Haut

Souveraineté des systèmes et systèmes ArcGIS

La souveraineté signifie contrôler ses propres décisions et actions, en particulier en ce qui concerne la gouvernance, les lois et les territoires. La souveraineté numérique désigne la capacité d’un État, d’une organisation ou d’un individu à avoir le contrôle de sa propre infrastructure numérique, de ses données et de ses technologies, sans dépendance excessive à des entités externes telles qu’un prestataire tiers ou un gouvernement étranger, garantissant ainsi l’autonomie et la sécurité dans le domaine numérique.

Concevoir un système géospatial totalement indépendant de toutes les entités externes est une entreprise difficile et coûteuse, mais il est nécessaire d’évaluer correctement les risques liés à la souveraineté des systèmes, leur application aux opérations SIG et la manière dont les organisations peuvent s’adapter en réponse aux changements, en particulier pour les systèmes stratégiques.

Pour tous les sujets abordés sur cette page, ArcGIS Trust Center constitue une référence essentielle, fournissant la documentation et les conseils liés à la conformité, aux cadres juridiques régionaux et mondiaux, ainsi qu’aux options logicielles.

Souveraineté des données

La souveraineté des données est un concept large avec diverses définitions et composantes, mais il désigne généralement le stockage, la gestion et l’accès aux données dans les limites d’une frontière nationale ou d’une entité politique. Les exigences de souveraineté des données résultent souvent des lois et réglementations propres à un pays ou à une juridiction, et concernent les utilisateurs d’un système, le lieu d’hébergement du système ou l’entreprise qui conçoit et exploite une offre système ou logicielle. Dans le contexte des systèmes ArcGIS, la souveraineté des données fait le plus souvent référence au stockage des données des utilisateurs telles que les identifiants de connexion et le contenu, ainsi que les données géospatiales, et vise à stocker ces données de manière conforme à ces réglementations. Voici quelques exemples de lois ou de réglementations sur la souveraineté des données :

  • Canadian Consumer Privacy Protection Act (CCPPA)
  • Règlement Général sur la Protection des Données (RGPD)
  • Australian Privacy Principles (APP)
Remarque:

Le statut des lois ou règlementations individuelles pour une région ou un pays donné évolue rapidement. Il convient de se référer aux ressources locales ou aux spécialistes et conseillers juridiques de votre organisation pour connaître les exigences pour un système spécifique.

Les entreprises qui stockent des données dans le Cloud sont fréquemment confrontées à des exigences de souveraineté des données, afin de garantir leur conformité aux lois et réglementations applicables selon le pays ou la juridiction. Les organisations adaptent généralement leur architecture en structurant précisément les couches de données et de stockage pour répondre à ces exigences, ce qui peut entraîner des compromis avec les objectifs d’accessibilité ou de redondance.

Toute approche stratégique de la souveraineté des données doit également prendre en compte des exigences et des schémas plus génériques en matière de sécurité des données, tels que le chiffrement, le contrôle d’accès et la surveillance.

Résidence des données

La résidence des données est un concept connexe à celui de la souveraineté des données, mais plus précis dans sa définition : elle désigne spécifiquement l’emplacement précis où une donnée est stockée, le plus souvent en termes de localisation géographique, à un moment donné. La résidence des données renvoie généralement à leur localisation physique, souvent dans un centre de données opéré par un fournisseur de Cloud public ou un prestataire de services gérés. Toutefois, cette localisation peut être difficile à établir précisément en raison des multiples couches d’abstraction et des mécanismes de redondance du stockage propres aux services d’hébergement Cloud. La bonne compréhension de la résidence des données est indispensable pour garantir la conformité aux réglementations de protection des données, renforcer la sécurité et assurer l’accès aux données.

Remarque:

Dans les architectures orientées services actuelles, la véritable notion de résidence et de localisation des données en transit devient quelque peu subjective. Si une base de données est hébergée dans un pays A, mais publiée en tant que service Web, et qu’un utilisateur d’un pays C, connecté via un VPN vers un pays B, interroge 100 enregistrements du service Web pour générer une carte dans son navigateur (exécuté sur un ordinateur portable dans le pays C), où se trouvent les données ? À un niveau granulaire, les données existent en plusieurs lieux : une « source », un point de transit des données ou de consignation des requêtes, et un troisième lieu de « consommation ».

