Données personnelles : le RGPD et le cloud sont-ils compatibles ?

Le Règlement général pour la protection des données (RGPD) qui sera applicable le 25 mai 2018 impose à toute entreprise de connaître les traitements qu’elle effectue sur les données personnelles qu’elle récolte. La question de la maîtrise des données et de leur sécurité est très importante à l’heure où le cloud computing est utilisé massivement.

Le cloud computing désigne l’action de stocker et d’accéder à des données directement par internet, grâce à un service tiers en ligne, plutôt que par un disque dur local.

Le RGPD a un impact important sur tous les traitements de données personnelles effectués par les entreprises qui doivent savoir où vont les données personnelles. Ce Règlement est-il compatible avec le stockage dans le cloud ? C’est ce que nous allons décrypter

 

Le cloud est une sous-traitance autorisée par le RGPD

Le RGPD traite de l’activité de sous-traitant en matière de traitement de données personnelles à son article 28. Cette activité est extrêmement encadrée et pourrait donner du fil à retordre à toutes les entreprises qui utilisent un service de cloud. 

En effet, le sous-traitant doit nécessairement présenter des garanties suffisantes pour que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des individus dont les données personnelles sont traitées. 

Le fait de stocker des données personnelles dans le cloud est donc une sous-traitance et doit être conforme aux dispositions du Règlement. Toute entreprise, responsable de traitement, qui passe par un cloud doit donc conclure un « acte juridique » (idéalement un contrat) avec le sous-traitant. Ce contrat doit comporter des informations précises telles que l’objet et la durée du traitement, sa nature et sa finalité. 

Le sous-traitant, fournisseur du service de cloud, doit lui aussi montrer patte blanche et répondre à de nombreuses obligations en vertu du RGPD. 

L’une des difficultés liées au cloud relève du lieu où sont traitées les données. Les services de cloud proposent souvent plusieurs lieux qui pourraient, dans certains cas, impacter la conformité du responsable du traitement au RGPD. 

 

Les difficultés du cloud pour la conformité au RGPD

Dans le cadre du RGPD, tout responsable de traitement doit tenir à jour un registre des activités de traitement qu’il effectue. Une information capitale doit figurer dans ce registre : « les transferts de données à caractère personnel vers un pays tiers […] y compris l’identification de ce pays tiers« . En d’autres termes, le responsable du traitement doit être capable d’indiquer si les données personnelles traitées sont transférées vers un autre pays, et si oui, lequel. 

Si le responsable du traitement fait appel à un service de cloud, il doit donc être capable de dire si les serveurs traitant les données personnelles des individus sont situés dans un autre pays, et identifier ce dernier. Cela n’est pas toujours une partie de plaisir quand on sait que des services majeurs de cloud stockent, au même moment, les mêmes données sur plusieurs serveurs différents répartis dans plusieurs pays différents. 

Les entreprises doivent donc demander des informations précises aux services de cloud auxquels elles ont recours pour connaître le lieu de traitement des données personnelles et savoir si, oui ou non, elles sont transférées vers un pays tiers. 

Pourquoi est-ce important ? Tout simplement parce que si des données sont transférées vers un pays tiers, il faut que le sous-traitant soit capable d’apporter la preuve que des garanties appropriées ont été mises en oeuvre. 

 

La question du cloud computing ne doit donc pas être mise de côté par les entreprises qui effectuent des traitements de données à caractère personnel. Les problématiques soulevées sont bien réelles et font partie intégrante du RGPD. Pour vous aider à vous préparer à l’entrée en vigueur du RGPD, suivez nos quizz et pré-commandez notre dossier spécial

Pour vous aider à aborder sereinement le RGPD, accédez à nos questionnaires et à notre dossier spécial RGPD : les bons conseils pour réussir, en cliquant ici.

A propos Leo Guittet 181 Articles
Juriste spécialisé dans les données de santé à Tripalio depuis 2014, j'écris quotidiennement des articles sur le thème de la protection sociale collective et des données de santé. Actuellement en thèse CIFRE sur le sujet de l'accès aux données de santé en France, je suis intéressé par tous les sujets qui touchent aux avancées technologiques et juridiques sur ce thème.

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Lire les articles précédents :
Lille : un SDF reçoit 200€ d’amende pour mendicité dans le métro

La justice s'est montrée implacable : un SDF qui mendiait dans le métro a reçu une amende de 200€. Transpole,...

Fermer