Le paradoxe de la souveraineté : entre idées reçues et implications stratégiques
La souveraineté des données ne consiste pas à poser des limites strictes, mais à faire des choix réfléchis et à les remettre en question à mesure que l'équilibre évolue.
Si le dictionnaire comportait une catégorie Tech B2B, le mot le plus emblématique de 2025 serait sans doute Souveraineté. Dans le secteur de la tech, on passe souvent une année entière à débattre et à planifier des évolutions majeures avant qu’elles ne se concrétisent réellement sur le marché. Ainsi, si 2025 a été l’année où tout le monde parfait de souveraineté des données, 2026 pourrait bien être celle où chacun commencera à la construire..
D’après IDC, des "changements d’infrastructure", notamment concernant la souveraineté des données et le chiffrement, constituent les principales préoccupations en matière de sécurité et de confidentialité pour l’année à venir, devant les attaques par ransomware.
Malgré cela, beaucoup trop d’entreprises et de dirigeants se méprennent souvent sur la véritable signification de la souveraineté des données. Or, ces méconnaissances peuvent avoir de lourdes conséquences sur leurs activités. Ainsi, les entreprises qui souhaitent faire de la souveraineté un élément clé de leur stratégie pour 2026 doivent en saisir pleinement le sens avant de se lancer.
L’emplacement des données, une idée reçue bien ancrée
La notion de souveraineté des données est souvent mal comprise dès le départ. Au lieu de se concentrer sur l’identité de la personne ou de l’entité qui possède et gère en dernier ressort l’infrastructure sur laquelle les données sont hébergées, les entreprises doivent se garder de confondre la notion de contrôle des données avec leur emplacement. L’emplacement des données et la souveraineté des données sont deux choses totalement différentes. Bien que le stockage des données au sein de frontières nationales ou régionales offre certains avantages en matière de conformité et de gestion des risques, il ne garantit pas pour autant le contrôle total de l’accès, de la gouvernance ou de l’exposition aux menaces.
Il est important de garder à l’esprit que la propriété et la juridiction peuvent avoir autant d’importance que l’emplacement. Par exemple, les données stockées dans un datacenter local, mais utilisées par un hyperscaler étranger, peuvent tout de même être soumises à la législation nationale du fournisseur, quel que soit l’emplacement des serveurs, ce qui peut créer une fausse impression de souveraineté. En outre, se concentrer uniquement sur l’emplacement des données peut exposer les entreprises à des facteurs externes qu’elles pensaient avoir maîtrisés.
Cela ne signifie pas pour autant que toutes les organisations abordent la souveraineté des données de la mauvaise manière, ni que chaque stratégie doit nécessairement prendre la forme d’une "forteresse numérique" à part entière. Il existe différents niveaux de souveraineté et il incombe à chaque entreprise de faire un choix en ayant parfaitement connaissance des options qui s’offrent à elle.
Par ailleurs, un isolement total n’est ni réaliste, ni souhaitable. Cela reviendrait à nationaliser entièrement les données et à quitter les écosystèmes mondiaux du cloud, ce qui ne correspond pas à la réalité actuelle du monde. À l’ère de l’économie numérique interconnectée, les entreprises continuent de s’appuyer sur des plateformes internationales pour répondre aux attentes du marché, se développer et rester compétitives. Il s’agit avant tout de préserver le contrôle (et la résilience) au sein d’un écosystème mondial plutôt que de s’en retirer complètement. En résumé, la souveraineté est quelque chose qui se construit et qui ne peut pas être acquise du jour au lendemain.
La planification du cycle de vie
Les entreprises ont également besoin de comprendre que la souveraineté des données ne se résume pas à un simple choix de stockage, mais qu’il s’agit d’une discipline qui s’applique tout au long du cycle de vie des données. Cet aspect est souvent négligé dans la planification de la résilience des données. Ainsi, le contrôle doit s’exercer de la création des données jusqu’à leur suppression, et son application évoluera au fur et à mesure de leur cycle de vie.
Chaque étape comporte des risques différents (et souvent nouveaux). L’ingestion, le traitement, le partage et l’analyse des données impliquent généralement de passer par plusieurs systèmes, plusieurs fournisseurs et par plusieurs juridictions. La gouvernance des données doit donc être continue et évolutive, et ne pas se limiter à la simple phase de stockage des données. Le traitement des données est sans doute l’étape où la souveraineté risque le plus de se perdre. Même si une entreprise stocke des données localement, leur traitement et leur "exécution" peut facilement se faire en dehors de la "sphère de souveraineté". Si cela ne constitue pas nécessairement une crise, les entreprises doivent en prendre conscience et s’y préparer en conséquence ; il doit s’agir d’un choix mûrement réfléchi plutôt que du fruit d’une négligence.
De la même manière, la sauvegarde et la récupération, bien qu’essentielles à la résilience, peuvent constituer un point faible en matière de souveraineté si elles ne sont pas planifiées correctement. La réplication des données, les sauvegardes immuables et les sites de reprise après sinistre (encore plus souvent négligés) doivent répondre aux mêmes normes légales et juridiques que les données primaires.
Tant pour la souveraineté que pour la résilience, la conservation des données sans objectif précis comporte des risques. Cette question sera d’autant plus cruciale que les volumes de données ne cessent d’augmenter, en particulier dans un monde dominé par l’IA. Ainsi, une conservation incontrôlée des données entraîne une hausse de coûts et augmente le niveau de complexité.
Cela ne signifie pas pour autant qu’il est possible de supprimer ces données sans aucun contrôle. Celles-ci doivent être conservées légalement pendant une certaine durée, avant d’être détruites selon le protocole requis afin de "boucler la boucle" de la souveraineté et de respecter les obligations réglementaires en vigueur.
Comprendre ces étapes et les risques qui y associés permet aux entreprises de déterminer plus facilement quel type de souveraineté leur convient le mieux et d’atteindre le juste équilibre entre le contrôle, les coûts et les capacités.
Tout est une question de choix
La souveraineté des données, à l’instar de la résilience des données ou de la stratégie de cloud hybride, est avant tout une question d’équilibre qui dépend du choix de chaque entreprise. Il est nécessaire de trouver un compromis entre le contrôle, les coûts et les capacités, et il incombe à chaque entreprise de déterminer où se situe son propre équilibre.
S’il est tout à fait possible d’obtenir un contrôle maximal, cela a naturellement un coût. Une solution entièrement souveraine et gérée localement offrira les meilleures garanties juridiques et opérationnelles, mais elle sera également beaucoup plus onéreuse. Par ailleurs, le fait de privilégier le contrôle peut entraîner une réduction des capacités : si les entreprises décident de se détourner des hyperscalers mondiaux, elles font également une croix sur les solutions évolutives facilement accessibles, voire sur les plateformes d’outils de sécurité avancées et sur les informations concernant les menaces mondiales existantes. Cette situation comporte une asymétrie des risques : même en étant conforme au niveau local, une entreprise trop isolée, qui ne dispose pas des meilleurs outils ou des meilleures informations, peut être davantage exposée aux menaces.
En conclusion, il s’agit de faire un choix mûrement réfléchi, en tenant compte de tous les faits, ainsi que des spécificités et des priorités propres à l’entreprise. Bien souvent, la question n’est pas de choisir d’opter pour la souveraineté ou non, mais de déterminer dans quelle mesure y recourir. Il est donc nécessaire d’identifier les domaines où la souveraineté permettra de réduire considérablement les risques et dans lesquels elle pourrait, par inadvertance, en créer de nouveaux.