Bien comprendre les bases de la souveraineté.

Les datas sont souveraines

Nous parlerons plus précisément de la souveraineté des datas dans une entreprise.

La souveraineté des datas signifie simplement que les données numériques sont soumises aux lois du pays où elles se trouvent, et à la fois aux règles de l’entreprises puisqu’elles appartiennent à l’entreprise elle-même.

Elles représentent l’entièreté du savoir-faire et de la valeur de votre entreprise.

Où se trouvent les datas des entreprises aujourd’hui ?

Avant, les documents de l’entreprise se trouvaient dans une armoire, dans le bureau du dirigeant. Ces données étaient sous le contrôle par la secrétaire de direction (secret taire : celle qui tait le secret).

Puis les documents ont migré vers des logiciels, installés dans l’entreprise. Le service informatique était le garant de la sécurité de l’accès aux datas : données stratégiques de l’entreprise.

Aujourd’hui, la majorité, voir la totalité des données sont dans des logiciels en mode Saas, c'est-à-dire dans le cloud. Et toutes les informations, tous les documents transitent par mails, souvent gérés dans le cloud. Les données sont maintenant soumises aux règles de l’hébergeur de vos logiciels.

Qui peut accéder aux datas de l’entreprise ?

Trois catégories de personnes peuvent accéder à vos datas :

1. Ceux qui ont un code d’accès à vos données, majoritairement vos collaborateurs
2. Ceux qui percent les protections de votre système d’information, les hackeurs
3. Ceux qui gèrent vos données, c’est à dire le fournisseur/hébergeur de votre logiciel

Les premiers sont gérés par votre propre service informatique, et vous êtes très vigilant

Sauf à vous faire voler vos clés d’accès, la 2ème catégorie est gérée par votre fournisseur de logiciel/hébergement, il est le garant de la non intrusion dans ses systèmes.

Par contre la 3ème catégorie est souvent ignorée et non abordée dans la stratégie de sécurité. Il a techniquement accès à vos données, l’entreprise lui fait confiance.

La question est alors : est-ce que mon hébergeur peut juridiquement accéder ou exploiter mes données ?

La réponse est : cela dépend de la loi en vigueur dans le pays de votre fournisseur et de ses CGV.

Notez que des CGV ne peuvent pas "supplanter" les lois du pays. Cela parait évident, mais gardez-le à l’esprit.

Pour les CGV de Google par ex : "Nous utilisons vos informations personnelles pour vous proposer les produits les plus utiles possible. "

Et de rajouter : "De même, nous ne nous servons jamais de vos e-mails, documents, photos ou informations sensibles comme l'origine ethnique, la religion ou l'orientation sexuelle pour adapter les annonces à votre activité de navigation"

Vos données sont donc analysées et exploitées. En effet, comment définir et trier entre les informations sensibles non exploitées et les non sensibles exploitées ?

Et dans tous les cas, les données business sont exploitées.

Pour les logiciels américains hébergés, par ex : le Cloud Act permet un accès aux données de votre entreprise, même si le serveur est en Europe. Bien que cette loi soit en conflit avec le règlement RGPD, l’extra-territorialité des lois américaines prend le dessus : lire article Arts et Métiers

Si vous avez des questions, n'hésitez pas à nous contacter par message privé.