Souveraineté, protection des données et données sensibles

Transformer les défis de la gouvernance des données en opportunités

Dans un contexte où les données sont devenues centrales pour la création de valeur de nombreuses organisations, assurer le contrôle de ces données est devenu une priorité essentielle.

Cet article explore les défis, les avantages et les complexités associés à trois dimensions majeures de la gouvernance des données : la souveraineté, la confidentialité des données et la protection des données sensibles.

L'importance croissante de ces trois sujets est portée par plusieurs grandes macro-tendances. Parmi elles, l'explosion du volume de données, passant de 2 à 180 zettaoctets entre 2010 et 2025 selon Statista, largement alimentée par la numérisation, la démocratisation des technologies IoT et des réseaux sociaux, et plus récemment l'essor de l'IA générative.

D'autres facteurs contributifs incluent la vague croissante de réglementations dans de multiples régions du monde, l'augmentation des attentes des clients et des citoyens concernant la personnalisation, y compris l'hyper-personnalisation, et l'interconnectivité, ainsi que le retour des tensions géopolitiques et de la guerre sur le continent européen.

Trois piliers majeurs de la gouvernance des données

Souveraineté

Plus de 50 % des grandes entreprises européennes transfèrent leurs données vers des plateformes américaines.

Objectif : Maintenir le contrôle sur les données, les algorithmes et les outils sans devenir dépendant d'acteurs externes tels que des États étrangers, des éditeurs de logiciels ou des plateformes d'IA générative pré-entraînées.

Confidentialité des données

En 2022, les amendes liées aux violations de la vie privée dans l'Union européenne ont atteint 2,92 milliards d'euros.

Ces amendes reflètent plusieurs tendances convergentes : des attentes citoyennes croissantes concernant les questions éthiques telles que la RSE et la vie privée, une législation de plus en plus robuste répondant à ces préoccupations, et une application réglementaire plus stricte après une phase initiale axée sur la sensibilisation et l'éducation.

Objectif : Gérer les données personnelles, y compris les données clients, employés et de tiers, de manière éthique et durable.

Données sensibles

En 2024, 33 millions de dossiers médicaux français, y compris des numéros de sécurité sociale, ont été divulgués suite aux cyberattaques Viamedis et Almerys.

Objectif : Sécuriser les données sensibles, c'est-à-dire toute donnée dont la divulgation incontrôlée pourrait avoir des conséquences négatives importantes, tout en réduisant la dépendance aux données sensibles chaque fois que possible.

Accent sur les données sensibles

La gestion des données sensibles, historiquement une préoccupation majeure au sein de l'industrie de la défense où des règles strictes et des cadres de gouvernance sont systématiquement établis en amont, devient de plus en plus importante dans d'autres secteurs également, y compris l'industrie pharmaceutique.

Dans le même temps, la tendance croissante à partager systématiquement les données entre plusieurs départements et domaines de données rend la protection des informations sensibles de plus en plus complexe.

En ce qui concerne les données personnelles sensibles et hautement sensibles, en particulier dans le secteur de la santé, il est essentiel de maintenir un contrôle de bout en bout sur les cadres juridiques régissant la collecte et le traitement de ces données.

Cela inclut les considérations fondamentales en matière de confidentialité des données telles que le consentement, l'intérêt légitime et l'intérêt public.

Pour éviter une complexité excessive des processus, surtout d'un point de vue juridique, plusieurs mécanismes apportent une valeur significative en dissociant partiellement ou totalement les données des individus qui y sont associés :

  • Anonymisation des données personnelles : très efficace lorsque seules des informations agrégées ou statistiques sont requises, telles que le nombre de clients ou de patients correspondant à des caractéristiques spécifiques.
  • Déstructuration des données : supprimer le lien entre des informations initialement corrélées. Les exemples incluent la séparation du nom et de l'adresse d'un client de luxe de son montant d'achat, ou l'isolement des plans techniques pour des composants individuels au lieu de centraliser tous les plans liés à un système de défense. La valeur et la sensibilité des données émergent souvent de l'intelligence créée par l'association de multiples points de données.
  • Génération de données synthétiques : créer des ensembles de données statistiquement utilisables qui n'ont aucun lien direct avec des individus ou des systèmes réels.
  • Minimisation des données : réduire la quantité de données collectées et stockées afin de limiter le volume global d'informations sensibles nécessitant une protection.

