Tout ce que vous devez savoir sur la souveraineté numérique

Les réglementations en matière de données évoluent constamment, mais le fait est qu’il appartient à votre entreprise de traiter les informations relatives aux employés et aux clients de manière responsable. Cela est beaucoup plus facile à dire qu’à faire.

Les entreprises ont en moyenne 17 applications différentes qui traitent les données des clients. Assurer la conformité de chacune de ces applications, et de toutes les données des employés, est une tâche complexe. Si l’on considère que 92 % des données du monde occidental sont en fait hébergées aux États-Unis, où les lois sont souvent en conflit avec les lois européennes, la complexité de cette tâche augmente de façon exponentielle.

La souveraineté numérique permet à votre entreprise de gérer efficacement vos données. Vous contrôlez les données dont dispose votre entreprise et l’endroit où vous les stockez, en restant en conformité avec les réglementations locales en matière de données.

Dans cet article, vous apprendrez ce qu’est la souveraineté numérique, pourquoi elle est importante et ce que vous pouvez faire pour rester en conformité.

La souveraineté numérique représente le droit et la capacité d’une partie à contrôler ses propres données numériques. Elle comprend le contrôle de l’environnement numérique d’une entreprise, y compris les données des clients et des employés, les logiciels, le matériel et les autres actifs numériques.

Pierre Bellanger, auteur de La Souveraineté Numérique, la définit comme suit :

“La souveraineté numérique est la maîtrise de notre présent et de notre destin tels qu’ils se manifestent et s’orientent par l’usage des technologies et des réseaux informatiques.”

La souveraineté numérique repose sur deux piliers principaux : la souveraineté des données et la souveraineté technologique.

• La souveraineté des données désigne le degré de contrôle qu’une entreprise exerce sur les données qu’elle utilise et produit.

• La souveraineté technologique est le degré de contrôle qu’une entreprise ou une nation exerce sur les technologies numériques qu’elle utilise.

Source: Atos

La souveraineté numérique fluctue en fonction de la croissance et du développement des entreprises, ce qui signifie que les sociétés peuvent l’atteindre à des degrés différents. Par exemple, vous pouvez avoir une souveraineté totale en matière de données grâce à des serveurs locaux, mais votre souveraineté technologique est limitée en raison des systèmes existants.

Idéalement, les entreprises devraient viser une souveraineté numérique totale. En tant que chef d’entreprise, vous aurez une maîtrise totale sur l’ensemble de vos données et de vos actifs numériques, ce qui vous permettra de prendre les bonnes mesures pour en assurer la sécurité.

Mais ce n’est pas un processus simple, en particulier pour les entreprises en Europe. Avant d’expliquer pourquoi, nous allons aborder deux termes importants pour comprendre la souveraineté numérique : les actifs numériques et la gouvernance d’entreprise.

Qu’est-ce qu’un actif numérique ?

Un actif numérique est un élément de valeur que votre entreprise peut consulter et posséder et qu’elle stocke sous forme numérique.

Par exemple, un document qui décrit un processus de l’entreprise a de la valeur pour cette dernière, mais pas un meme partagé dans un groupe Slack.

Voici quelques exemples d’actifs numériques qui peuvent être créés et détenus par l’entreprise :

• Documents
• Images
• Fichiers ou enregistrements audio
• Vidéos
• Logos de l’entreprise
• Présentations
• Feuilles de calcul
• Sites web

La gestion efficace de vos actifs numériques est un élément clé de la souveraineté numérique ; vous devez savoir quelles données vous possédez, comment les stocker et comment les utiliser conformément aux réglementations en matière de données. C’est pourquoi il est essentiel de gérer efficacement vos actifs numériques (nous verrons plus loin comment le faire).

Qu’est-ce que la gouvernance d’entreprise ?

La gouvernance d’entreprise consiste à gérer efficacement une entreprise pour lui permettre de faire ce qui suit :

• Suivre des processus, des procédures et des flux de données fiables et standardisés
• Assurer la conformité juridique
• Défendre les valeurs et l’intégrité de l’entreprise
• Promouvoir de bonnes relations avec les parties prenantes

En résumé, la gouvernance garantit que les entreprises sont organisées, efficaces et conformes à la loi, autant d’éléments essentiels à la souveraineté numérique.

Rappelons que la quasi-totalité des données du monde occidental est stockée aux États-Unis. À l’échelle mondiale, nous comptons sur les entreprises technologiques des États-Unis et, dans une moindre mesure, de la Chine pour stocker et gérer une énorme quantité de données.

