Business

À qui appartiennent vos données IoT : propriété, résidence et GDPR

À qui appartiennent vos données IoT, où elles doivent résider et ce que le GDPR exige vraiment. Les questions de propriété et de résidence des données à poser à tout fournisseur de plateforme IoT avant de signer.

Fabio Rosa ·
À qui appartiennent vos données IoT : propriété, résidence et GDPR

La propriété des données IoT semble une question réglée, jusqu’au jour où vous essayez de quitter une plateforme, échouez à un audit ou qu’un client européen vous demande où ses données se trouvent physiquement. Vous découvrez alors que l’expression “vos données” cachait bien des subtilités dans le contrat, et que la réponse à la question de savoir qui les contrôle n’était pas celle que vous imaginiez.

La plupart des équipes ne posent jamais ces questions au moment de la sélection, parce que la plateforme est évaluée sur ses fonctionnalités et son prix, et que la section sur la gouvernance des données ressemble à du texte type. Mais la propriété, la résidence et la conformité ne sont pas du texte type. Elles déterminent si vous pouvez partir, si vous pouvez vendre sur des marchés réglementés, et si un audit est une simple formalité ou un branle-bas de combat.

Il y a en réalité trois questions distinctes qui se cachent derrière la “propriété des données”, et chacune trouve sa réponse dans une partie différente de la relation avec le fournisseur. Voici comment les distinguer et quoi demander.

La propriété et la résidence sont deux questions différentes avec des réponses différentes.

Première question : à qui appartiennent les données

La propriété est une question contractuelle, pas technique, et les mots comptent. Vous voulez que le contrat indique clairement que vous êtes propriétaire de vos données et que le fournisseur est un sous-traitant qui les stocke et les traite pour votre compte, sans en être propriétaire ni copropriétaire.

Les tests concrets d’une vraie propriété sont l’export et la suppression. Pouvez-vous récupérer l’intégralité de vos données, dans un format exploitable, quand vous le souhaitez, sans des frais qui rendent le départ douloureux ? Et pouvez-vous les faire supprimer sur demande et en obtenir la confirmation ? Si l’un ou l’autre est conditionné, restreint ou flou, vous n’êtes pas pleinement propriétaire des données, quoi qu’en dise l’intitulé. La position de TagoIO est claire : vos données vous appartiennent et restent accessibles à tout moment via l’API, ce qui fait de l’export un appel de routine, et non une négociation.

Posez la question sans détour au moment du choix : “Si nous partons dans deux ans, comment récupérons-nous tout, et combien cela coûte ?” La qualité de la réponse vous dit qui possède réellement les données.

Deuxième question : où résident les données

La résidence est une question distincte de la propriété, et confondre les deux crée de vrais problèmes. Vous pouvez être entièrement propriétaire de vos données et les voir stockées dans une région qui viole un contrat client ou une réglementation. La résidence concerne l’emplacement physique et juridique des données, et pour un nombre croissant de contrats, c’est une exigence ferme, pas une préférence.

Les raisons sont concrètes. Un client européen peut exiger que ses données restent dans l’UE. Un client du secteur public ou de la santé peut imposer une juridiction précise. Une loi sur la souveraineté des données peut interdire leur sortie du territoire. Si votre plateforme stocke tout dans une seule région sans possibilité de choix, vous ne pouvez pas servir ces clients, point final.

C’est là que le modèle de déploiement entre en jeu. Le cloud à instances partagées de TagoIO fonctionne dans les principales régions, et pour des exigences plus strictes, TagoDeploy propose des déploiements dédiés dans 12 régions ou plus sur AWS, afin que les données résident là où le contrat ou la loi l’imposent. La question à poser à tout fournisseur : “Dans quelles régions nos données peuvent-elles être stockées, et pouvons-nous choisir ?” Si la réponse est “une seule”, c’est un plafond posé sur votre marché adressable.

Troisième question : ce que le GDPR exige vraiment

Le GDPR est le point où la propriété et la résidence rencontrent la réglementation, et il est plus précis que “gardez les données en Europe”. Évaluer la conformité GDPR d’une plateforme se résume à quelques éléments vérifiables, plutôt qu’à une impression.

Cherchez un accord de traitement des données (DPA) que le fournisseur acceptera de signer, qui le définit comme votre sous-traitant et énonce ses obligations. Cherchez la prise en charge des droits des personnes concernées : la capacité d’exporter, de corriger et de supprimer des données personnelles sur demande, ce qui renvoie directement aux tests de propriété évoqués plus haut. Cherchez des contrôles de sécurité adaptés aux données, un chiffrement en transit et au repos et un vrai contrôle d’accès. Et cherchez une certification de sécurité indépendante comme preuve que ces contrôles sont réels, et non simplement affirmés. TagoIO est certifié ISO 27001 et prêt pour le GDPR, ce qui signifie que l’équipe conformité d’un client examine un programme audité plutôt que de vous croire sur parole.

L’erreur des équipes est de traiter le GDPR comme une case juridique à cocher à la fin. C’est un critère de sélection de plateforme, car si la plateforme ne peut pas prendre en charge les droits des personnes concernées et la résidence, aucune clause contractuelle ne pourra les ajouter après coup.

Rassemblez le tout avant de signer

Ces trois questions coûtent peu à poser lors de la sélection et cher à découvrir ensuite. La propriété se règle dans le contrat, et les tests d’export et de suppression le prouvent. La résidence se règle par les options régionales de la plateforme, et elle décide quels clients vous pouvez servir. La conformité GDPR se règle par un DPA signé, la prise en charge des droits des personnes concernées et une certification indépendante, et elle décide si les marchés réglementés vous sont ouverts.

Posez les trois avant de vous engager, pas pendant votre premier audit. Si vous établissez une liste restreinte de fournisseurs, la liste de contrôle complémentaire dans les questions clés à poser avant de choisir une plateforme IoT les intègre dans une évaluation plus large, et comment choisir entre AWS IoT Core et une plateforme gérée explique où retombe la charge de conformité dans chaque modèle.

Vos données devraient vous appartenir, être stockées là où vous en avez besoin, et traitées d’une manière que vous pouvez prouver. Faites en sorte que le fournisseur démontre les trois. Vous voulez voir comment TagoIO gère la propriété, la résidence et le GDPR ? Réservez une démo ou commencez gratuitement.