Chat with us, powered by LiveChat
Nous utilisons des témoins à des fins d’analyse du Site Web, de statistiques, de profilage et de reciblage publicitaire. Nous pouvons aussi partager de l’information sur votre utilisation du Site Web avec nos partenaires publicitaires et analytiques. Vous pouvez désactiver les témoins dans les paramètres de votre navigateur à tout moment. Politique de confidentialité .
FERMER X
 Dans Blogue, Cloud, Communications Unifiées, Fax, Innovation, Productivité, Sécurité, Technologie

Selon votre secteur d’activité, il est tout à fait possible que vous n’ayez jamais eu à prendre en compte les incidences de la souveraineté des données, et encore moins les complexités juridiques qu’elle comporte. Cependant, les infrastructures de données à l’échelle mondiale sont de plus en plus imbriquées et des lois comme RGPD sont en train de franchir les frontières. Il devient essentiel de savoir comment cette question complexe touchera votre organisation. Si vous conformez pas aux lois en vigueur sur la protection de la vie privée, vous risquez de vous exposer à des pertes commerciales, des poursuites judiciaires, des amendes ou des mesures gouvernementales plus sévères. Ce billet (et l’entrevue avec un expert qui l’accompagne) explique ce sujet complexe et ce qu’il signifie pour les entreprises à l’ère du Cloud.

Qu’est-ce que la souveraineté des données ?

La souveraineté des données peut être considérée comme un autre terme pour la juridiction des données – quelles sont les lois applicables à une information donnée (et les organisations qui la détiennent) à un moment donné. Si cette question était auparavant relativement simple, elle s’est progressivement complexifiée au cours des dernières années, en grande partie en raison de la dispersion à l’échelle mondiale de la plupart des plateformes dans le Cloud. Les organisations doivent connaître les lois sur les données qui les régissent, ainsi que leurs organisations partenaires, afin d’assurer leur sécurité et celle de leurs clients.

Pourquoi la souveraineté des données est-elle compliquée ?

Les nations, les États et les villes du monde entier ont des lois différentes qui dictent le fonctionnement de diverses choses. Les feux d’artifice qui sont illégaux dans une ville peuvent être parfaitement acceptés à l’extérieur des limites de la ville. Les médicaments qui sont généralement en vente libre dans un pays peuvent être très limités et délivrés uniquement sur ordonnance dans un autre. Des considérations liées au commerce, à la politique ou à la sécurité peuvent limiter ou autrement contrôler l’importation et l’exportation de toutes sortes de marchandises. En quoi est-ce différent ?

Ce qui complique la souveraineté des données, c’est qu’elle s’applique à une ressource incroyablement fluide : les données. L’expédition d’objets dans le monde entier prend du temps et nécessite le passage à des postes de contrôle, des documents, ainsi que des inspections. Les données peuvent voyager d’un bout à l’autre de la planète en un clin d’œil, et en raison de la façon dont Internet et le Cloud fonctionnent, il est possible que vous ne le sachiez même pas.

Que signifie la souveraineté des données pour votre organisation : entrevue avec un expert en cybersécurité

Nous nous sommes entretenus avec un passionné de la cybersécurité, Sébastien Boire-Lavigne, Vice-Président Exécutif et Directeur Général, Solutions de données, afin de comprendre comment les organisations peuvent se protéger dans un contexte toujours plus complexe que représente la réglementation et la souveraineté en matière de données.

 

Le Cloud : une infinité de possibilités, mais aussi quelques complications

Dans le cas de l’informatique distribuée (comme dans un environnement Cloud), la souveraineté des données devient encore plus complexe. Il ne s’agit plus d’un ordinateur ou d’une banque d’ordinateurs dans les installations de votre organisation, mais plutôt d’un environnement informatique potentiellement dispersé à l’échelle mondiale. Les données peuvent être stockées dans un endroit, traitées dans un autre, mais appartiennent à une organisation dans un autre endroit.

