Par Mark Pestridge, Vice-Président Exécutif et Directeur Général de Telehouse Europe ; Sami Slim, CEO de Telehouse France ; Takeyuki Yanagisawa, Directeur Général du département Business Planning de Telehouse, KDDI
À mesure que les écosystèmes numériques se développent, la souveraineté des données s’impose comme un facteur critique dans la manière dont les infrastructures sont conçues et gouvernées. Pour les entreprises, le défi consiste à trouver le juste équilibre : les infrastructures doivent permettre une collaboration mondiale tout en respectant les réglementations locales et en garantissant la confidentialité et la sécurité des données.
Cet équilibre devient d’autant plus important que les violations des lois sur la souveraineté des données se multiplient. En Europe, les autorités ont infligé des amendes de plusieurs milliards d’euros au titre du RGPD, et des mesures d’application similaires apparaissent en Amérique du Nord, en Asie-Pacifique, en Amérique latine et au Moyen-Orient. Cette tendance croissante souligne la nécessité de respecter strictement les réglementations locales en matière de résidence et de transfert des données. Des pays comme l’Inde, le Vietnam et le Brésil ont adopté des règles plus strictes, imposant que certains ensembles de données restent à l’intérieur de leurs frontières nationales ou soient transférés selon des conditions définies. Ces réglementations influencent les décisions architecturales et élèvent les attentes vis-à-vis des opérateurs de centres de données. Désormais, la capacité seule ne suffit plus : les clients exigent dès le départ clarté et confiance en matière de souveraineté des données.
Cette complexité croissante a stimulé la demande pour des environnements multi-cloud et neutres vis-à-vis des opérateurs, combinant une connectivité dense et une conformité éprouvée. De tels environnements permettent aux entreprises d’adapter leurs charges de travail aux juridictions, de maintenir le stockage des données dans le pays concerné et de respecter les obligations légales sans devoir repenser entièrement leurs infrastructures. À mesure que les cadres réglementaires évoluent, l’emplacement et la propriété des infrastructures influencent de plus en plus la gouvernance. La juridiction de l’opérateur d’infrastructure détermine les régimes juridiques applicables aux données, façonnant les considérations de confidentialité et la manière dont les revendications extraterritoriales sont traitées. Cela signifie que les centres de données doivent être conçus pour être adaptables, capables d’évoluer au rythme des technologies et des réglementations.
Moteurs réglementaires
Les exigences réglementaires influencent de plus en plus la conception des centres de données, en particulier dans les secteurs fortement régulés comme les services financiers. Par exemple, le règlement sur la résilience opérationnelle numérique (DORA), applicable à partir de janvier 2025, impose aux entités financières réglementées et à leurs partenaires technologiques, tels que les centres de données, de démontrer leur capacité à résister aux perturbations et à signaler rapidement les incidents. Cela s’inscrit dans une tendance mondiale plus large : les normes internationales évoluent vers une simplification de la conformité transfrontalière, tout en répondant à des attentes croissantes en matière de cybersécurité et de durabilité. Les certifications ISO/IEC 27001 (sécurité de l’information) et ISO/IEC 27701 (gestion de la protection de la vie privée) sont fréquemment demandées et s’alignent sur les réglementations européennes, notamment NIS2 et DORA. De même, le cadre de cybersécurité du NIST offre une approche commune de la gestion des risques, aidant les parties prenantes à maintenir des pratiques cohérentes lorsqu’elles développent leurs opérations à l’international. Si les normes internationales apportent une certaine cohérence, les règles de souveraineté des données restent fragmentées. Par exemple, bien que le RGPD constitue la référence en Europe, certains États membres imposent des dispositions locales plus strictes. Par ailleurs, des pays comme la Chine et le Japon disposent de leurs propres lois sur la souveraineté des données, avec des niveaux variables de contrôle des transferts transfrontaliers.
Perspectives régionales
Chaque région présente des exigences spécifiques en matière de souveraineté des données. En France, l’hébergement de données de santé à caractère personnel requiert la certification Hébergement de Données de Santé (HDS), et le schéma mis à jour impose un hébergement physique au sein de l’EEE avec des contrôles définis. Au Royaume-Uni, les centres de données sont désormais désignés comme Infrastructures Nationales Critiques, et le projet de loi sur la cybersécurité et la résilience devrait renforcer les exigences en matière de déclaration des incidents et de gestion de la chaîne d’approvisionnement. Parallèlement, le Japon a renforcé ses lois sur la protection des données, en durcissant les restrictions sur les transferts de données vers des pays tiers. Les amendements à la loi sur la protection des informations personnelles, qui s’inscrivent dans le cadre de l’accord de partenariat économique UE–Japon, garantissent une circulation de données de confiance entre les deux régions.
Stratégies de conception pour l’adaptabilité
À mesure que les cadres réglementaires évoluent, les centres de données doivent gagner en adaptabilité. Les conceptions modulaires, qui permettent une construction par phases et des rénovations progressives, sont de plus en plus courantes. Cette approche permet aux opérateurs de s’adapter aux changements réglementaires et aux exigences des clients sans procéder à des refontes majeures.
Les conceptions modulaires contribuent également aux objectifs de durabilité, avec des zones à haute densité prêtes pour l’IA et le refroidissement liquide, ainsi qu’une réduction du PUE (Power Usage Effectiveness), du CUE (Carbon Usage Effectiveness) et du WUE (Water Usage Effectiveness). Les campus neutres vis-à-vis des opérateurs, qui prennent en charge plusieurs fournisseurs de cloud et de télécommunications, permettent aux entreprises de respecter les exigences réglementaires tout en limitant la dépendance à un fournisseur unique.
Collaboration et partenariats écosystémiques
Si la conception des infrastructures pose les bases, l’atteinte effective de la souveraineté des données nécessite une collaboration entre de multiples partenaires. Aucun opérateur ne peut à lui seul répondre à toutes les exigences réglementaires, d’où l’importance d’un écosystème connecté. Celui-ci inclut la collaboration entre réseaux de télécommunications, fournisseurs de services cloud et partenaires de sécurité afin de garantir résilience, performance et conformité. Des écosystèmes de carriers denses et des points d’échange Internet (IXP) offrent des chemins courts et diversifiés vers les utilisateurs, réduisant la latence et la dépendance à un fournisseur unique. Parallèlement, les plateformes cloud hyperscale et les accès dédiés aux clouds privés assurent des performances prévisibles pour les charges de travail réglementées et permettent des transferts de données sécurisés et directs pour des technologies émergentes comme l’IA. Au-delà de ces partenariats techniques, des outils juridiques et de conformité tels que les clauses contractuelles types (SCC) et les accords de traitement des données renforcent la transparence et la responsabilité, garantissant que les données sont traitées conformément aux réglementations.
La voie à suivre
À mesure que la souveraineté des données devient un élément central de la conception des infrastructures, les opérateurs doivent se concentrer sur la flexibilité, la transparence et la conformité. En combinant des conceptions modulaires, une interconnexion neutre vis-à-vis des opérateurs et des normes reconnues, les entreprises peuvent bâtir des infrastructures qui respectent non seulement les lois actuelles, mais s’adaptent également à l’évolution des réglementations. Ainsi, la souveraineté des données n’est plus un obstacle à contourner. Elle devient un principe de conception à part entière, garantissant que les infrastructures puissent évoluer avec le paysage géopolitique, tout en soutenant l’innovation et en maintenant les données sécurisées et conformes.
