En dépit de nombreuses études indiquant que les mesures de résidence des données ont un impact négatif sur la croissance économique et sur l'innovation technique (y compris la sécurité des données), nombreux sont les pays qui manifestent un appétit de plus en plus marqué pour sécuriser l'accès local aux données et restreindre les transferts internationaux. Ces pays tentent de tirer parti des exigences en matière de résidence des données afin de développer une économie autour de celles-ci et d’atténuer les risques croissants relatifs aux failles de sécurité et aux cyber-risques.
Une situation contradictoire qui semble en conflit avec l'adoption du cloud computing par les entreprises pour l'utilisation et la fourniture de services informatique, d'applications et de stockage à l'échelle mondiale. Il est essentiel de bien comprendre les différences de terminologie réglementaire, alors que les lois mondiales sur la protection des données et la vie privée arrivent à maturité, que l’attention se porte de plus en plus sur l'emplacement physique des données et leurs lieux de stockage, et que de nombreuses sociétés internationales mettent en place des stratégies pour accompagner leurs clients dans ce maelström de règles qui complexifient les systèmes d’informations.
- La résidence implique qu’une certaine quantité de traitement des données est effectuée à l’intérieur des frontières du pays ciblé.
C’est la moins restrictive des trois, dès lors qu'un gouvernement ou une entreprise spécifie l'emplacement géographique où les données sont stockées. Il s'agit de désigner le lieu physique réel des données d'une organisation, et l'emplacement géographique s’explique par la politique dirigée par l'entreprise. Celle-ci est généralement liée aux performances, à la réglementation ou la fiscalité. La résidence des données implique donc qu'une certaine quantité de traitement des données est effectuée à l'intérieur des frontières du pays choisi. Cela impose des flux de travail stricts en matière de gestion des données, à la fois pour l'entreprise et pour les fournisseurs de services - y compris les fournisseurs cloud, et que les informations personnelles sont traitées conformément aux lois, aux coutumes et aux attentes de la région cible. La résidence exige la conformité.
- La souveraineté diffère de la résidence au sens que non seulement les données sont stockées dans un lieu désigné, mais qu'elles sont également soumises aux lois du pays dans lequel elles sont physiquement stockées.
La souveraineté des données est plus restrictive que la résidence : l'une porte sur les droits et obligations juridiques nationaux, tandis que l'autre est une question de géographie. Et c'est là que la souveraineté et la résidence sont souvent confondues. Pourtant la différence est visible à plusieurs niveaux : les entreprises auront des obligations de conformité différentes ; les personnes concernées disposeront de droits à la vie privée et des protections de sécurité différents ; les droits d'accès des gouvernements aux données à l'intérieur des frontières diffèrent largement à travers le monde. Les concepts sont clairement liés, mais les distinctions sont suffisamment importantes pour se préparer efficacement à une gestion et à un transfert de données conformes.
- La localisation est presque toujours appliquée à la création et au stockage des données personnelles.
C’est la plus restrictive des trois et les lois sur la localisation connaissent la croissance la plus rapide au niveau international. Celles-ci exigent que les données générées dans un pays soient stockées sur des serveurs physiquement situés à l'intérieur des frontières de ce même pays. Il existe différents degrés de lois sur la localisation des données. Certaines d’entre elles exigent simplement qu'une copie des données soit conservée à l'intérieur des frontières du pays, tandis que d'autres vont jusqu'à exiger que non seulement tout le traitement mais aussi toute utilisation dérivée des données reste à l'intérieur des frontières nationales. C’est le cas, par exemple des lois russes, indienne ou encore chinoise. Ces mesures constituent une menace croissante pour la connectivité, l'innovation et la croissance qu'apporte l'économie numérique mondiale, et peuvent présenter un aspect encore plus sombre pour les citoyens des pays concernés.
En moins de dix ans, plus de 70 pays ont adopté des lois nouvelles ou actualisées sur la confidentialité des données, qui incluent une forme de localisation des données. Un rythme extraordinaire qui nécessite de bien comprendre le paysage réglementaire.
Commentaire