Les gouvernements de la région Asie-Pacifique affirment de plus en plus leur contrôle sur les données générées par leurs citoyens, leurs entreprises et leurs organismes publics. L’incertitude géopolitique, l’essor de l’IA et les inquiétudes concernant la dépendance à l’égard des technologies étrangères ont conduit de nombreux régulateurs à croire que les données constituent un atout national essentiel.
Et, comme tout élément physique, nous pensons que le meilleur moyen de protéger ces données est de les conserver dans votre juridiction.
Mais cette idée repose sur une fausse hypothèse. Cela signifie que la souveraineté n’est pas définie par qui contrôle l’accès aux données, mais par l’emplacement physique des serveurs.
Les régulateurs exercent leur souveraineté numérique de diverses manières.
Le programme d’assurance de la sécurité du cloud (CSAP) de la Corée du Sud exige que les institutions publiques se procurent des services cloud qui stockent les données localement, utilisent des algorithmes de chiffrement développés au niveau national et disposent d’un personnel de gestion et d’exploitation résidant en Corée du Sud.
Au Japon, le processus complexe de certification des logiciels gouvernementaux se déroule presque exclusivement en japonais, ce qui désavantage les fournisseurs non japonais.
La loi indienne sur la protection des données personnelles numériques de 2023 permet au gouvernement d’imposer des restrictions sur les transferts de données transfrontaliers vers certains pays si les autorités fournissent une notification appropriée.
En Asie du Sud-Est, l’Indonésie et le Vietnam proposent régulièrement des obligations complètes en matière de localisation des données. Même les Philippines, longtemps considérées comme l’un des champions de la libre circulation des données entre les entreprises et les universitaires, ont proposé l’année dernière une législation qui obligerait les institutions publiques (y compris les universités) à stocker presque toutes les données sur des serveurs nationaux.
Les difficultés liées à la régulation des flux de données transfrontaliers ont constitué un obstacle à la signature de l’Accord-cadre économique numérique (DEFA) de l’ASEAN, qui pourrait devenir le premier accord régional global sur le commerce numérique au monde. Le DEFA devrait être signé lors du prochain sommet de l’ASEAN en novembre, un an plus tard que prévu.
Les flux de données transfrontaliers sécurisés sont un élément clé du succès du DEFA. Des compromis édulcorés, comme permettre aux États membres de retarder l’adhésion à un tel pilier jusqu’à ce qu’ils se sentent prêts, ne feraient que perpétuer le paysage réglementaire fragmenté actuel, entraîneraient des frictions persistantes dans les paiements et le commerce transfrontaliers et ne laisseraient que partiellement l’efficacité du DEFA.
Ne pas adopter les flux de données transfrontaliers mettrait en péril l’ambition de l’ASEAN d’utiliser le DEFA pour accélérer son économie numérique de 300 milliards de dollars aujourd’hui à 2 000 milliards de dollars d’ici 2030.
Quand la protection s’affaiblit
La localisation des données est souvent motivée par des problèmes de sécurité, mais cette pratique comporte ses propres risques en matière de sécurité.
En septembre dernier, un incendie s’est déclaré dans un centre de données en Corée du Sud, entraînant la fermeture de 647 services gouvernementaux. Sans sauvegarde externe, on estime que 850 téraoctets de données gouvernementales pourraient être perdues à jamais. Les politiques mêmes destinées à protéger les données ont créé un point de défaillance unique. La perte de données aurait pu être atténuée si les systèmes concernés avaient été conçus en tenant compte de principes de résilience tels que la redondance géographique et les sauvegardes continues.
Restreindre les flux de données transfrontaliers peut empêcher les personnes d’accéder à des produits et services innovants, car les barrières réglementaires rendent leur fourniture économiquement impossible. Les entreprises locales, en particulier les entreprises à croissance rapide désireuses d’accéder aux marchés internationaux, voudront peut-être profiter des services d’IA de pointe proposés par des fournisseurs étrangers, mais pourraient être gênées si ces fournisseurs n’exécutent pas leurs charges de travail via des centres de données locaux.