Si ces données sont associées à des particuliers, leur pays d’origine a-t-il son mot à dire ? Qu’en est-il de leur pays de résidence ?

« La grande majorité des utilisateurs d’Internet proviennent de pays autres que les États-Unis. Pourtant, les entreprises américaines continuent d’exploiter les sites Web et les services Internet les plus populaires dans le monde. Cela signifie que, pour la plupart des organismes publics de réglementation, réglementer l’Internet signifie réglementer au-delà des frontières. Par exemple, les preuves criminelles étaient généralement trouvées dans le même champ de compétence que celui du crime et du criminel. Ce n’est plus vrai, aujourd’hui. En effet, les agents des forces de l’ordre cherchent régulièrement à avoir accès à des preuves contrôlées par des sociétés Internet étrangères — généralement des sociétés américaines — qui stockent ou contrôlent ces preuves dans un autre pays. Les enjeux touchant la communication sont semblables. Il fut un temps où la France pouvait contrôler les propos tenus sur son territoire et avait en fait cherché à obtenir des mesures correctives en cas de discours jugés inadmissibles. Ce n’est plus le cas. Lorsque le gouvernement français demande à Twitter de retirer du matériel offensant, cela dépend de la coopération d’une entreprise américaine, qui devra souvent prendre des mesures dans un autre pays. »

« Litiges en matière de souveraineté des données », Yale Law Journal

Quels sont les types de litiges en matière de souveraineté des données qui peuvent survenir ?

La plupart des questions juridiques relative à la souveraineté des données peuvent être divisées en trois catégories : Application de la loi/Surveillance, Déférencement et Retrait

Retrait des contenus extrémistes (censure)

Aux États-Unis, les demandes de retrait et les conflits juridiques qui les entourent sont moins fréquents, car le premier amendement protège le droit des citoyens à la liberté d’expression. En outre, l’article 230 de la Communications Decency Act, la loi sur la décence dans le domaine des communications, protège les fournisseurs d’accès Internet contre la plupart des poursuites judiciaires et des actions en justice intentées par le gouvernement concernant le contenu de tiers qu’ils hébergent simplement sur leurs serveurs. Cela limite encore davantage la capacité du gouvernement américain à forcer les retraits.

Cependant, de nombreux autres pays dans le monde ont des réglementations concernant l’utilisation de déclarations, d’images ou de symboles bien précis au quotidien. De nombreux pays ont des règles interdisant la diffusion de contenus extrémistes, tels que le matériel de recrutement d’organisations terroristes. Les pays peuvent également avoir des lois contre les contenus qui critiquent leurs dirigeants ou leur gouvernement.

Avant la mondialisation de l’Internet, la question était plus simple. Les discours censurés dans un pays donné seraient contrôlés par ce pays. Aujourd’hui, cependant, un tel discours peut être publié n’importe où dans le monde, puis affiché sur les navigateurs Web de ce pays, brouillant ainsi la réglementation alors que les pays tentent de contrôler le contenu des serveurs dans d’autres pays (y compris les États-Unis).

Déréférencement (suppression de sites des résultats de recherche)

Plutôt que d’obliger les fournisseurs de services à retirer des images offensantes de leurs serveurs, les mesures visant le déréférencement tentent de forcer les fournisseurs de moteurs de recherche (comme Google, Yahoo ou Microsoft) à supprimer des pages Web de leurs index. Cela signifie que ces pages n’apparaîtront pas dans les résultats de recherche lorsqu’un utilisateur saisit une requête en lien avec le contenu. Le contenu existe toujours et peut toujours être accessible à partir du pays en question, mais seulement si l’utilisateur connaît déjà l’adresse Web à laquelle il peut se rendre directement.

Le fait que les pages en question n’ont pas besoin d’enfreindre la loi pour être délistées rend ces mesures particulièrement complexes. Dans les pays de l’Union européenne, les citoyens ont « le droit d’être oubliés » et peuvent demander que des pages soient radiées si elles contiennent un contenu « inadéquat, non pertinent ou… excessif » (Bowcott, 2019).

