OCI complètes. Ces offres prennent en charge le contrôle client sur les accréditations de résidence des données, d'accès et de conformité pour leurs entreprises. En outre, les régions Oracle National Security aident à fournir des réseaux gouvernementaux sécurisés pour les workloads hautement classifiés et sensibles, tandis qu'Oracle EU Sovereign Cloud peut fournir des services, des tarifs et des programmes de cloud public en fonction des besoins de conformité de l'UE.
Qu'entend-on par souveraineté des données ?
La souveraineté des données fait référence au concept selon lequel les lois sur les données d'une juridiction spécifique s'appliquent aux données stockées et générées à l'intérieur de ses frontières. Ainsi, les données personnelles d'un utilisateur dans un pays spécifique sont soumises aux léglislations de ce pays. De même, si un fournisseur cloud stocke des données dans une juridiction différente de celle de son client, plusieurs réglementations peuvent s'appliquer à la situation. Dans la plupart des cas, la responsabilité de clarifier et de se conformer à ces réglementations incombe à l'entreprise qui acquiert les données et paie le fournisseur de cloud pour des services, tels qu'une entreprise de technologie avec une application smartphone.
Comment illustrer les principes de la souveraineté des données avec un exemple ?
L'un des exemples les plus connus d'inclusion des principes de souveraineté des données est le RGPD de l'UE. Conçu en 2016 et actif depuis 2018, le RGPD s'applique aux citoyens de l'UE, imposant des réglementations sur la confidentialité des données personnelles, la collecte de données, la protection des données et l'utilisation des données dans l'automatisation. Le RGPD est souvent cité comme la réglementation la plus influente en matière de confidentialité des données.
Pourquoi la souveraineté des données est-elle importante ?
À l'ère des disquettes, la souveraineté des données était guère discutée en raison de la capacité limitée de transférer des données. Cependant, à mesure que la connectivité et les appareils IoT ont augmenté, les données sont constamment générées partout et transmises par-delà les frontières. La souveraineté des données est importante car elle aide à déterminer ce que les entreprises sont autorisées à faire avec les données des utilisateurs, notamment les données personnelles collectées via les médias sociaux ou les données financières collectées via les applications bancaires. En outre, chaque appareil ou site Web peut présenter un risque potentiel pour la vie privée en raison des pirates, soulevant ainsi des questions sur qui devrait être responsable de la vie privée et de la sécurité. Les initiatives de souveraineté des données aident à établir des directives, des restrictions et des responsabilités claires pour les entreprises qui collectent, traitent et stockent des données.
Qu'est-ce que la souveraineté des données aux États-Unis ?
Les États-Unis n'ont pas de loi unique et globale sur la souveraineté des données pour leurs citoyens. La Commission fédérale du commerce a le pouvoir d'enquêter et de poursuivre les entreprises qui ne respectent pas les politiques de confidentialité. Au niveau des États, le CCPA de la Californie couvre bon nombre des mêmes domaines que le RGPD de l'UE, ce qui est particulièrement important compte tenu de la contribution substantielle de l'État à l'économie globale du pays, en particulier le secteur technologique. D'autres États tels que l'Oregon, le Colorado et la Virginie ont également des lois sur la confidentialité des données, avec plus d'États introduisant des projets de loi de portée variable au cours des dernières années. En outre, de nombreuses questions pré-RGPD concernant la vie privée et l'éthique des données ont été soulevées avec l'introduction du USA PATRIOT Act de 2001. Il convient de noter que le CLOUD Act de 2018 est liée à la souveraineté des données. Cependant, cette loi se concentre sur les fournisseurs de services cloud et leur responsabilité concernant les données dans le cas où les organismes d'application de la loi présenteraient des mandats ou des assignations à comparaître.