Pourquoi les entreprises continuent d'échouer en matière de souveraineté des données malgré des budgets importants

L’écart entre la sensibilisation aux règles relatives à la souveraineté des données et leur application effective

Le rapport Kiteworks Data Security and Compliance Risk : Data Sovereignty (Risques liés à la sécurité et à la conformité des données : souveraineté des données) révèle un fait troublant : 44 % des professionnels au Canada, en Europe et au Moyen-Orient affirment comprendre « très bien » les exigences en matière de souveraineté des données, mais nombre d’entre eux sont encore confrontés à des incidents fréquents en matière de sécurité et de conformité. Ce décalage nous indique que de nombreuses organisations connaissent les règles mais n’ont pas mis en place des systèmes capables de les appliquer de manière cohérente.

Les incidents sont très répandus. Le rapport a enregistré des taux de 23 % au Canada, de 32 % en Europe et de 44 % au Moyen-Orient. Les deux problèmes les plus fréquents, les violations de données et les manquements à la conformité des tiers, tous deux à 17 %, soulignent que les mesures de protection opérationnelles n’ont pas suivi l’évolution des connaissances en matière de réglementation. Ces chiffres montrent que la sensibilisation ne se traduit pas par la prévention. Les équipes comprennent les exigences de conformité en théorie, mais manquent souvent les étapes techniques et procédurales nécessaires pour rendre la conformité automatique et vérifiable.

Pour les dirigeants, c’est le signal qu’il faut aller au-delà des politiques et des campagnes de sensibilisation. Il est temps d’aligner la stratégie et l’exécution. Les conseils d’administration et les responsables de la conformité doivent veiller à ce que l’application de la souveraineté soit intégrée dans l’architecture des données, et non simplement contrôlée par des audits. La capacité de suivre et de contrôler qui accède aux données, où elles sont stockées et comment elles sont cryptées doit passer de contrôles périodiques à une pratique continue et vérifiable. Lorsque la conformité est intégrée dans les opérations, et non gérée après coup, les organisations réduisent les risques et se prémunissent contre le durcissement des réglementations.

Dario Perfettibile, directeur général EMEA de GTM et des opérations clients chez Kiteworks, résume clairement la situation : les entreprises « dépensent des millions » pour la conformité, mais sont toujours confrontées à des atteintes à la souveraineté et à des accès non autorisés aux données. Les dirigeants devraient considérer l’application de la loi comme un problème de conception, et non comme une question de sensibilisation.

L’investissement financier élevé dans le respect de la souveraineté n’a pas empêché les risques opérationnels.

Le même rapport montre que la majorité des organisations dépensent plus d’un million de dollars par an pour répondre aux exigences de souveraineté. La plupart de ces investissements sont consacrés à des modifications de l’infrastructure technique (59 %) et à une expertise juridique ou de conformité (53 %). Pourtant, les incidents continuent de se produire. Cela nous indique que l’argent ne suffit pas à résoudre le problème. Des investissements sont réalisés, mais peut-être pas dans les bons domaines ou avec la bonne responsabilité.

Pour les décideurs, le message est clair : concentrez les dépenses là où elles permettent un contrôle mesurable. Dépenser des millions en évaluations de conformité ou en avocats ne garantit pas l’intégrité des données si l’architecture sous-jacente peut encore être exploitée. La véritable conformité exige des systèmes capables de prouver la souveraineté en temps réel, par la conception et non par l’audit. Les dépenses les plus utiles sont celles qui renforcent directement l’infrastructure, améliorent la surveillance et permettent aux organisations de réagir aux violations potentielles avant qu’elles ne se transforment en cauchemars réglementaires.

De nombreuses entreprises continuent d’allouer des budgets de manière réactive, en réaction à des violations ou à des changements de réglementation, plutôt que de concevoir une infrastructure de conformité dès le départ. Cette approche entraîne une perte d’efficacité et une augmentation des coûts. Les dirigeants devraient passer de la gestion de la conformité à l’automatisation de la conformité. Les plateformes qui unifient la gouvernance, contrôlent les clés de chiffrement et produisent instantanément des preuves prêtes à être auditées sont désormais essentielles pour parvenir à une véritable assurance de souveraineté.

L’observation de M. Perfettibile reflète cette réalité : connaître les règles n’équivaut pas à se conformer, et la sensibilisation sans preuve architecturale n’est plus suffisante. Pour les équipes dirigeantes, la priorité devrait être de s’assurer que l’investissement financier se traduit par des systèmes de conformité automatisés et exploitables qui évoluent avec l’entreprise. Il ne s’agit plus seulement de dépenser, mais de développer la capacité à prouver le contrôle des données en toute confiance.