La localisation peut également nuire à la compétitivité. Contrairement aux grands hyperscalers, les petites entreprises de logiciels en tant que service construisent rarement leurs propres centres de données, ce qui leur fait supporter des coûts de conformité disproportionnés. Il ne s’agit pas uniquement de startups locales. Zoom entre dans cette catégorie.
L’Asie-Pacifique est également l’une des régions les plus diversifiées en termes de culture et de langue, et de nombreux gouvernements souhaitent protéger cette diversité en soutenant les modèles d’IA dans leur propre langue. Mais rendre obligatoire le stockage local des données empêcherait les meilleurs modèles linguistiques à grande échelle du monde d’utiliser le contenu national pour améliorer la précision dans les langues à faibles ressources.
Redéfinir la souveraineté numérique
La véritable souveraineté ne signifie pas l’isolement. Il est plutôt important de veiller à ce que le client, et peut-être l’agence gouvernementale elle-même, soient responsabilisés. Cette approche est plus sophistiquée que les exigences globales de localisation.
Premièrement, la confiance doit être instaurée grâce à des garanties technologiques plutôt qu’à des limitations géographiques. Le chiffrement moderne de bout en bout garantit qu’aucun tiers ne peut accéder aux clés nécessaires aux flux de données en temps réel en transit. De plus, les clés gérées par le client garantissent que les données ne sont accessibles qu’au propriétaire des données, quel que soit l’endroit où elles sont stockées, ce qui rend l’emplacement physique du serveur presque sans importance. L’architecture de sécurité est plus importante que la localisation géographique de vos serveurs.
Les normes mondiales permettent aux régulateurs d’évaluer rapidement les processus de confidentialité et de sécurité d’une entreprise, même lorsque les serveurs sont situés à des endroits différents.
Troisièmement, les pays devront adopter des stratégies s’appuyant sur plusieurs fournisseurs de cloud. Cela évite la dépendance à l’égard d’un seul écosystème et garantit la concurrence.
Les régulateurs devraient également adopter des cadres nationaux de classification des données basés sur les risques, similaires au RGPD de l’Union européenne et à la loi sur la protection des données personnelles de Singapour. Ces lois fournissent des critères objectifs pour diviser les données en différents niveaux entre les données véritablement sensibles qui nécessitent un traitement spécial et d’autres données qui peuvent être transférées au-delà des frontières avec une protection appropriée.
Les États devraient légitimement maintenir un contrôle souverain sur les données véritablement sensibles telles que les communications militaires et les dossiers médicaux. Cependant, une grande partie des données collectées par les institutions publiques, telles que les statistiques de l’emploi, les statistiques du logement et l’enregistrement des entreprises, ne répondent pas à cette norme.
voie à suivre
Certains accords commerciaux servent de modèles pour des approches plus équilibrées de la souveraineté des données. Les accords Australie-Singapour et UE-Singapour sur l’économie numérique limitent les exigences déraisonnables en matière de localisation des données tout en maintenant des protections pour répondre aux problèmes de sécurité légitimes.
Des initiatives telles que le système Global Cross-Border Privacy Rules (CBPR) et le Data Free Flows with Trust de l’OCDE (initié par le Japon) démontrent également qu’une mobilité fiable des données et une solide protection de la vie privée ne s’excluent pas mutuellement.
Alors que les négociateurs de l’ASEAN s’efforcent de finaliser le DEFA et que les gouvernements de la région Asie-Pacifique cherchent à tirer parti de l’innovation et de l’IA pour stimuler la croissance économique, ils sont confrontés à un choix. Soit nous adoptons la souveraineté numérique par l’isolement, soit nous y parvenons grâce à une conception stratégique et une gestion technologique.
La première donne une illusion de contrôle tout en créant de nouvelles vulnérabilités. Ce dernier offre une véritable sécurité et un contrôle sélectif lorsque cela est nécessaire, tout en maintenant l’accès à l’innovation mondiale et en accélérant la voie de la nation vers la prospérité.
Les opinions exprimées dans les articles de commentaires de Fortune.com sont uniquement celles de l’auteur et ne reflètent pas nécessairement les opinions ou les croyances de Fortune.
