Dossira
Créer
Menu
← Retour aux articles

Définir la résidence des données et le périmètre opérationnel

Published
By Hannah K.
Procurement Résidence des données Examens de sécurité RGPD

Précision dans les déclarations de localisation

Les équipes d’approvisionnement posent une question simple : « Où sont nos données ? »

La réponse est rarement simple. Les applications SaaS modernes s’appuient sur une infrastructure distribuée. Un « serveur » unique n’existe pas. À la place, nous avons des compartiments de stockage (buckets), des bases de données, des caches et des réseaux de distribution.

Pour satisfaire un examen de sécurité, nous devons aller au-delà des codes pays. Nous devons définir le périmètre de la déclaration.

Les trois couches de la localisation des données

Lorsque nous parlons de « données », nous abordons trois catégories distinctes. Une réponse précise traite chacune d’entre elles.

1. Contenu client

C’est la valeur centrale. Cela inclut les fichiers, documents et enregistrements de décision que vous téléchargez vers un espace de travail.

Pour les opérateurs européens, ces données doivent résider sur une infrastructure physiquement située au sein de l’EEE. C’est l’exigence de base pour de nombreuses industries réglementées.

  • Périmètre : Stockage de fichiers (blobs) et enregistrements de bases de données contenant du texte généré par l’utilisateur.
  • Mécanisme : Sélection régionale dans la configuration du fournisseur de cloud (par exemple, AWS Francfort ou Stockholm).
  • Vérification : La liste des sous-traitants identifie le fournisseur de cloud principal et sa région.

2. Métadonnées de service

Les métadonnées décrivent le contenu. Elles incluent les noms de fichiers, leur taille, les adresses e-mail des utilisateurs et les horodatages.

Les métadonnées sont essentielles au fonctionnement de l’application. Elles permettent au système de lister les fichiers sans les télécharger. Souvent, les métadonnées résident dans la même région que le contenu. Cependant, des services de routage globaux peuvent traiter des métadonnées transitoires pour diriger le trafic.

  • Périmètre : Journaux (logs) d’utilisateurs, structures de répertoires, listes d’accès.
  • Mécanisme : Bases de données d’applications et journaux du fournisseur d’identité.

3. Accès opérationnel

Il s’agit de la couche la plus critique et la plus négligée. Les données peuvent se trouver à Francfort, mais si un administrateur dans un pays tiers peut les lire, la déclaration d’« hébergement » est fragile.

La véritable souveraineté implique un contrôle d’accès effectif. Elle pose la question de savoir où se trouvent les équipes de support et d’ingénierie.

  • Périmètre : Accès de maintenance, tickets de support et récupération du système.
  • Mécanisme : Politique opérationnelle et restrictions contractuelles (Clauses Contractuelles Types).
  • Vérification : Les mesures organisationnelles du fournisseur et les rapports de transparence.

Le parcours de vérification

La confiance nécessite des preuves. Un responsable des achats ne doit pas accepter une simple affirmation marketing. Il doit rechercher la « pile de preuves » (Proof Stack).

Déclaration : « Nous hébergeons et opérons en Europe. »

Périmètre : S’applique à tout le contenu de l’espace de travail et aux métadonnées persistantes.

Mécanisme :

  1. Hébergement : L’infrastructure principale est située dans une [Région spécifique, ex: Allemagne].
  2. Opérations : Le personnel ayant un accès à la production est employé par des entités européennes ou lié par des accords de protection des données conformes aux normes de l’UE.

Vérification :

  1. Liste des sous-traitants : Confirme le fournisseur d’infrastructure et son emplacement.
  2. Accord de traitement des données (DPA) : Lie juridiquement le fournisseur à des mécanismes de transfert et des emplacements spécifiques.
  3. Journaux d’audit : Démontrent l’absence d’accès non autorisé depuis l’extérieur de la frontière définie.

Pourquoi est-ce important ?

Le risque est une fonction de l’exposition.

Si les données restent en Europe, mais que des équipes de support dans une autre juridiction y accèdent, la protection juridique du RGPD peut être diluée. Les forces de l’ordre étrangères pourraient théoriquement contraindre l’accès via l’équipe de support.

Nous recommandons de définir la « Frontière des données » (Data Boundary). Cette frontière inclut les disques durs, les câbles réseau et les personnes qui détiennent les clés. Lorsque ces trois éléments restent dans la juridiction, le profil de risque est stable.

Demandez la frontière. Vérifiez les sous-traitants. N’acceptez rien de moins qu’un périmètre clair.