Avec autant de stockage et de traitement de données à l’étranger, les gouvernements et les décideurs européens s’inquiètent. Ils souhaitent que des paramètres plus stricts soient mis en place pour utiliser et stocker les données localement, ce qui permettra aux pays européens de gérer leurs propres données, d’améliorer leur écosystème numérique et de garantir une numérique responsable.

Pour surmonter ce défi, la souveraineté numérique européenne passe par le renforcement de son autonomie réglementaire. Il s’agit de fixer ses propres règles et de les faire prévaloir aux côtés des acteurs dominants.

Voici un aperçu simplifié de la façon dont cela peut se produire :

• Toutes les données européennes doivent rester en Europe
• Les réglementations et la législation européennes doivent être établies et respectées
• Le stockage et le traitement des données doivent provenir de sociétés informatiques européennes

La mise en place de ces mesures n’est pas une tâche facile, et de nombreuses entreprises européennes ont encore du mal à gérer et à contrôler leurs propres données.

Prenons l’exemple d’Apple.

En juin 2021, la société a annoncé un service de relais privé. Ce service crypte les données afin que personne (y compris Apple) ne puisse voir l’activité de navigation en ligne d’un utilisateur.

Source: MacRumors

Vodafone, Telefonica, Orange et T-Mobile ont envoyé une lettre commune à la Commission européenne pour faire part de leurs préoccupations concernant cette fonctionnalité.

Le groupe souhaite qu’Apple cesse d’utiliser cette fonctionnalité, car elle les empêchera de gérer efficacement leurs réseaux en limitant leur accès à des données cruciales.

En d’autres termes, la décision d’Apple en matière de confidentialité des données a un impact sur la souveraineté numérique européenne.

Que fait l’Europe pour progresser vers la souveraineté des données ?

La bonne nouvelle est que l’Europe déploie des initiatives pour aider les entreprises européennes à prendre le contrôle de leurs infrastructures critiques.

La législation sur les marchés numériques (Digital Markets Act) et la législation sur les services numériques (Digital Services Act) ont été mises en place pour créer un espace numérique plus équitable et plus sûr pour les entreprises. Elles protègent les droits des utilisateurs et créent des conditions de concurrence équitables pour que les entreprises puissent innover, se développer et être compétitives.

Le Règlement Général sur la Protection des Données en est un autre exemple. Cette législation est entrée en vigueur en 2018 pour protéger les données personnelles à travers l’Europe.

Il existe également des agences qui aident les entreprises à prendre en charge leurs propres données, comme Numspot. Numspot est une coentreprise de La Poste, Dassault Systèmes, Bouygues Telecom et la Caisse des Dépôts visant à créer un serveur cloud local de confiance. À partir de la mi-2023, les entreprises françaises (et même le public) pourront conserver leurs données dans le pays, où elles pourront mieux les surveiller.

Numspot fait partie d’une nouvelle vague d’entreprises spécialisées dans la souveraineté des données qui apparaissent en Europe dans le but d’aider les entreprises à gérer leurs propres systèmes informatiques et les données qu’elles gèrent.

Il existe des sociétés de logiciels européennes établies qui proposent un cloud sécurisé. OVH, par exemple, est un fournisseur de cloud existant en France et un membre fondateur de CISPE (Cloud Infrastructure Services Providers in Europe).

Depuis 2018, le Royaume-Uni et chaque pays européen disposent d’autorités de protection des données qui supervisent la conformité des données. En Europe, les représentants de ces autorités sont organisés en un groupe appelé le Conseil européen de la protection des données (European Data Protection Board).

Les membres de l’EDPB sont chargés de :

• Publier des lignes directrices et de formuler des recommandations
• Conseiller la Commission européenne sur les questions de protection des données
• Assurer une application cohérente du RGPD, en particulier lorsque les données traversent les frontières
• Résoudre les différends entre pays concernant le traitement des données

Toutes ces réglementations et initiatives aident l’Europe à prendre le contrôle de ses infrastructures, capacités, compétences et données numériques.

Mais il reste encore des obstacles à franchir, ce qui nous amène au CLOUD Act.

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi fédérale américaine.

Cette loi permet aux autorités américaines d’accéder aux données stockées électroniquement par des entreprises américaines ayant des activités transfrontalières (sous réserve d’une ordonnance du tribunal et à condition que les données soient pertinentes pour une enquête en cours).

Cela signifie que le gouvernement américain peut accéder aux données des entreprises européennes appartenant aux États-Unis.