Les dynamiques régionales révèlent des défis distincts en matière de conformité

Le rapport Kiteworks met en évidence la façon dont les conditions régionales façonnent les résultats de la souveraineté des données de manière unique. Au Moyen-Orient, la quasi-totalité des personnes interrogées (93 %) ont déclaré que les réglementations PDPL et SDAIA avaient un impact direct sur leurs activités. Malgré cette forte orientation réglementaire, la région a enregistré le taux d’incidents le plus élevé (44 %), ce qui montre qu’une exposition réglementaire étendue n’entraîne pas automatiquement de meilleurs résultats. Les deux tiers des entreprises du Moyen-Orient dépensent plus d’un million de dollars par an pour la mise en conformité, mais les violations et les accès non autorisés restent élevés. Ce schéma met en évidence des goulets d’étranglement au niveau de l’exécution, où le volume de la réglementation a dépassé la capacité à mettre en œuvre la gouvernance sur le plan technique.

Le Canada présente des tensions différentes. Avec le taux d’incidents le plus bas (23 %), la sensibilisation et le contrôle semblent plus forts. Toutefois, les personnes interrogées ont fait part d’un malaise croissant face à l’exposition transfrontalière des données, en particulier dans le cadre de la législation américaine. Environ 40 % des participants canadiens ont indiqué que les changements dans les accords de partage de données entre le Canada et les États-Unis constituaient une préoccupation majeure, et 21 % ont désigné spécifiquement le CLOUD Act des États-Unis comme une menace pour la souveraineté. Cela met en évidence la vulnérabilité des entreprises canadiennes qui gèrent des données qui traversent des juridictions ayant des règles différentes en matière de protection de la vie privée.

La situation de l’Europe s’articule autour de son écosystème complexe de cloud. Pour de nombreuses entreprises européennes, l’obstacle n’est pas la loi, mais les limites des garanties offertes par les fournisseurs. Quarante-quatre pour cent des répondants européens ont déclaré que les garanties de souveraineté des fournisseurs de cloud restent leur principal défi à l’adoption du cloud. De nombreux fournisseurs satisfont aux exigences de résidence mais conservent le contrôle des clés de cryptage, ce qui laisse les clients dans l’incertitude quant à l’accès à leurs données. La tension entre la localisation des données et leur véritable contrôle est désormais une question déterminante pour l’économie numérique de l’Europe.

Pour les dirigeants, la leçon est claire : les problèmes de souveraineté sont régionaux mais interconnectés. Une stratégie mondiale uniforme ne fonctionnera pas. Les organisations doivent mettre en place des architectures de conformité qui s’adaptent simultanément aux réglementations locales et aux besoins opérationnels. Le déploiement régionalisé, le contrôle total des clés de cryptage et la capacité de vérifier la conformité des fournisseurs en temps réel sont désormais des compétences essentielles pour les opérations mondiales.

La souveraineté effective des données exige désormais une mise en œuvre technique et une preuve de conformité.

La définition de la souveraineté des données évolue. Elle ne se limite plus au stockage des données à l’intérieur des frontières nationales, mais exige désormais un contrôle démontrable. Les régulateurs, les clients et les équipes chargées des achats veulent des preuves : qui peut accéder aux données, qui gère les clés de cryptage et si la conformité peut être démontrée instantanément. Il ne suffit plus de s’appuyer sur des contrôles de stockage géographique ou sur les promesses des fournisseurs.

Dans toutes les régions, les organisations réorientent leurs stratégies pour répondre à cette nouvelle norme. Au cours des deux prochaines années, les répondants prévoient de donner la priorité à l’automatisation, au renforcement des contrôles techniques et aux systèmes capables de fournir des preuves prêtes à être auditées. L’objectif est de rendre la conformité mesurable plutôt qu’interprétative. Cette évolution fait passer la souveraineté d’une fonction politique statique à une discipline opérationnelle continue soutenue par la technologie.

Pour les dirigeants, cela implique d’intégrer la souveraineté des données dans l’architecture du système dès le premier jour. L’automatisation de la conformité, les pistes d’audit centralisées et la propriété des clés de chiffrement doivent être considérées comme des fonctionnalités obligatoires des systèmes d’entreprise, et non comme des mises à niveau optionnelles. Cet état d’esprit simplifie l’alignement réglementaire, réduit la fatigue liée aux audits et donne aux entreprises une visibilité immédiate sur l’état de la conformité, ce que les examens manuels ne permettent pas de faire.

Dario Perfettibile, directeur général EMEA de GTM et des opérations clients chez Kiteworks, a expliqué ce changement de manière succincte : « Les régulateurs, les clients et les équipes chargées des achats veulent désormais des preuves : qui peut accéder aux données, qui contrôle les clés, et pouvez-vous démontrer la conformité sur demande ? Les organisations qui intègrent ces garanties directement dans leur infrastructure auront un avantage concurrentiel. Pour les dirigeants, le succès consiste désormais à prouver le contrôle, et non plus seulement à revendiquer la conformité.

