Communiqué de presse
Nouveau rapport Kiteworks : les organisations du monde entier investissent des millions pour se conformer aux exigences de souveraineté des données
Un tiers des organisations a connu un incident lié à la souveraineté des données l’an dernier.
Kiteworks, qui aide les organisations à gérer efficacement les risques liés à l’envoi, au partage, à la réception et à l’utilisation de données privées, publie aujourd’hui son Rapport 2026 sur la sécurité des données et les risques de conformité : souveraineté des données. Cette enquête interrégionale menée auprès de professionnels de la gestion des risques, de la conformité, de l’IT et de la sécurité révèle un écart frappant en matière de souveraineté des données. Les organisations maîtrisent mieux que jamais les règles de souveraineté, mais une sur trois a tout de même connu un incident lié à la souveraineté au cours des 12 derniers mois. Le rapport s’appuie sur des témoignages recueillis au Canada, au Moyen-Orient et en Europe, et couvre la conformité avec la LPRPDE, la PDPL, le RGPD et les nouveaux cadres de gouvernance de l’IA.
Le constat le plus marquant du rapport réside dans la convergence de la sensibilisation et la persistance des incidents. Environ 44 % des répondants dans chaque région se disent « très bien informés » des exigences en matière de souveraineté des données — Canada : 44 %, Moyen-Orient : 44 %, Europe : 44 %. Pourtant, le taux d’incidents varie de 23 % au Canada à 32 % en Europe et 44 % au Moyen-Orient. Les incidents les plus fréquents sont les violations de données avec des implications en matière de souveraineté (17 %), les défaillances de conformité de tiers (17 %), les enquêtes réglementaires (15 %), les transferts transfrontaliers non autorisés (12 %) et les demandes d’accès aux données par les autorités (10 %).
« Les organisations de toutes les régions interrogées investissent des millions dans la conformité souveraine, affichent un haut niveau de sensibilisation, mais continuent de subir des violations, des transferts non autorisés et des demandes d’accès gouvernementales », explique Dario Perfettibile, EMEA GM of GTM and Customer Operations chez Kiteworks. « Le problème n’est pas la connaissance. C’est l’écart entre les politiques écrites et l’architecture qui applique réellement la résidence, contrôle les accès et fournit à la demande des preuves prêtes pour l’audit. »
Principaux enseignements : l’écart de souveraineté est opérationnel, pas informationnel
Le rapport met en lumière plusieurs dynamiques régionales qui remettent en cause les idées reçues sur la maturité en matière de souveraineté. Le Moyen-Orient affiche le taux d’incidents le plus élevé (44 %) alors que 93 % des répondants affirment que les réglementations PDPL et SDAIA impactent directement leurs opérations et que deux tiers dépensent plus d’un million de dollars par an. Le Canada présente le taux d’incidents le plus faible (23 %), mais 40 % des répondants canadiens considèrent l’évolution du partage des données entre le Canada et les États-Unis comme leur principale préoccupation et 21 % identifient le CLOUD Act américain comme une menace directe pour la souveraineté.
En Europe, 44 % citent les garanties de souveraineté des fournisseurs comme principal frein à l’adoption du cloud — le taux le plus élevé de toutes les régions — malgré une conformité RGPD quasi généralisée. À noter : des environnements comme Microsoft GCC High, bien qu’ils répondent aux exigences de résidence juridictionnelle, ne garantissent pas la propriété exclusive des clés de chiffrement — le fournisseur conserve donc la capacité technique d’accéder aux données clients, ce qui remet en cause les garanties de souveraineté exigées par de nombreuses organisations.
Les changements d’infrastructure technique (59 %) et l’expertise juridique et conformité (53 %) arrivent en tête des postes les plus consommateurs de ressources, et la majorité des organisations dépensent plus d’un million de dollars par an pour la conformité souveraine. Pourtant, le rapport montre que le marché évolue de la politique vers l’architecture : l’automatisation de la conformité et le renforcement des contrôles techniques sont au cœur des stratégies à deux ans dans les trois régions.
La gouvernance de l’IA : prochain terrain de bataille de la souveraineté
Le rapport fait également ressortir un défi croissant autour de la souveraineté des données pour l’IA. Environ un tiers des répondants conservent toutes les données d’entraînement de l’IA dans leur région d’origine, un autre tiers adopte une approche mixte selon la sensibilité, et 21 % sont encore en train d’élaborer leur politique de souveraineté pour l’IA. Avec l’entrée en vigueur de l’AI Act européen et l’action de la SDAIA en Arabie saoudite, le rapport identifie ce dernier groupe comme risquant d’entrer dans les cycles d’application sans plan établi.
Le Réseau de données privé de Kiteworks répond à ces défis grâce à des fonctions conçues pour garantir la souveraineté :
Propriété exclusive des clés de chiffrement : Kiteworks conserve la garde des clés de chiffrement dans l’environnement du client, garantissant ainsi que le fournisseur ne peut techniquement pas déchiffrer le contenu — même sous contrainte légale. Pour les 10 % de répondants ayant cité les demandes d’accès gouvernementales aux données comme incident de souveraineté, cette différence architecturale transforme un problème de workflow en impossibilité cryptographique.
Déploiement flexible selon la juridiction : Les options de déploiement sur site, cloud privé, cloud hybride et FedRAMP permettent aux organisations de stocker leurs contenus sensibles exclusivement dans leur juridiction d’origine — que ce soit au Canada, au Moyen-Orient ou dans l’UE — avec une géolocalisation appliquée via des contrôles IP configurables.
Traçabilité immuable et reporting automatisé : Des journaux centralisés et immuables ainsi que des modèles préconfigurés pour le RGPD, la LPRPDE, la PDPL, DORA et NIS 2 produisent les preuves exportables identifiées dans le rapport comme l’élément clé entre conformité déclarée et contrôle effectif.
Gouvernance unifiée des échanges de données : Messagerie électronique, partage sécurisé de fichiers, MFT, SFTP et formulaires web — les canaux où se concentrent les défaillances de tiers et les incidents de transferts transfrontaliers — sont réunis sur une plateforme unique en zéro trust.
« La souveraineté se limitait autrefois à la géographie — il suffisait de garder les données dans le bon pays pour être couvert », explique Dario Perfettibile, EMEA GM of GTM and Customer Operations chez Kiteworks. « Cette époque est révolue. Les régulateurs, les clients et les équipes achats exigent désormais des preuves : qui peut accéder aux données, qui contrôle les clés, et pouvez-vous prouver la conformité à la demande. Les organisations qui intègrent ces preuves dans leur architecture prendront une longueur d’avance. Les autres continueront de connaître les règles… et de subir les incidents. »
À propos de Kiteworks
Kiteworks s'est donné une mission : aider les organisations à gérer efficacement les risques liés à l'envoi, au partage, à la réception et au stockage de données privées. Kiteworks offre à ses clients un Réseau de données privées qui assure la gouvernance, la conformité et la protection des données. La plateforme unifie, suit, contrôle et protège les échanges de données sensibles, en interne comme en externe, ce qui facilite la gestion des risques et garantit la conformité réglementaire de tous les échanges de données privées. Basé dans la Silicon Valley, Kiteworks protège plus de 100 millions d'utilisateurs finaux à travers plus de 1 500 entreprises et agences gouvernementales dans le monde.
Contact presse
Martin Brindley
PR Manager
martin.brindley@kiteworks.com