Par exemple, des entreprises telles que Microsoft, Amazon et Google sont toutes de propriété américaine, mais elles possèdent des centres de données dans l’Union européenne. Le CLOUD Act permet également aux pays de l’UE de conclure des accords d’échange de données. Prenez l’exemple de l’accord entre les États-Unis et le Royaume-Uni.

Mais le CLOUD Act a suscité une certaine controverse en Europe, car il peut restreindre la souveraineté numérique. Avec autant de serveurs et d’entreprises situés aux États-Unis, les pays européens sont liés aux règles du droit américain. Par conséquent, ils sont incapables d’atteindre la souveraineté numérique.

Paul van den Berg, du Centre national néerlandais de cybersécurité (National Cyber Security Center), a déclaré :

“Les entreprises et les organisations sont en fait de moins en moins capables de garantir ou d’assurer que les informations qu’elles traitent sont suffisamment protégées contre l’accès par des puissances étrangères, non européennes.”

Par ailleurs, des personnes affirment que le CLOUD Act est en contradiction avec le RGPD.

Par exemple, disons qu’une entreprise américaine demande à son entité française des données sur un groupe de clients. Pour se conformer au CLOUD Act, l’entité française est tenue de divulguer ces informations – mais en partageant ces informations, elle n’est plus en conformité avec le RGPD.

Aujourd’hui plus que jamais, l’Europe souligne l’importance d’utiliser des services de cloud basés en UE. Cela permet de s’assurer que les données personnelles sont protégées dans le cadre des lois européennes sur la protection des données et en accord avec les valeurs de l’UE.

Au cours de la dernière décennie, la souveraineté numérique est devenue un élément clé des discours sur la politique numérique. Il n’est pas surprenant que cela ait eu une répercussion sur les entreprises.

Cisco a constaté que 76% des consommateurs interrogés dans le monde entier n’achèteraient pas de produits à une entreprise à laquelle ils ne font pas confiance pour la gestion de leurs données. En outre, plus d’un tiers (37%) se sont tournés vers un concurrent en raison des pratiques en matière de confidentialité des données.

Découvrons certains des arguments en faveur de la souveraineté numérique pour les entreprises.

Contrôler et réguler les données

Devenir un souverain numérique signifie gérer vos propres données. Vous avez l’autorité sur les données que vous collectez, où vous les stockez et comment vous les gérez.

Cela est bénéfique pour les entreprises, car vous pouvez mieux surveiller vos données, vous n’êtes jamais empêché d’y accéder et vous pouvez voir quand elles ont été complètement effacées du système.

Vous aurez également une idée beaucoup plus claire des informations que votre entreprise conserve dans la base de données. Cela vous aidera non seulement à mieux structurer et organiser vos données existantes, mais aussi à rester en conformité avec les lois sur la confidentialité des données (nous y reviendrons).

Cela vous aidera aussi à contrôler votre propre gouvernance, afin de vous assurer que tout est conforme à vos pratiques internes en matière de confidentialité. Si ce n’est pas le cas, vous avez le pouvoir d’apporter immédiatement les modifications nécessaires.

Garantir le respect de la réglementation en matière de protection des données

Le risque est inévitable lorsque l’on contrôle et réglemente ses propres données. Comme vous êtes l’autorité régnante en matière d’informations sur les clients, c’est à vous de vous assurer que vous protégez bien ces données.

Si votre entreprise ne respecte pas la réglementation, vous risquez des pénalités, des amendes et la perte de confiance de vos clients.

Lorsque les données sont hébergées à l’extérieur, il est plus difficile (voire impossible) de détecter les activités malveillantes, les mauvais processus de protection des données, les systèmes de stockage obsolètes, etc.

La bonne nouvelle est que l’utilisation d’un serveur local ou d’un fournisseur de cloud facilite le respect des règles locales de protection des données. Une étude récente montre que parmi les responsables informatiques et de systèmes d’information qui ont recours à un fournisseur local de services cloud, près d’un tiers l’utilisent pour des raisons de conformité réglementaire et un sur cinq pour répondre aux exigences de souveraineté numérique.

Source: IDC

Alors, comment un cloud local ou un fournisseur de services peut-il vous aider à respecter les règles de confidentialité des données ?

Tout simplement, le stockage local de vos données vous permet d’y accéder plus facilement. Elles se trouvent déjà dans le pays, et vous n’avez pas à vous soucier du fait que vos données doivent respecter les réglementations d’autres pays.

