Articles
Guides Pays
Data residency : la protection des données au-delà des frontières
Guides Pays
new

Data residency : la protection des données au-delà des frontières

Publié  

1/12/2022

par 

Bénédicte Rivory

7
min lecture

Published  

January 12, 2022

by 

Bénédicte Rivory

10 min read
Sommaire

Dans un monde où l’utilisation des données personnelles s'étend, prendre en compte le cadre réglementaire et ambitionner un développement mondialisé est inconciliable. 


Le respect de la data residency (la localisation des données en français), fait aujourd'hui partie des éléments de conformité juridiques à prendre en compte par les entreprises. La localisation des données désigne un concept qui impose de la transparence sur la résidence géographique des données, en accord avec la réglementation en vigueur dans un pays ou une région donnée. Cela implique que certaines données ne peuvent franchir la frontière du lieu où elles ont été émises. 

Protection et localisation des données : la situation globale 

 

Les internautes et leur inquiétude liée à la protection des données personnelles ne cesse de croître. En effet, les internautes attendent une transparence maximale de la part des entreprises.

 

Selon l’étude Privacy Made Positive, en moyenne, 80 % des consommateurs font attention à la vie privée avant d'acheter.  La localisation des données gagne une place importante dans la discussion. 

 

Toute structure européenne ou extra européenne opérant ses activités en ligne avec l’Europe fait face aux exigences principales qui découlent du très connu RGPD. On pourrait penser que celui-ci couvre à peu près tous les domaines liés à la protection des données. Pourtant, il s’agit là d’un sujet qui évolue particulièrement vite, compte tenu de l’évolution constante des réglementations en vigueur dans beaucoup de pays.

 

Le traitement des données personnelles évolue chaque jour et le cadre légal peine à suivre cette évolution. La localisation des données est un sujet qui a émergé il y a déjà quelques années, suite à l’explosion des flux d’informations, la multiplication des plateformes en ligne et l’utilisation des clouds comme bases de données. Le nombre de données émanant de tous ces flux n’a cessé de croître. 

 

Plus que jamais, la localisation des données est un enjeu majeur pour les entreprises, puisque chaque pays dispose de ses propres réglementations, ou n’en possèdent pas encore à l’heure actuelle. 

 

Il est avant tout nécessaire de comprendre le cycle de vie des données afin de comprendre son traitement global et d’en comprendre les enjeux. Et c’est que nous allons voir dans la section suivante.

 

Quel est le processus du cycle de vie d’une donnée ? 

 

Tailles et domaines confondus, toutes les structures disposant de données personnelles dans le cadre de leur activité sont préoccupées par le cycle de vie de ces données. Cette gestion va de la création à la destruction de la donnée. 

 

C’est une problématique à la fois fonctionnelle et technique. Ces trois étapes permettent de garantir la sécurité, la disponibilité et le stockage optimal des données de la structure concernée :

 

  • La création des données : les données arrivent par diverses sources dans la base de données. Il peut s’agir des données appartenant à un prospect, contact, clients, dans le cadre de l’exécution du contrat ou encore le développement commercial. 
  • Le traitement des données : les données sont traitées suivant les finalités pour lesquelles elles ont été collectées. 
  • La destruction des données : une fois la finalité d’usage et/ou la durée de conservation légale atteinte, les données sont détruites.

 

Le RGPD impose que les responsables de traitement mettent en place toutes les mesures techniques, organisationnelles, voire humaines, pour assurer la sécurité des données. Le concept de responsabilité de tous les acteurs indique que la mission de la collectivité ou de l’établissement est bien de veiller à la sécurité des données à caractère personnel collectées et traitées, à tout moment de leur vie, tant qu’il n’y a pas de preuve de leur destruction. 

 

Cependant, la localisation des données est un sujet à prendre en compte suivant les spécificités réglementaires des certaines régions du monde, et c’est ce que nous allons voir ici.

 

L’Union Européenne : des données sous haute protection

 

Bien qu’elle ne dispose pas pour l’heure d’une régulation spécifique en localisation des données, l’invalidation du Privacy Shield donne un avant-goût du positionnement de l’Union Européenne. Le Privacy Shield, négocié en 2016, est un accord qui devait être passé entre l’Union Européenne et les Etats-Unis.

 

Cependant, cet accord a été annulé en 2020, car les Etats-Unis ne disposent pas à l’heure actuelle d’un dispositif réglementaire suffisamment solide concernant la protection des données. La plupart des entreprises européennes s’efforcent de traiter de la question avant d’entamer des activités dans un pays tiers à l’UE. 

 

Au sens du RGPD, les entreprises doivent conserver les données en toute sécurité au sein de l'UE et si les données doivent être transférées en dehors de l'UE, elles ne peuvent l'être que vers des pays qui ont souscrit à une protection équivalente de la protection des données personnelles.

 

La Russie : un cadre réglementaire strict

 

La Russie a adopté des textes comme la Law on Personal Data de 2006. Un autre texte est la loi  sur l'information, les technologies de l'information et la protection de l'information, établissant des règles de base concernant l'information en général et sa protection. 

