MA · Souveraineté des Données · 2026
Module MA — Souveraineté Numérique
La donnée
comme actif
souverain.
Classification · Localisation · Cycle de vie · Data Act
Droit fondamental n°5 — ORBii Framework

"Protéger ses données sans ingérence externe : localisation physique maîtrisée, accès tiers contrôlés, droit d'audit effectif, portabilité réelle."

Ce que couvre ce module

Cartographie des données critiques, classification opérationnelle, localisation et résidence, Data Act & portabilité, audit des flux transfrontaliers.

Réglementation couverte

RGPD Art. 44-49, Data Act 2025, BCBS 239, DORA Art. 28, Cloud Act vs RGPD, Schrems II, DSP3.

Public cible

CDO, DPO, CISO, Data Owners, juristes IT, équipes conformité, architectes data.

Durée recommandée

½ journée (3h30) — 2 séquences théoriques + 1 atelier cartographie.

ORBii.Academy — Souveraineté Numérique & IAMA · P.01
MA · Souveraineté des Données
Droit 5 — Protéger ses données

Classification opérationnelle des données.

Tout régime de souveraineté commence par savoir quelles données méritent quelle protection. La classification doit être actionnable, pas académique.

🌐 Public Données librement accessibles, sans impact si diffusées. Site web, communiqués, données réglementaires publiées. Aucune contrainte de localisation. Libre
🏢 Interne Usage interne uniquement. Données opérationnelles, reporting, communications internes. Cloud UE acceptable avec chiffrement en transit et au repos. Cloud UE
🔒 Confidentiel Données clients (RGPD), données financières sensibles, secrets industriels. Résidence UE obligatoire. Accès fournisseurs tiers soumis à DPA renforcé. Résidence UE
🛡️ Critique Données DORA-critiques, clés de chiffrement, données de gouvernance des modèles IA, données réglementaires BCBS 239 de niveau 1. On-premise ou cloud souverain certifié. On-premise / Souverain

Les 5 questions de localisation

Q1 — Où sont stockées vos données ?

Datacenter physique, pays, juridiction applicable. Un contrat qui dit "UE" ne garantit pas l'absence de transfert de métadonnées.

Q2 — Qui peut y accéder sans vous en informer ?

Clauses d'accès gouvernemental (Cloud Act US, CLOUD Act UK). Audit trail des accès fournisseur obligatoire (DORA Art. 28.3.e).

Q3 — Vos données d'entraînement IA quittent-elles l'UE ?

Fine-tuning et RAG via API externe = transfert potentiel. EU AI Act impose traçabilité des données d'entraînement pour systèmes à haut risque.

Q4 — Pouvez-vous récupérer vos données intégralement ?

Data Act Art. 23-35 : droit à la portabilité des données générées par services numériques. Délai de 30 jours, format interopérable, sans frais excessifs.

Q5 — Que devient la donnée après résiliation ?

Clause de destruction certifiée (RGPD Art. 28.3.g). Conservation technique résiduelle chez le fournisseur = risque réglementaire et concurrentiel.

⚠ Signal d'alerte majeur

Tout contrat cloud qui ne répond pas à ces 5 questions expose l'organisation à une infraction RGPD latente et à un risque DORA sur la continuité d'activité.

ORBii.Academy — Souveraineté Numérique & IAMA · P.02
Contenu protégé

Vous avez consulté l'aperçu de ce module (2 premières pages).
Pour accéder au contenu complet, entrez votre code d'accès ou demandez un accès.

12 pages restantes Lien personnel · Valide 24h