Sommaire
Des volumes colossaux de données… qu’il faut stocker !
La sécurité, un prérequis de la souveraineté des données
Qu’est-ce que la souveraineté ?
Le piège des lois extraterritoriales
Certifier les prestataires qui gèrent et stockent les données
La souveraineté repose sur la confiance
Face à l’inflation règlementaire pour mieux lutter contre le blanchiment et le financement du terrorisme, les entreprises et organisations assujetties doivent gérer et stocker des volumes toujours plus importants de données.
Des volumes colossaux de données… qu’il faut stocker !
Dans la mesure où le respect de la conformité exige que les données soient non seulement collectées de manière exhaustive, mais aussi conservées pendant plusieurs années, la problématique du stockage est cruciale. Selon une étude d’Hitachi Ventara, 35 % des institutions financières placent désormais la gestion de la croissance des données au premier rang de leurs priorités en matière de stockage. Par ailleurs, 30 % identifient la conformité réglementaire comme un axe majeur de leurs investissements dans les infrastructures. Si la maîtrise des flux et des volumes de données nécessaires au respect des obligations réglementaires reste techniquement possible en interne, un nombre croissant d’organisations fait le choix de l’externalisation vers des prestataires cloud. Les promesses de réduction des coûts, d’optimisation opérationnelle, de simplicité de gestion et de gains de performance rendent cette option particulièrement attractive.
La sécurité, un prérequis de la souveraineté des données
Quel que soit le mode de gestion et de stockage, les données (exhaustives, fiables, traçables…) étant l’élément central pour démontrer la conformité, les garanties de sécurité doivent être maximales. Au moins quatre critères doivent être remplis pour limiter les risques :
– le respect de la confidentialité, avec des accès restreints aux données, en particulier pour les obligations de KYC, de KYT et de remédiation. Cette exigence s’inscrit directement dans le cadre des obligations européennes du RGPD relatives à la protection des données personnelles, ainsi que des lignes directrices encadrant leur traitement dans le contexte de lutte contre le blanchiment de capitaux et le financement du terrorisme.
– la garantie de l’intégrité, les données ne doivent pas pouvoir être modifiées,
– l’assurance de la disponibilité des données, en cas de demande des autorités de contrôle de la conformité. D’où une exigence de réversibilité lorsque les données sont stockées chez des tiers,
– la certitude de la traçabilité des transactions, de manière à expliquer les scénarios de fraude et de blanchiment.
À l’heure où les réglementations LCB-FT imposent une surveillance fine et continue des transactions, une analyse comportementale systématique et une qualification granulaire des clients, les données produites et exploitées dans ce cadre acquièrent une valeur stratégique élevée.
Cette criticité soulève une question centrale : celle de la souveraineté des données. Dès lors que ces informations sensibles sont hébergées dans des environnements cloud, leur localisation, leur contrôle et leur exposition potentielle à des juridictions tierces deviennent des sujets structurants.
Dans un contexte marqué par des tensions géopolitiques et une instabilité réglementaire croissante, la souveraineté des données ne relève plus d’un simple choix d’architecture mais s’impose comme un impératif de gouvernance et de maîtrise du risque.
Qu’est-ce que la souveraineté ?
La souveraineté se définit comme la capacité d’une organisation à garder la maîtrise de l’ensemble de ses données en s’affranchissant de dépendances extérieures, en particulier à des réglementations extraterritoriales, telles que le Cloud Act ou le FISA (Foreign Intelligence Surveillance Act). Ces lois permettent aux autorités américaines d’accéder à des données stockées partout dans le monde, y compris en Europe, si elles sont détenues ou contrôlées par des entités soumises à la juridiction américaine. Cela inclut bien sûr les grands fournisseurs de services cloud tels qu’Amazon Web Services, Google Cloud et Microsoft Azure. Compte tenu de leur domination écrasante sur le marché, ces fournisseurs stockent sur leurs serveurs beaucoup de données relatives à la LCB-FT, à la lutte contre le blanchiment et le financement du terrorisme collectées par les entreprises européennes. Le risque n’est pas nul que ces données soient compromises, altérées, copiées, voire interdites d’accès sur simple décision politique.
Le piège des lois extraterritoriales
Par exemple, si une banque française utilise une solution de Transaction Monitoring (surveillance des transactions) proposée par une Fintech américaine, hébergée sur AWS et que celle-ci fait l’objet d’une injonction sous le Cloud Act, les données de transaction et les profils de risque des citoyens européens de cette banque peuvent théoriquement être audités par une agence fédérale américaine, hors de tout contrôle du juge européen. De même, si un éditeur américain décide de couper ses services ou d’appliquer unilatéralement des règles de filtrage basées sur le droit américain (règles de l’Office of Foreign Assets Control) plutôt que sur le droit européen, l’institution financière européenne se retrouve paralysée ou en situation d’illégalité.
Certifier les prestataires qui gèrent et stockent les données
La force de la conformité règlementaire ne doit donc jamais être remise en cause par une fragilité numérique. Face à ce risque de dépendance, la riposte européenne s’organise, avec l’émergence de cloud souverain, de confiance, capable de garantir que les données financières ne sortiront pas des frontières juridiques européennes. En France, la certification SecNumCloud constitue une réponse efficace. Il s’agit d’un ensemble d’exigences techniques, opérationnelles et juridiques qui visent à protéger les données et les traitements sensibles face à la menace cybercriminelle et à l’application de lois extraterritoriales.
La qualification SecNumCloud, élaborée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) apporte un degré de confiance sur l’offre cloud, ainsi que sur les pratiques d’exploitation des offreurs qualifiés. Le référentiel aborde plusieurs thématiques : contrôle d’accès, gestion des identités, cryptologie, sécurité liée à l’exploitation et aux communications, acquisition, développement et maintenance des systèmes d’information, relations avec les tiers, qui doivent avoir le même niveau de sécurité que le prestataire lui-même. Des exigences supplémentaires concernent la protection vis-à-vis du droit extra-européen qui impose aux prestataires numériques non européens, sur demande des autorités du pays d’origine, de fournir les données de leurs clients y compris européens.
La souveraineté repose sur la confiance
Le point-clé pour garantir la souveraineté des données de conformité LCB-FT consiste à faire appel à des prestataires européens certifiés SecNumCloud. C’est un gage de confiance. De même, pour les Regtech, il est essentiel de privilégier des acteurs qui garantissent la sécurité et la souveraineté des données. C’est le cas d’AP Solutions IO, avec des données localisées et sauvegardées en France. Et des garanties de sécurité maximales : sécurisation des transferts par cryptage https, API sécurisées, identification par token, stockage des mots de passe sous forme non réversible, cryptage des documents, respect du RGPD, sauvegardes régulières et plan de continuité…
En renforçant la souveraineté des données de conformité LCB-FT, il s’agit de maîtriser pour ne pas subir.
Aurélien Zachayus
Co-Fondateur – CEO at AP Solutions IO

Réduisez vos faux positifs dès aujourd’hui