En d’autres termes, le stockage local de vos données vous permet de vous assurer plus facilement que tout est conforme à la réglementation locale en matière de protection de la vie privée. Sans ce niveau de transparence, il devient plus difficile de contrôler vos données et de respecter les réglementations locales.

Créer la confiance avec les employés, les clients et les parties prenantes

Des fuites de données publiques se produisent régulièrement. La pandémie de Covid-19 a provoqué un énorme afflux de clients sur des plateformes numériques qui n’étaient tout simplement pas équipées pour cela.

Source: Deloitte

Mettez-vous à la place de votre client pendant une seconde. Comment vous sentiriez-vous si vous saviez qu’une entreprise à laquelle vous faites confiance ne respecte pas les règles de confidentialité des données ? Il y a de fortes chances que vous soyez inquiet pour vos informations personnelles (comme votre adresse personnelle et les détails de votre carte de crédit).

Pour instaurer la confiance, vous devez être transparent sur la manière dont vous stockez et gérez les données de vos clients.

C’est là que la souveraineté numérique entre en jeu.

En ayant le contrôle de vos données et de vos processus, vous pouvez offrir une transparence totale à vos clients. Vous pouvez leur dire exactement où leurs données sont stockées, comment vous les gérez et ce que vous en faites.

Découvrons quelques-unes de ces meilleures pratiques pour maîtriser la souveraineté numérique.

Examiner les règlements liés aux données

Commencez par vous tenir informé des réglementations et de la gouvernance des données établies par votre pays, votre instance dirigeante ou votre secteur.

La manière de procéder est très subjective ; les réglementations que vous devez suivre dépendent de l’endroit où votre entreprise opère et du secteur dans lequel vous travaillez. Vous devrez effectuer vos propres recherches pour vous assurer que vous respectez les lois et réglementations qui s’appliquent à votre entreprise.

Pour savoir par où commencer et évaluer l’ampleur de la tâche, consultez les règles de la Commission européenne sur la protection des données personnelles.

Si vous ne savez pas comment trouver les bonnes informations, envisagez de vous adresser à un consultant externe en matière de conformité des données ou de former un employé pour qu’il joue le rôle de responsable interne de la conformité des données. Vous serez ainsi assuré d’obtenir des conseils fiables sur les meilleures pratiques en matière de confidentialité des données.

Analysez vos propres données et votre technologie

Avec une solide compréhension des réglementations sur les données et des lois sur la confidentialité, vous pouvez revoir la manière dont vous utilisez et stockez les données. Cela devrait vous aider à comprendre les détails de votre collecte de données. À partir de là, vous pouvez identifier les vulnérabilités et repérer les domaines à améliorer.

Voici quelques exemples d’informations que vous devez analyser :

• D’où proviennent vos données ? Collectez-vous des données à partir de votre site web ? Considérez d’autres domaines qui fournissent des données, comme les abonnements, les transactions via des plateformes tierces et le support client. Vous devez savoir comment les données arrivent dans votre entreprise afin de pouvoir les gérer efficacement.

• Quel type de données stockez-vous ? Il est important de savoir exactement quel type de données vous obtenez de vos clients et de vos employés. Les exemples de données comprennent les informations personnelles (nom, localisation, adresse e-mail, numéro de téléphone), l’adresse IP, l’historique de navigation, l’activité sur les médias sociaux, l’historique des conversations et le comportement en ligne. Vous aurez besoin de ces informations pour vous assurer que vous suivez la réglementation sur la confidentialité des données.

• Comment utilisez-vous ces données ? Envoyez-vous des newsletters à leurs adresses électroniques ? Ou peut-être, utilisez-vous les adresses IP pour localiser les lieux géographiques les plus populaires auprès de vos clients. Cela est-il autorisé dans toutes les régions où votre entreprise opère ?

• Quelles entreprises technologiques utilisez-vous pour obtenir et stocker des données ? Les outils numériques que vous utilisez pour recueillir, stocker et gérer les données pourraient faire la différence entre être numériquement autonome ou dépendre d’un serveur international. Passez en revue toutes les plateformes que vous utilisez pour collecter et gérer les données et identifiez l’emplacement des serveurs.

Au cours de ce processus, il est important que toute transformation numérique n’ait pas d’impact sur votre agilité.

Dans une ère numérique où tout va très vite, votre entreprise doit rester en phase avec ses concurrents. Si vous prenez trop de mesures trop rapidement, votre efficacité pourrait en souffrir.

Prenez le temps de déterminer la meilleure façon de mettre en œuvre tout changement et travaillez avec une équipe de conduite du changement si les mises à jour technologiques sont importantes et que la productivité est déterminante.

