Souveraineté des données : gare aux spécificités des sauvegardes

Bien entendu, dans un contexte où les violations de données, et notamment les attaques par ransomwares, vont croissantes. Ces aspects de la souveraineté sont de plus en plus importants à prendre en compte, surtout dans le cadre de la conception d’infrastructures de gestion des données.

Le RGPD européen est sans doute un des règlements les plus poussés en la matière ; il a de surcroît inspiré les gouvernements du monde entier. À notre connaissance, de nombreux pays sont dotés d’un arsenal légal plus ou moins élaboré relatif à la souveraineté des données, souvent basé sur tout ou certains éléments du règlement européen. Si une entreprise opère dans l’un de ces pays, elle doit alors composer avec des problématiques complexes de gestion des données.

Par exemple, les États-Unis n’ont pas de loi fédérale qui encadre ce sujet mais le Cloud Act^[1] (récemment mis à jour) régule l’accès aux données des citoyens et des organisations américains détenues à l’étranger et a donc des implications au-delà des frontières du pays.

La complexité du cloud

Les lois qui encadrent la souveraineté des données ne sont pas uniquement le résultat de l’avènement du cloud. Cependant, de par sa nature distribuée, le cloud a fait tomber bon nombre des barrières technologiques qui limitaient auparavant la dispersion des données au-delà des frontières. Il a également suscité la volonté de certaines nations à mettre en place un système de contrôle plus élaboré. L’essor du multicloud ne fait qu’augmenter la probabilité d’éparpillement des données à travers différentes zones géographiques soumises à des lois différentes.

Au regard de leur lieu de stockage, le contrôle sur ces données représente un des principaux défis dans la conception d’architectures modernes. Particulièrement lorsque les services cloud sont fournis par un ou plusieurs tiers, le risque est d’enfreindre, même involontairement, les obligations légales. 

Spécifiquement pour les sauvegardes

De plus en plus d’entreprises se tournent judicieusement vers le cloud pour respecter la règle classique du « 3-2-1-1 » pour la sauvegarde et la récupération de leurs données. Cependant, nombreuses sont celles qui oublient de tenir compte du fait que les législations de souveraineté des données s’appliquent aussi bien aux sauvegardes qu’aux données de production.

Si, par exemple, les données de production d’une entreprise française soumise sont créées, traitées et stockées conformément dans l’UE (et donc au RGPD), mais sauvegardées chez un fournisseur de services cloud qui transfère les sauvegardes aux États-Unis ou dans un autre pays non-membre de l’UE : cette entreprise peut alors perdre sa conformité.

Les bénéfices d’une approche single-tenant 

L’une des clés pour éviter que les données sauvegardées dans le cloud n’aillent à l’encontre des régulations locales, consiste à l’utilisation de modèles de déploiement flexibles qui permettent de contrôler la zone géographique dans laquelle le service et les données sont hébergés.

Malheureusement, tous les outils n’offrent pas la possibilité de déterminer cet emplacement. L’idéal est de disposer d’une solution dotée d’une architecture de déploiement single-tenant qui peut être provisionnée dans l’infrastructure de l’entreprise ou dans celle du fournisseur, dans n’importe quelle région où se trouvent les données. Cette solution constitue la meilleure base possible pour un environnement sécurisé sur le plan légal, sans risque de migration transfrontalière involontaire. 

En conclusion, les entreprises ne doivent pas oublier qu’il leur incombe de s’assurer que les données, y compris celles de sauvegarde, soient conformes, où qu’elles se trouvent, et que la sanction en cas de manquement peut être particulièrement lourde. Malgré les bénéfices qu’elles offrent, les infrastructures cloud et multicloud ne rendent pas toujours cette tâche plus simple et imposent l’utilisation d’outils appropriés.

[1] Clarifying Lawful Overseas Use of Data