Localisation des données

La localisation des données correspond à une exigence de plus en plus courante imposant que les données générées au sein des frontières d’un pays soient stockées et traitées uniquement dans ce pays. Si la localisation des données détermine où les données doivent être stockées, et la résidence des données où elles se trouvent à un instant donné, l’objectif principal de la localisation des données est de maîtriser les flux et les usages des données afin d’en assurer la protection conformément aux lois et normes locales. Cela peut notamment consister à garantir que les utilisateurs et les clients d’un jeu de données en particulier ne soient autorisés à y accéder qu’à partir du territoire d’un pays spécifique.

Souveraineté dans le processus de conception

Les sujets liés à la souveraineté, à la localisation et à la résidence des données sont de plus en plus débattus, pour de multiples raisons :

  • Dans un monde toujours plus connecté, les flux de données transfrontaliers n’ont jamais été aussi importants qu’aujourd’hui. De nombreuses organisations et entreprises opèrent aujourd’hui à l’échelle régionale et internationale, avec des utilisateurs répartis dans différents pays et localisations, souvent éloignés des systèmes sources avec lesquels ils interagissent.
  • Les préoccupations croissantes autour de la confidentialité des données, ainsi que la prise de conscience de l’importance de protéger les informations personnelles, ont soulevé cette question pour les individus, les organisations et les autorités publiques, qui ont adopté des lois visant généralement à protéger les consommateurs, les citoyens et les intérêts nationaux.
  • La montée des tensions géopolitiques et économiques a mis en lumière les dépendances aux systèmes et services opérés depuis d’autres pays. Les organisations examinent rigoureusement leurs systèmes existants et intègrent des exigences de souveraineté plus robustes dans la conception de nouveaux systèmes.
  • Face à l’évolution constante des risques de cybersécurité et de perte ou de fuite de données, la gestion et la connaissance de la résidence des données sont devenues essentielles pour mieux comprendre et atténuer rapidement les impacts en cas d’incident.
  • Dans le monde de l’IA et des interfaces basées sur les grands modèles de langage, la distinction entre la résidence des données et traitement des données est devenue plus floue : des systèmes situés dans différents centres de données peuvent traiter des données, interagir avec des services via des processus agentiques avec ou sans intervention humaine, et prendre des décisions basées sur ces données. L’ensemble de ces éléments renforce l’attention portée à la souveraineté dans le processus de conception des systèmes.

Approches et options

Une stratégie de souveraineté pour un système SIG peut inclure tout ou partie des aspects suivants :

  • Compréhension et prise de décisions éclairées concernant le recours à des fournisseurs locaux de calcul et de stockage. Cela peut se traduire par l’utilisation de fournisseurs de services Cloud nationaux ou régionaux, ou de centres de données locaux.
  • Stratégies visant à assurer la conformité aux lois locales applicables, ainsi qu’aux pratiques et valeurs professionnelles.
  • Maintien d’une bonne compréhension et d’un contrôle sur les logiciels, leurs mises à jour, les licences et l’accès aux données.

ArcGIS propose une gamme d’options logicielles et de services permettant d’équilibrer les coûts, la fiabilité, l’accessibilité, la sécurité et la souveraineté, selon les besoins de votre organisation.

Les offres de type Software-as-a-Service (SaaS), comme ArcGIS Online présentent des coûts réduits, ainsi qu’une fiabilité accrue et peuvent proposer des schémas de sécurité pertinents, tout en impliquant un moindre niveau de souveraineté numérique. L’hébergement régional des données ArcGIS Online dans des géographies comme l’Europe et l’Asie du Sud-Est constitue une option pour les organisations opérant dans ces régions.

Un système basé sur ArcGIS Enterprise peut tirer parti d’options d’hébergement telles que les services Cloud gérés ou être auto-hébergé par une organisation afin d’offrir un contrôle accru en matière de souveraineté, généralement au prix de coûts et d’efforts plus élevés.

Les exigences en matière de souveraineté des SIG varient selon les organisations et les régions. La prise en compte de cette exigence et son arbitrage avec d’autres exigences de résilience du système sont essentiels pour assurer la résilience globale.

Top