Créer un plan de gestion des actifs numériques

Nous avons déjà parlé de l’importance de la gestion des actifs numériques en matière de souveraineté numérique. Voyons maintenant comment s’y prendre.

Voici quelques moyens de gérer efficacement vos actifs numériques :

• Comprendre le cycle de vie des actifs numériques. Commencez par examiner le cycle de vie des actifs numériques. La compréhension de ce processus vous permettra de savoir à quoi vous attendre au fur et à mesure de l’évolution de vos actifs numériques. Les principales étapes sont la création, la gestion continue des données, la distribution et l’archivage.

• Passez en revue vos actifs existants. Jetez un coup d’œil à vos actifs numériques existants pour vous faire une idée de ce que vous avez, de la façon dont ils sont organisés et de ce qui vous manque. Cela devrait vous donner une bonne idée de la manière dont vous pourriez améliorer votre gestion actuelle des actifs numériques.

• Choisissez une plateforme de gestion des actifs numériques. Trouvez la plateforme de gestion des actifs qui convient à votre entreprise en identifiant les fonctionnalités dont vous avez besoin. Ensuite, effectuez votre recherche en fonction des fonctionnalités que vous souhaitez. Par exemple, vous pourriez vouloir classer vos actifs par type. Dans cette optique, vous chercherez une plateforme qui offre cette fonctionnalité.

• Créez un plan de gestion des actifs numériques. Après avoir passé en revue vos actifs existants, vous pouvez maintenant vous tourner vers l’avenir et créer un plan d’action pour vos actifs numériques. Dans ce plan, vous décrirez vos objectifs en matière de gestion des actifs numériques, la manière dont vous prévoyez d’organiser et de structurer vos actifs, les personnes responsables de la gestion de certains actifs et l’endroit où les actifs seront stockés.

• Organisez et structurez vos actifs numériques. Sur la base de ce plan, vous pouvez commencer à mettre en place des changements pour améliorer la gestion de vos actifs numériques. Si vous effectuez des changements importants, le fait de les mettre en œuvre par étapes peut vous aider à gérer le processus.

Source: Comparesoft

Apizee est un fournisseur de communication vidéo temps réel web qui aide les entreprises à se connecter avec leurs clients, leurs partenaires et leurs collègues. Grâce à la communication web et mobile en temps réel, les entreprises peuvent rester en contact à distance et sur site.

Avec Apizee, vous pouvez fournir un service de visio-assistance, offrir des consultations privées de téléconsultation par le biais d’appels vidéo cryptés, et un support vidéo pour le field service sur une multitude d’appareils et de plateformes.

En matière de souveraineté numérique, l’utilisation d’Apizee est un pas dans la bonne direction.

Nous prenons la sécurité numérique et la confidentialité très au sérieux. Toutes nos données sont stockées en Europe, tandis que nos équipes de recherche et de développement sont en France. Nous sommes également en conformité avec le RGPD.

Voici comment nous avons renouvelé tous nos systèmes et processus pour respecter la nouvelle réglementation :

• La confidentialité dès la conception. Notre architecture logicielle garantit que les données qui transitent par nos solutions sont sécurisées et cryptées.
• Analyse des usages internes concernés par le RGPD
• Audit de sécurité pour détecter les risques d’intrusion
• Nomination d’un “pilote” pour s’assurer du respect du RGPD au sein de l’entreprise et tout au long de la chaîne de sous-traitance
• Inventaire des prestataires de services liés au traitement des données personnelles pour s’assurer de leur conformité
• Mise en place de procédures en cas de violation de données
• Cartographie des données personnelles collectées et définition du cadre d’utilisation
• Formation interne des employés
• Mise à jour de nos documents contractuels, notamment des clauses relatives à la protection des données personnelles

Vous pouvez également en savoir plus sur nos règles de confidentialité des données dans notre politique de confidentialité.

Le chemin vers la souveraineté numérique peut être long et compliqué. Il y a de nombreux défis à relever pour avoir le contrôle total de tous vos actifs de données, mais c’est possible.

Aujourd’hui, peu d’entreprises européennes peuvent dire qu’elles ont le contrôle total des données de leurs clients. Avec la multiplication des fuites d’informations, être la seule autorité en matière de données est un avantage concurrentiel.

Considérez Apizee dans votre démarche vers la souveraineté numérique. Notre plateforme de communication vidéo sécurisée est axée sur les échanges avec les clients, l’assistance visuelle et la collaboration entre entreprises. Contactez-nous pour un devis gratuit.

Demander une démo