Dans le même temps, la sécurisation des données sensibles repose de plus en plus sur de nouvelles approches et des modèles de sécurité.

Sécurité centrée sur les données

Adopter une stratégie de sécurité centrée sur les données signifie placer la protection des données au cœur de toutes les initiatives de cybersécurité. Cette approche reconnaît que toutes les données n'ont pas le même niveau de valeur ou de sensibilité, et que les mécanismes de protection doivent être proportionnels à la criticité de l'information.

Mise en œuvre :

  • Classification des données : identifier et classer les données selon leur sensibilité et leur importance pour l'organisation. Cela permet de prioriser les ressources de sécurité autour des actifs les plus critiques.
  • Chiffrement des données : utiliser des techniques de chiffrement pour sécuriser les données sensibles, qu'elles soient en transit ou au repos, garantissant que seules les parties autorisées peuvent y accéder.
  • Contrôle d'accès basé sur les rôles (RBAC) : définir des politiques d'accès strictes basées sur les rôles et les responsabilités des utilisateurs, limitant l'accès aux données sensibles uniquement aux personnes qui en ont réellement besoin pour leur travail.

Modèle de confiance zéro

Le modèle de confiance zéro est basé sur le principe de ne jamais faire confiance à quoi que ce soit, que ce soit à l'intérieur ou à l'extérieur du réseau, sans vérification préalable.

Toute tentative d'accès aux ressources de l'entreprise doit être authentifiée et autorisée.

Mise en œuvre :

  • Authentification multifacteur (MFA) : Imposer l'utilisation de plusieurs facteurs d'authentification pour accéder aux systèmes et aux données, réduisant ainsi le risque d'accès non autorisé.
  • Micro-segmentation : Diviser les réseaux en segments plus petits et sécurisés afin de limiter les mouvements latéraux des attaquants dans l'éventualité où une partie du réseau serait compromise.
  • Surveillance continue : Mettre en œuvre des systèmes de surveillance et de journalisation capables de détecter les comportements anormaux et les tentatives d'intrusion en temps réel, permettant des réponses rapides aux incidents de sécurité.

Cryptographie post-quantique

Les ordinateurs quantiques promettent une puissance de calcul bien supérieure à celle des ordinateurs traditionnels, mais ils représentent également une menace majeure pour les systèmes cryptographiques actuels.

Les organisations doivent se préparer à cette transition en adoptant des techniques cryptographiques résistantes aux attaques quantiques. Ces attaques peuvent se dérouler en deux étapes : les données peuvent d'abord être volées et stockées sous forme chiffrée, avant d'être déchiffrées ultérieurement une fois que les capacités de calcul quantique seront disponibles.

Mise en œuvre :

  • Recherche et développement : Investir dans le développement de nouvelles méthodes cryptographiques post-quantiques capables de résister aux capacités de l'informatique quantique.
  • Audits de sécurité : Mener des audits réguliers des systèmes cryptographiques existants afin d'identifier les vulnérabilités liées aux futures menaces quantiques.
  • Migration progressive : Planifier et exécuter une transition progressive vers des algorithmes cryptographiques post-quantiques, en veillant à ce que les systèmes et les données restent sécurisés à mesure que la technologie évolue.

Pour en savoir plus sur ces sujets et identifier les impacts et opportunités pertinents pour votre organisation, contactez nos partenaires et experts :

Morand Studer (Managing Partner, responsable des sujets Data)

Pietro Turati (Associé, responsable des sujets Cybersécurité)

Paul Schreiner (Manager, expert Cybersécurité)

Guillaume Coppola (Manager, expert en protection des données)

Contactez-nous
Contactez-nous
De la stratégie à l'exécution, construisons l'avenir ensemble.
Contactez-nous

Autres analyses

Toutes les analyses
Toutes les analyses

Pourquoi mettre en œuvre une stratégie RSE au sein de votre entreprise ?

Plus

MCP : le protocole qui ouvre la voie à l'IA agentique en entreprise

Plus

MMM : L'Intelligence Artificielle au service de la performance marketing

Plus
Toutes les analyses
Toutes les analyses
Tous droits réservés | Eleven © 2026
Réalisé par Afalence
Qui sommes nous
À propos de nousStratégie ElevenÉchelle de onzeEleven RaiseLaboratoire de recherche Eleven
Perspectives
Rapports
Business cases
Articles
eleven
ÉcosystèmeContacterCARRIÈRESbiscuits