Souveraineté des données : pourquoi être conforme ne suffit plus

La plupart des organisations pensent être protégées parce qu’elles respectent le RGPD. En réalité, conformité ne signifie pas maîtrise.

Le problème

• Données hébergées hors UE (Cloud US)
• Lois extraterritoriales (Cloud Act)
• Sous-traitance en cascade

Ce que ça implique concrètement

• Perte de contrôle juridique
• Accès potentiel par des autorités étrangères
• Risque réputationnel

Ce que disent les autorités

• CNIL : importance de la localisation et du contrôle
• ANSSI : stratégie cloud de confiance
• ENISA : gestion des risques liés aux fournisseurs cloud

Ce qu’il faut faire

• cartographier les données sensibles
• identifier les dépendances fournisseurs
• privilégier les solutions maîtrisées (EU / souveraines)
• contractualiser les accès

Conclusion

La souveraineté n’est pas un discours politique, c’est un enjeu opérationnel.