Gouvernance des données : à la conquête de la souveraineté
Avec la montée en puissance de l’intelligence artificielle émerge une nouvelle dynamique autour des données, soumettant acteurs publics et privés à une pression croissante pour structurer une infrastructure numérique capable de répondre aux défis technologiques à venir. Au Luxembourg, de récentes initiatives ont permis de poser les premières pierres d’un écosystème national des données. Pierre-Jean Forrer, Partner, Government and Public Sector Leader, Marie-Charlotte Paindavoine et Georgiana Hriscu, Managers chez EY Luxembourg, évoquent une série d’enjeux y relatifs.
Le Luxembourg exprime de plus en plus concrètement sa volonté de renforcer sa souveraineté numérique et de faire émerger un écosystème national des données. Quelles sont les dernières initiatives qui témoignent de cette ambition et quels enjeux soulèvent-elles ?
PJF : Cette volonté s’est manifestée très clairement au cours des douze derniers mois. Le lancement de Clarence, la première infrastructure de cloud souverain du pays, ou de la plateforme Lenada, conçue pour faciliter la gestion et l’accès aux données d’électricité et de gaz, témoignent de la nécessité pour les États et les entreprises de mieux contrôler leurs infrastructures de données. L’enjeu principal est double : assurer la souveraineté numérique en maintenant un contrôle total sur les données sensibles tout en garantissant des performances et innovations à la hauteur des besoins des organisations luxembourgeoises.
MCP : Si la dynamique s’accélère aujourd’hui, le Grand-Duché a en réalité investi très tôt dans les moyens humains et les infrastructures nécessaires à l’émergence d’un écosystème national des données. Il y a quelques années déjà, le Luxembourg Government Cloud (GovCloud) a été mis en place pour permettre aux administrations publiques d’héberger leurs services informatiques de manière sécurisée et conforme aux normes locales et européennes, soulevant en même temps la question de l’interopérabilité des systèmes. Il est en effet impératif que les organisations garantissent la circulation efficace des données personnelles entre les différents environnements cloud pour faciliter leur exploitation. La classification des données représente elle aussi un enjeu majeur pour les entreprises et les administrations car elle permet l’identification des informations sensibles et des risques associés à la perte ou à la compromission de celles-ci.
GH : Les exploitants des data centers doivent aussi être en mesure de démontrer leur conformité aux exigences réglementaires nationales et européennes. À ce titre, il faut distinguer les réglementations qui concernent les données en général, comme le Data Governance Act qui crée un cadre facilitant à la fois la gestion et l’interopérabilité des données au sein de l’Union européenne, de celles qui touchent aux données personnelles spécifiquement, à savoir le RGPD, et les articuler avec la directive NIS2, qui permet de renforcer la cybersécurité des infrastructures critiques, ou encore le règlement sur l’intelligence artificielle entré en vigueur le 1er août dernier.
Justement, en quoi les initiatives visant à renforcer la souveraineté des données sont-elles cruciales à l’heure où l’IA est en plein boum ?
PJF : Elles le sont à plusieurs niveaux. L’IA repose sur l’accès et l’exploitation massive de données. Le contexte géopolitique actuel nous démontre qu’il est essentiel de mieux sécuriser les data centers de telle sorte que les informations qu’ils renferment aient effectivement une valeur pour des usages statistiques, mais aussi qu’elles soient protégées des attaques extérieures. Un cloud souverain garantit que les données sensibles demeurent sous contrôle local. Les dernières initiatives lancées en ce sens offrent également au Luxembourg des infrastructures modernes et performantes, capables de traiter un volume de données qui croît de façon exponentielle ainsi que d’accueillir les dernières innovations disponibles dans le cloud et permettant l’usage de l’intelligence artificielle à son plein potentiel. Et puis, avec des règlementations aussi strictes que celles que nous avons évoquées, il est crucial d’héberger les modèles et données d’IA dans des infrastructures conformes aux normes européennes.
Dès lors, pourquoi les administrations et entreprises devraient-elles considérer le cloud souverain dans leur stratégie ?
PJF : Elles ont intérêt à recourir à des data centers souverains pour plusieurs raisons, l’une d’elles étant le développement de l’innovation. Plutôt que de se limiter au déploiement de systèmes de gestion traditionnels, les organisations publiques et privées devraient désormais tirer parti de l’analyse avancée des données pour en extraire une véritable intelligence. Basée sur la technologie de Google Cloud, Clarence offre à ce titre une réelle valeur ajoutée à l’ensemble des administrations et ministères qui sont d’importants consommateurs de données. Dans cette optique, l’intégration progressive au cloud souverain apparaît comme un choix naturel.