Bien qu’il s’agisse d’un problème juridique persistant pour les entreprises du secteur des moteurs de recherche, il ne touche généralement pas les autres entreprises (à moins que les pages soient la cible d’une telle demande et si les entreprises souhaitent les conserver dans l’index). Après une longue bataille entre Google et l’UE, la Cour de justice Européenne a récemment déclaré que les moteurs de recherche ne sont pas responsables du retrait de noms de domaine qui desservent des zones hors UE, ce qui simplifiera un peu plus la mise en conformité à l’avenir.

Enquêtes et surveillance en matière d’application de la loi

Internet peut être un outil de surveillance incroyablement puissant pour les pays qui cherchent à garder un œil sur leurs citoyens, sur les criminels et entre les pays eux-mêmes. À bien des égards, il s’agit de la souveraineté des données dans toute sa complexité. Les organisations peuvent se retrouver coincées entre leurs politiques internes, les droits de l’individu et un réseau de lois éventuellement contradictoires mises en place par :

  • le pays où l’organisation a son siège social ;
  • le pays d’origine de la cible ;
  • le pays dans lequel la cible se trouve actuellement (si différent) ;
  • les pays où les données sont stockées ou traitées ;
  • les traités internationaux.

Certaines lois peuvent exiger que la ou les cibles soient avisées des demandes du gouvernement et des organismes d’application de la loi, d’autres peuvent exiger qu’elles NE le soient PAS. Les divulgations peuvent nuire gravement à la réputation des organisations, même si elles ne font que respecter la loi. Les conseils d’administration doivent décider ce qu’est une bonne entreprise citoyenne, quels combats valent la peine d’être livrés et comment l’organisation va traiter toute couverture médiatique si l’information est rendue publique.

L’affaire Microsoft c. États-Unis, où le ministère de la Justice a demandé des renseignements sur un citoyen américain dans une affaire de stupéfiants, est un exemple frappant de l’ampleur de cette épineuse question. Même si la loi était assez claire sur la façon dont cette situation serait gérée aux États-Unis, les serveurs étaient situés en Irlande. L’affaire s’est rendue jusqu’à la Cour suprême des États-Unis, où la demande a finalement été rejetée en raison de l’adoption de la CLOUD Act (dans le cadre de la Consolidated Appropriations Act, 2018), qui a clarifié les obligations des organisations américaines lorsque le droit international est en conflit (Lerman, 2018).

Comment XMedius assure-t-elle la gestion de vos données

La sécurité et la conformité à la réglementation sont au cœur des produits de XMedius relatifs aux données. Les solutions XM Fax et XM SendSecure sont toutes deux conçues pour utiliser trois centres d’hébergement répartis géographiquement (et en silo) : un aux États-Unis, un au Canada et un en Europe. Cela signifie que lorsque vous déployez un produit hébergé dans le Cloud de XMedius, vous pouvez choisir l’hébergement parmi l’une de ces trois zones.

L’hébergement dans le Cloud pour la solution de communications unifiées de XMedius, XM Connect, est situé aux États-Unis.

Tout traitement et stockage de vos données que nous effectuons restera dans la zone d’hébergement désignée, ce qui simplifiera grandement les questions de souveraineté des données entourant les communications professionnelles comme les communications unifiées, le fax sur IP (FoIP) et les solutions d’échange sécurisé de fichiers. Si vous souhaitez rendre les choses encore plus simples (surtout si votre organisation n’est pas située dans ces zones ou est soumise à des lois supplémentaires), toutes les solutions sont également offertes en version logicielle.

Contactez-nous pour en savoir plus sur la façon dont les solutions XMedius simplifient les flux de travail et facilitent la conformité aux principales réglementations en matière de protection de la vie privée (notamment HIPAA, RGPD, FERPA, etc.).

 

PARLEZ À UN EXPERT

 

Leave a Comment

Start typing and press Enter to search