Le Règlement général pour la protection des données (RGPD) qui sera applicable le 25 mai 2018 impose à toute entreprise de connaître les traitements qu’elle effectue sur les données personnelles qu’elle récolte. La question de la maîtrise des données et de leur sécurité est très importante à l’heure où le cloud computing est utilisé massivement. Le cloud computing désigne l’action de stocker et d’accéder à des données directement par internet, grâce à un service tiers en ligne, plutôt que par un disque dur local.
Le RGPD a un impact important sur tous les traitements de données personnelles effectués par les entreprises qui doivent savoir où vont les données personnelles. Ce Règlement est-il compatible avec le stockage dans le cloud ? C’est ce que nous allons décrypter.
Le cloud est une sous-traitance autorisée par le RGPD
Le RGPD traite de l’activité de sous-traitant en matière de traitement de données personnelles à son article 28. Cette activité est extrêmement encadrée et pourrait donner du fil à retordre à toutes les entreprises qui utilisent un service de cloud.
En effet, le sous-traitant doit nécessairement présenter des garanties suffisantes pour que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des individus dont les données personnelles sont traitées.
Le fait de stocker des données personnelles dans le cloud est donc une sous-traitance et doit être conforme aux dispositions du Règlement. Toute entreprise, responsable de traitement, qui passe par un cloud doit donc conclure un “acte juridique” (idéalement un contrat) avec le sous-traitant. Ce contrat doit comporter des informations précises telles que l’objet et la durée du traitement, sa nature et sa finalité.
Le sous-traitant, fournisseur du service de cloud, doit lui aussi montrer patte blanche et répondre à de nombreuses obligations en vertu du RGPD.
L’une des difficultés liées au cloud relève du lieu où sont traitées les données. Les services de cloud proposent souvent plusieurs lieux qui pourraient, dans certains cas, impacter la conformité du responsable du traitement au RGPD.
Les difficultés du cloud pour la conformité au RGPD
Dans le cadre du RGPD, tout responsable de traitement doit tenir à jour un registre des activités de traitement qu’il effectue. Une information capitale doit figurer dans ce registre : “les transferts de données à caractère personnel vers un pays tiers […] y compris l’identification de ce pays tiers“. En d’autres termes, le responsable du traitement doit être capable d’indiquer si les données personnelles traitées sont transférées vers un autre pays, et si oui, lequel.
Si le responsable du traitement fait appel à un service de cloud, il doit donc être capable de dire si les serveurs traitant les données personnelles des individus sont situés dans un autre pays, et identifier ce dernier. Cela n’est pas toujours une partie de plaisir quand on sait que des services majeurs de cloud stockent, au même moment, les mêmes données sur plusieurs serveurs différents répartis dans plusieurs pays différents.
Les entreprises doivent donc demander des informations précises aux services de cloud auxquels elles ont recours pour connaître le lieu de traitement des données personnelles et savoir si, oui ou non, elles sont transférées vers un pays tiers.
Pourquoi est-ce important ? Tout simplement parce que si des données sont transférées vers un pays tiers, il faut que le sous-traitant soit capable d’apporter la preuve que des garanties appropriées ont été mises en oeuvre.
La question du cloud computing ne doit donc pas être mise de côté par les entreprises qui effectuent des traitements de données à caractère personnel. Les problématiques soulevées sont bien réelles et font partie intégrante du RGPD. Pour vous aider à vous préparer à l’entrée en vigueur du RGPD, suivez nos quizz et pré-commandez notre dossier spécial.