MCP : D’un point de vue technique, une infrastructure locale garantit une meilleure latence et une haute disponibilité des services. Elle permet également de développer des solutions qui soient vraiment en phase avec les besoins du marché luxembourgeois. Et puis, comme évoqué, les données y sont mieux protégées contre les risques juridiques liés aux lois extraterritoriales comme le Cloud Act américain.
S’agissant du stockage et du traitement des données, quelles sont les principales réglementations à respecter et comment assurer sa mise en conformité ?
GH : Le stockage de données personnelles est un traitement de données à caractère personnel ; par conséquent, toutes les obligations imposées par le RGPD et par la loi de 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données s’imposent. Les principes essentiels à respecter sont la licéité, la loyauté, la transparence, la minimisation des données, la limitation de la conservation, la sécurité et la responsabilité. Ainsi, les données personnelles ne peuvent être conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles ont été collectées. Il est donc primordial d’adopter des procédures définissant des durées de conservation claires et précises. Des mesures de sécurité robustes, tant physiques que numériques, doivent aussi être mises en place pour protéger l’intégrité, la confidentialité et la disponibilité de ces données. Dans la pratique, cela se traduit notamment par le chiffrement des données en transit et au repos, leur anonymisation, la gestion des accès logiques et le développement d’une procédure de gestion des incidents de sécurité. Le RGPD impose aussi des restrictions concernant les transferts de données personnelles en dehors de l’Espace économique européen. Des garanties appropriées, comme des clauses contractuelles types établies par la Commission européenne, sont requises pour protéger les droits et libertés des personnes concernées. Pour se conformer au RGPD, les entreprises qui exploitent des centres de données doivent également obéir au principe de responsabilité, c’est-à-dire être en mesure de démontrer leur conformité aux exigences réglementaires et législatives en vigueur. Cela se traduit notamment par la mise en place d’une documentation rigoureuse en matière de protection des données personnelles, reflétant une conduite exemplaire dans ce domaine à travers des politiques, des procédures, des plans de contrôle, des notices d’information ainsi qu’une stratégie de protection des données, entre autres.
À quelles évolutions faut-il s’attendre dans les prochaines années ?
PJF : Personnellement, j’identifie trois axes de développement. Premièrement, nous assisterons à des évolutions technologiques : que ce soit d’un point de vue technique, logiciel ou matériel, les choses avancent de façon très rapide ; d’où l’enjeu entourant les terres rares qui servent à alimenter ces nouvelles technologies. Deuxièmement, nous verrons les cas d’usage proliférer. L’appétit pour ce type d’infrastructure viendra avec la pratique et les opportunités se multiplieront à mesure que nous découvrirons ses capacités. Troisièmement, le cloud souverain boostera l’innovation. Sa puissance nous épate de jour en jour et continuera de nous étonner dans les années à venir.
L’enjeu principal est double : assurer la souveraineté numérique tout en garantissant des performances et innovations à la hauteur des besoins des organisations luxembourgeoises
MCP : Il faut également s’attendre à un renforcement des réglementations européennes. Bien que l’UE ait sans doute été tentée de trop réguler comparativement aux États-Unis et qu’elle puisse sembler faire marche arrière sur certains aspects, elle continuera à structurer le marché avec des normes strictes en matière de protection et de gouvernance des données, poussant les organisations à privilégier les infrastructures conformes et souveraines.
Comment pouvez-vous aider les acteurs publics et privés luxembourgeois à améliorer la gouvernance de leurs données dans un tel contexte ?
MCP : Nos premiers contacts avec les ministères et administrations soulignent l’importance d’établir une stratégie claire, à la fois pour eux-mêmes et pour les utilisateurs. Il y a énormément de prérequis à valider avant de se lancer dans l’utilisation des nouvelles infrastructures cloud et des services associés. Il convient d’évaluer les risques afférents, de définir la stratégie selon laquelle seront autorisés un certain nombre de cas d’utilisation, mais aussi de mettre en place de nouveaux processus. Chez EY, nous soutenons concrètement nos clients en établissant un diagnostic rapide selon leurs objectifs, identifiant d’éventuels manquements en matière de gouvernance, évaluant les risques et procédures, partageant des retours d’expérience pertinents et en les accompagnant dans leur mise en conformité réglementaire afin qu’ils puissent pleinement tirer profit des dernières solutions disponibles.