"Protéger ses données sans ingérence externe : localisation physique maîtrisée, accès tiers contrôlés, droit d'audit effectif, portabilité réelle."
Cartographie des données critiques, classification opérationnelle, localisation et résidence, Data Act & portabilité, audit des flux transfrontaliers.
RGPD Art. 44-49, Data Act 2025, BCBS 239, DORA Art. 28, Cloud Act vs RGPD, Schrems II, DSP3.
CDO, DPO, CISO, Data Owners, juristes IT, équipes conformité, architectes data.
½ journée (3h30) — 2 séquences théoriques + 1 atelier cartographie.
Tout régime de souveraineté commence par savoir quelles données méritent quelle protection. La classification doit être actionnable, pas académique.
Datacenter physique, pays, juridiction applicable. Un contrat qui dit "UE" ne garantit pas l'absence de transfert de métadonnées.
Clauses d'accès gouvernemental (Cloud Act US, CLOUD Act UK). Audit trail des accès fournisseur obligatoire (DORA Art. 28.3.e).
Fine-tuning et RAG via API externe = transfert potentiel. EU AI Act impose traçabilité des données d'entraînement pour systèmes à haut risque.
Data Act Art. 23-35 : droit à la portabilité des données générées par services numériques. Délai de 30 jours, format interopérable, sans frais excessifs.
Clause de destruction certifiée (RGPD Art. 28.3.g). Conservation technique résiduelle chez le fournisseur = risque réglementaire et concurrentiel.
Tout contrat cloud qui ne répond pas à ces 5 questions expose l'organisation à une infraction RGPD latente et à un risque DORA sur la continuité d'activité.
Sans cartographie du cycle de vie complet, la souveraineté est une intention — pas un fait. Le data lineage souverain trace chaque flux, chaque transformation, chaque transmission.
| Donnée / domaine | Classification | Localisation physique | Accès tiers | Transfert hors UE | Délai portabilité | Risque souveraineté |
|---|---|---|---|---|---|---|
| Données clients (KYC) | Critique | France / UE certifié | DPO + DORA audit | Interdit | 30j (Data Act) | ●● Élevé |
| Données de crédit (BCBS 239) | Critique | On-premise requis | Régulateur seulement | Interdit | Immédiat | ●● Élevé |
| Logs opérationnels (DORA) | Confidentiel | UE obligatoire | SOC interne | Encadré | 48h (DORA) | ● Modéré |
| Données d'entraînement IA | Confidentiel | UE / souverain | Équipe ML interne | À prohiber | 30j (Data Act) | ●● Élevé |
| Reporting réglementaire | Interne | UE acceptable | Régulateur, auditeurs | Cas par cas | 5j ouvrés | ○ Faible |
Principe 3 (Exactitude) et Principe 4 (Intégrité) imposent que chaque donnée de risque soit traçable jusqu'à sa source primaire, sans rupture de lignage. Toute externalisation de traitement doit maintenir cette chaîne.
Art. 5 : droit d'accès en temps réel aux données générées par l'utilisation d'un service. Art. 23 : portabilité vers prestataire concurrent dans un délai de 30 jours, sans frais punitifs ni dégradation technique.
La tension fondamentale de la souveraineté des données réside dans l'opposition entre deux systèmes juridiques incompatibles sur les droits d'accès aux données stockées en cloud.
Un fournisseur cloud américain stockant vos données en UE peut être légalement contraint par le Cloud Act de les livrer à une autorité US, tout en étant interdit par le RGPD de le faire. Il ne peut pas respecter les deux lois simultanément. Cette contradiction est non résolue à ce jour.
| Profil fournisseur | Exposition Cloud Act | Garantie RGPD | Recommandation souveraineté |
|---|---|---|---|
| Hyperscaler US — filiale UE | Élevée — maison mère soumise | SCC disponibles, insuffisants | Données non critiques uniquement |
| Hyperscaler US — EU Sovereign Cloud | Modérée — à challenger | Amélioration contractuelle | Données confidentiel si audit positif |
| Fournisseur UE certifié SecNumCloud | Nulle — hors juridiction US | Conformité native | Données critiques acceptables |
| Infrastructure on-premise propre | Nulle | Contrôle total | Données critiques / BCBS 239 / clés |
Grille d'autoévaluation à compléter en équipe (CDO, DPO, CISO, architectes). Durée : 1h30. Objectif : identifier les 3 vulnérabilités prioritaires à traiter.
| Dimension | Question d'audit | Oui ✓ | Non ✗ | Partiel ~ |
|---|---|---|---|---|
| Cartographie | Avez-vous un inventaire complet des données critiques avec leur localisation physique ? | |||
| Classification | Chaque donnée est-elle classifiée (Public / Interne / Confidentiel / Critique) ? | |||
| Localisation | Les données critiques sont-elles stockées exclusivement en UE ou on-premise ? | |||
| Accès tiers | Tous les accès fournisseurs cloud sont-ils journalisés et audités trimestriellement ? | |||
| Cloud Act | Avez-vous analysé l'exposition Cloud Act de chaque contrat cloud actif ? | |||
| Data Act | Êtes-vous en mesure de fournir vos données en format portable dans les 30 jours ? | |||
| IA & données | Les données utilisées pour fine-tuner ou alimenter vos LLMs sont-elles localisées en UE ? | |||
| Sortie contrat | Une clause de destruction certifiée figure-t-elle dans tous vos contrats cloud ? | |||
| BCBS 239 | Le data lineage des données de risque est-il tracé sans rupture jusqu'à la source ? | |||
| Gouvernance | Un Data Owner est-il désigné pour chaque domaine de données critiques ? |
Maturité souveraineté élevée. Axer les efforts sur l'IA et le Data Act (nouvelles exigences 2025).
Des vulnérabilités significatives existent. Prioriser Cloud Act, localisation des données IA et lineage BCBS.
Risque réglementaire et stratégique immédiat. Plan d'action d'urgence requis dans les 90 jours.
Template Excel complet : inventaire, classification, localisation, accès tiers, exposition réglementaire, Data Owner désigné. Prêt à compléter.
12 clauses à vérifier dans chaque contrat cloud. Grille de scoring par fournisseur. Score seuil de conformité et recommandation d'action.
Template de cartographie visuelle des transferts de données hors UE, avec base légale, volumes, fournisseur impliqué et niveau de risque.
La souveraineté commence par savoir quoi protéger. Sans catalogue de données à jour, toute politique cloud est aveugle.
"Stocké en UE" ne suffit pas. La juridiction de la maison mère du fournisseur détermine l'exposition Cloud Act, indépendamment de la localisation physique.
La portabilité est désormais un droit opposable. Vérifiez que vos contrats permettent la récupération complète dans les 30 jours et en format interopérable.
Fine-tuning et RAG via API externe = transfert de données. Les données d'entraînement des modèles IA sont soumises aux mêmes exigences que les données opérationnelles.
La traçabilité des données de risque sans rupture de lignage est une exigence réglementaire bancaire, pas seulement une bonne pratique technique.
Un Data Owner désigné par domaine, un comité souveraineté trimestriel, un audit contractuel annuel : trois rituels non négociables pour maintenir le niveau de maîtrise.
"Une donnée dont vous ne contrôlez pas la localisation, l'accès et la destruction n'est pas une donnée souveraine. Elle est une donnée prêtée."