La gouvernance de l’IA apparaît comme un aspect essentiel de la souveraineté des données

L’intelligence artificielle introduit de nouvelles dimensions à la souveraineté des données. Le rapport Kiteworks Data Security and Compliance Risk : Data Sovereignty souligne qu’à mesure que les réglementations sur l’IA évoluent dans l’UE et dans le cadre de la SDAIA en Arabie saoudite, les organisations sont désormais confrontées au défi de régir les données utilisées dans la formation et le traitement de l’IA. Environ un tiers des répondants ont déclaré conserver toutes les données d’entraînement à l’IA dans leur région d’origine, un autre tiers applique une approche mixte basée sur la sensibilité des données, et 21 % travaillent encore sur une politique de souveraineté des données d’IA.

Cette approche fragmentée indique que de nombreuses organisations sont encore en train de s’adapter aux exigences de conformité concernant les données liées à l’IA. Le risque est clair : sans politique structurée, les entreprises peuvent facilement se retrouver en infraction avec les réglementations émergentes une fois que l’application s’accélère. Les environnements pilotés par l’IA intensifient les problèmes de souveraineté car le flux de données à travers les frontières est souvent automatisé et à grande échelle, ce qui rend le contrôle difficile s’il n’est pas intégré dans la conception du système.

Les dirigeants devraient considérer la gouvernance de l’IA non pas comme une question spécialisée, mais comme un élément fondamental de leur écosystème de conformité au sens large. Les données utilisées pour l’entraînement et l’inférence de l’IA doivent respecter les mêmes principes que les données clients ou opérationnelles : résidence contrôlée, accès restreint, propriété des clés de chiffrement et capacité à fournir aux régulateurs des preuves d’audit transparentes. L’intégration précoce de la gouvernance des données d’IA permet d’éviter les coûts de mise à niveau futurs et de positionner les entreprises en avance sur les réglementations imminentes.

La souveraineté en matière d’IA apporte également une valeur stratégique. L’établissement d’une gouvernance claire pour les ensembles de données et les modèles d’IA renforce la confiance des parties prenantes et la responsabilité, et garantit l’alignement sur les normes internationales de protection des données. Pour les dirigeants, il ne s’agit pas d’une simple mise en conformité, mais d’une préparation à une économie fondée sur l’IA qui exige la traçabilité et la preuve d’un traitement responsable des données.

Principaux enseignements pour les décideurs

La sensibilisation sans l’application de la loi crée des risques : De nombreuses organisations affirment avoir une bonne compréhension de la souveraineté des données mais souffrent encore d’un taux d’incidents élevé. Les dirigeants devraient s’efforcer de transformer les connaissances en matière de conformité en contrôles systémiques applicables qui empêchent les violations.
Des dépenses élevées ne garantissent pas la sécurité : Malgré les millions investis chaque année, les incidents persistent. Les dirigeants devraient orienter leurs budgets vers des solutions qui offrent un contrôle mesurable et des preuves prêtes à être vérifiées, plutôt que de se contenter d’efforts juridiques ou politiques.
Les stratégies régionales doivent s’adapter aux réalités locales : Le Moyen-Orient est confronté à des incidents élevés malgré des dépenses importantes, le Canada lutte contre l’exposition transfrontalière et l’Europe se bat contre les problèmes de contrôle du cloud. Les dirigeants devraient adapter les architectures de conformité aux risques régionaux plutôt que d’appliquer des solutions uniformes.
La preuve du contrôle est la nouvelle référence en matière de conformité : Les régulateurs attendent désormais des preuves tangibles de souveraineté par le biais de la gestion des clés de chiffrement et de la transparence des accès. Les dirigeants doivent intégrer l’automatisation et les contrôles vérifiables directement dans leur architecture informatique.
L’IA ajoute une nouvelle couche de complexité en matière de souveraineté : Avec l’évolution des réglementations en matière d’IA, une gouvernance incohérente augmente l’exposition. Les dirigeants devraient créer des politiques de données spécifiques à l’IA pour s’assurer que les données de formation répondent aux exigences de souveraineté avant que l’application ne s’intensifie.

Alexander Procter

mars 4, 2026

12 Min

Marketing et croissance digitale
Ce que chaque marketeur doit anticiper en 2026
Mar 17, 2026

11 min
Marketing et croissance digitale
Le vibe marketing change la donne pour les équipes marketing
Mar 17, 2026

11 min
Marketing et croissance digitale
Pourquoi il est temps d’unir CreativeOps et MOps
Mar 17, 2026

18 min

Pourquoi les entreprises continuent d’échouer en matière de souveraineté des données malgré des budgets importants

L’écart entre la sensibilisation aux règles relatives à la souveraineté des données et leur application effective

L’investissement financier élevé dans le respect de la souveraineté n’a pas empêché les risques opérationnels.

Les dynamiques régionales révèlent des défis distincts en matière de conformité

La souveraineté effective des données exige désormais une mise en œuvre technique et une preuve de conformité.

La gouvernance de l’IA apparaît comme un aspect essentiel de la souveraineté des données

Principaux enseignements pour les décideurs

Ce que chaque marketeur doit anticiper en 2026

Le vibe marketing change la donne pour les équipes marketing

Pourquoi il est temps d’unir CreativeOps et MOps

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !