Gestion des données : Souveraineté ou indépendance?

En technologies de l’information, comme dans plusieurs autres domaines d’affaires, nous sommes souvent influencés par des tendances émergentes remplies de promesses. Des innovations qui viennent bouleverser l’ordre établi, où les bénéfices surpassent largement les risques. Et la majorité des décideurs, à raison, prendront le virage tôt ou tard.

La souveraineté des données s’impose désormais comme un enjeu central pour les entreprises souhaitant préserver leur indépendance et garantir la confidentialité des informations sensibles. Dans ce contexte, le choix de conserver les données en interne, d’opter pour des solutions infonuagiques conformes, ou de bâtir une infrastructure hybride devient stratégique. Plus qu’une tendance, cette approche de souveraineté reflète une prise de contrôle visant à protéger les données tout en favorisant la résilience et la sécurité à long terme des organisations.

Les impacts de la législation

Avant la Loi 25 au Québec, l’Union européenne et l’Espace économique européen ont vu leurs 27 pays membres adopter le RGPD (Règlement Général sur la Protection des Données). Cette législation a eu un impact majeur sur l’industrie des technologies infonuagiques, entraînant plusieurs changements structurels pour les entreprises. Globalement, ces réglementations les ont poussés à aller plus loin dans leur protection des données, même si cela a posé des défis importants. Les entreprises québécoises font maintenant face à ces mêmes défis.

Souveraineté des données 101

La souveraineté des données désigne le contrôle et la juridiction qu’un pays ou une province a sur les données qui sont générées, stockées, ou traitées sur son territoire. Elles visent principalement à protéger la vie privée des citoyens, mais surtout, à assurer la sécurité nationale et à protéger la propriété intellectuelle en limitant l’accès aux données sensibles aux entités étrangères.

Au Québec, le concept de souveraineté des données demeure en grande partie théorique et est difficilement réalisable pour trois principales raisons :

→ La majorité des fournisseurs de services et d’équipements tels que les réseaux, serveurs et disques durs sont situés et conçus à l’étranger;

→ Les logiciels utilisés pour gérer, analyser et sécuriser les données sont majoritairement développés également par des entreprises internationales;

→ Les grands fournisseurs d’infonuagique (Microsoft, AWS, etc.) et même la très grande majorité des propriétaires de centre de données sont américains et assujettis au Cloud Act même si leurs infrastructures sont situées au Canada.

Alors, comment assurer la confidentialité de ses données et en contrôler complètement l’accès, lorsque même le propriétaire du bâtiment représente un facteur de risque?

N’est pas souverain qui le prétend, sachez-le.

Quitter l’infonuagique et réclamer son indépendance?

Comme les organisations ne peuvent pratiquement pas contourner les deux premières contraintes, plusieurs prennent la décision de rapatrier en interne leurs infrastructures et leurs données. Ainsi, ils minimisent les risques de voir leurs informations sensibles devenir accessibles aux gouvernements étrangers.

D’autres organisations, en particulier celles œuvrant dans des secteurs sensibles comme la finance, la santé et le gouvernement, le feront également pour mieux répondre aux exigences de conformité et de réglementations qui leur sont propres.

Peut-on être souverain et indépendant?

L’option privilégiée dépendra des besoins spécifiques de l’entreprise, des exigences réglementaires, de la nature des données et de la tolérance au risque. Une analyse avec des professionnels, comme ceux d’ITI, vous permettra de prendre une décision éclairée.

Cependant, peu importe quelle sera votre piste d’atterrissage, vous devrez assurer la sécurité et la confidentialité des données tout en visant à respecter au maximum les principes de souveraineté des données, malgré les contraintes :

Commencez par évaluer et classer vos données selon leur sensibilité et leur criticité. Identifiez celles qui nécessitent des mesures de protection renforcées et que vous devriez considérer conserver à l’interne.
Les entreprises doivent se conformer aux lois relatives à la protection des données et des renseignements personnels. Au Québec, on pense immédiatement à la Loi 25. Il ne faut pas non plus négliger le PIPEDA et la Loi C-27 du côté fédéral qui viennent la compléter.
Sélectionnez des fournisseurs de services infonuagiques et des centres de données qui se conforment aux normes. Assurez-vous qu'ils répondent réellement aux exigences de souveraineté.
Contrôlez vos accès de façon rigoureuse pour les limiter aux employés qui en ont besoin pour accomplir leurs tâches. Utilisez l'authentification multifacteurs (MFA) pour renforcer la sécurité.
Adoptez des technologies de cryptage pour protéger les données autant en transit qu’au repos et les rendre illisibles pour toute personne non autorisée.
Mettez en place des systèmes de surveillance et d'audit, tels que les solutions de gestion des événements et informations de sécurité (SIEM), pour détecter et répondre rapidement aux incidents de sécurité.
Formez vos employés en continu sur les meilleures pratiques en matière de sécurité des données, sur la législation et sur les politiques de l'entreprise.
Assurez-vous que vos ententes de services avec les fournisseurs incluent des clauses de protection des données et réévaluez régulièrement leurs pratiques.

Le choix entre une infrastructure 100% infonuagique, physique interne ou même hybride va bien au-delà de la souveraineté des données, car dans les faits, elle n’est pas 100% atteignable.

Etienne-Hugues Fortin

Conseiller technologique principal, secteur public

Même si la souveraineté des données est un objectif légitime, elle ne doit pas devenir un frein à l’innovation et à la compétitivité. Trop de restrictions dans le choix des infrastructures et des fournisseurs peuvent limiter l’accès aux meilleures technologies, notamment en matière d’intelligence artificielle, de cybersécurité et d’analyse avancée. Dans un contexte où l’exploitation des données est un levier de plus en plus stratégique, il est essentiel d’adopter une approche équilibrée en protégeant l’information sans enfermer l’entreprise dans un cadre trop rigide. En privilégiant des solutions qui assurent à la fois conformité, sécurité et performance, les organisations se donnent les moyens de croître et de rester à l’avant-garde, plutôt que de se confiner à une souveraineté, qui dans les faits, est illusoire.

Gestion des données : Souveraineté ou indépendance?

Les impacts de la législation

Souveraineté des données 101

Quitter l’infonuagique et réclamer son indépendance?

Peut-on être souverain et indépendant?

Etienne-Hugues Fortin

Parlez avec l'un de nos experts TI.

4 objectifs de la sécurité de l’information

Comment évaluer sa posture en matière de sécurité TI ?

Comment valoriser ses données pour l’intelligence artificielle

Une vision stratégique de vos TI avec nos conseillers technologiques

La défense en profondeur

Les impacts de la législation

Souveraineté des données 101

Quitter l’infonuagique et réclamer son indépendance?

Peut-on être souverain et indépendant?

Etienne-Hugues Fortin

4 objectifs de la sécurité de l’information

Comment évaluer sa posture en matière de sécurité TI ?

Comment valoriser ses données pour l’intelligence artificielle

Une vision stratégique de vos TI avec nos conseillers technologiques

La défense en profondeur

Infolettre ITI