 

Les règles de localisation ne s'appliquent aux entreprises que si elles effectuent intentionnellement des actions spécifiques : collecte, enregistrement, systématisation, accumulation, stockage, clarification (mise à jour et modification) et extraction de données personnelles. Toutefois, des actions telles que l’utilisation, le transfert, le retrait ou la destruction des données personnelles peuvent être effectuées à l'aide de bases de données situées en dehors de la Russie. 

 

La Russie exige l’implication de juristes et d’experts en technologies de l'information afin de créer des systèmes et des politiques de traitement des données à caractère personnel. Avec de telles mesures, avec un niveau d’exigence élevé, la Russie demeure un pays où la protection des données et la localisation constituent un élément d’importance majeure.

 

 

La Chine, des standards revus à la hausse

 

Consciente de l’ampleur de cette problématique, la Chine s’empare elle aussi de la question de data residency

 

Les lois chinoises sur la cybersécurité exigent que les informations relatives aux citoyens chinois ou à la sécurité nationale soient stockées sur des serveurs nationaux. 

 

La nouvelle PDPL (Personal Data Protection Law) de la Chine vise à établir des contrôles plus stricts sur la manière dont les données des utilisateurs sont gérées à l'avenir, y compris la création d'organismes de gestion et des évaluations régulières des risques pour les organisations qui cherchent à accéder aux données chinoises.

 

Le projet de loi PIPL (Personal Information Protection Law), renforcera quant à lui, les nouveaux droits acquis par les personnes concernées résidant en Chine, quelle que soit leur nationalité, tels que le droit de demander que leurs données soient supprimées ou retirées de la collecte. 

 

Les entreprises traitant un volume important de données personnelles seront tenues de nommer des responsables de la protection des données. Le traitement transfrontalier d'informations personnelles sensibles sera également soumis à un seuil en vertu de la PIPL, les entreprises dépassant ce seuil étant tenues de localiser leurs activités de traitement des données. 

 

Pourquoi faut-il prendre au sérieux la localisation des données ? 

 

Certains de vos clients menant leur activité à l’international ont des besoins très précis en termes de stockage des données. Les acteurs proposant leur produit sur les plateformes numériques n’ont d’autre choix que d’inclure rapidement les nouvelles exigences (de conformité) dans leur offre, afin d’éviter tout litige avec un pays.

 

La souplesse dans votre solution d’intégration sera un levier indispensable pour couvrir la plus large variété de législation, dans les régions où vos clients opèrent. 

 

Cette souplesse permet de vous adapter aux différentes mesures de localisation des données. En effet, une offre d’intégration qui se trouve limitée à certains pays, impacte directement la capacité de vos clients à s’ouvrir vers de nouveaux marchés. 

 

La localisation des données est sûrement l’un des sujets qui permettent le mieux de saisir l’intérêt d’adopter une stratégie sur mesure par les SaaS, puisque ces structures reposent sur du Cloud.

 

Les réglementations diffèrent mais ce qui est certain est que la protection des données personnelles préoccupe l’ensemble des acteurs de l’économie numérique. 

 

Dans ce contexte, les entreprises qui pourront prospérer sont celles qui ajustent leur offre selon les mesures de conformité qui changent par région. La localisation des données est une variable qui est donc très réglementée, les entreprises qui ne s’y soumettent pas s’exposent à des poursuites judiciaires et pénales, comme l’illustre la condamnation de Facebook avec la Russie en 2019.

 

Respecter la résidence des données personnelles vous confère la réputation d’une entreprise qui, au sens large, respecte la vie privée des internautes. 

 

{{discover-didomi-for-compliance}}

 

 

Comment Didomi s’adapte à cet enjeu

 

Chez Didomi, la gestion des données personnelles occupe tout naturellement une place centrale. Ayant le plaisir de travailler avec des clients internationaux et qui eux-mêmes poursuivent leur activité à l’international, nous suivons de très près les tendances en data residency. 

 

Nos données sont stockées en Allemagne, et nous travaillons avec AWS. Avoir nos serveurs dans un pays respectant le RGPD (le règlement qui assure la plus grande protection en protection des données personnelles)  était pour nous une évidence.

 

Nos équipes travaillent sur une future localisation dans des pays comme la Russie, la Chine et plus encore, pour une plus grande adaptabilité, répondant aux besoins et exigences de nos clients. 

 

Didomi propose cependant une solution pour les entreprises opérant avec la Russie, afin de leur garantir un maximum de sécurité, en conformité avec la loi Russe. Grâce à la PMP (Preference Management Platform), les données des ressortissants russes collectées par Didomi sont dans un premier temps stockées en Russie, comme l’exige la réglementation en vigueur. Ces données vous seront transférées par la suite. 

 

Notez cependant que cette fonctionnalité ne concerne que la PMP, qui vous transfère directement les données. N’hésitez pas à nous contacter pour activer cette option !

 

{{request-a-demo}}