Le Cloud computing est-il compatible avec le RGPD?

Le cloud computing désigne l’action de stocker et d’accéder à des données directement par internet

Le Cloud computing désigne l’action de stocker et d’accéder à des données directement par internet, grâce à un service tiers en ligne, plutôt que par un disque dur local. Les fournisseurs de cloud sont nombreux, et nous les utilisons quotidiennement: Dropbox, Onedrive, Google Drive....

Or, le Règlement Général de Protection des Données personnelles (RGPD) nous impose, depuis le 1er juin 2019, de nouvelles exigences en termes de sécurité et de confidentialité des données personnelles.

Texte Odoo et bloc d'image

Ces exigences sont elles compatibles avec l'utilisation d'un cloud?


Lorsque nous stockons nos données personnelles sur un cloud, nous "confions" ces données au fournisseur de cloud, qui agit donc en qualité de sous-traitant de données personnelles, au sens de l'article 28 du RGPD.

Cette activité de sous-traitance est autorisée par le RGPD mais elle est fortement encadrée. Cela signifie que le sous-traitant doit présenter des garanties suffisantes en termes de sécurité et de confidentialité lorsqu'il traite nos données personnelles. Ces garanties sont formalisées dans des clauses spécifiques de sous-traitance signées entre le sous-traitant (fournisseur du cloud) et le responsable de traitement (l'utilisateur du service, le client).

Parmi ces garanties, le sous-traitant, fournisseur de service cloud, doit indiquer si les données personnelles font l'objet d'un transfert de sa part vers un pays situé hors UE. Or, les principaux fournisseurs de cloud stockent au même moment, des données sur différents serveurs, pouvant être répartis dans plusieurs pays. Ces sous-traitants doivent donc être en mesure de communiquer au responsable de traitement l'endroit où sont situées ces données et si elles se situent dans un pays hors UE. Dans ce dernier cas, le sous-traitant doit pouvoir justifier de la mise en place de garanties au moins équivalentes à celles du RGPD ce qui peut s'avérer complexe en fonction du pays de destination (voir le site de la CNIL à ce sujet).


Odoo image et bloc de texte

Pour simplifier, il faut imaginer que les obligations du RGPD forment une bulle de protection autour de la donnée personnelle. Durant tout son parcours, depuis notre ordinateur, jusqu'au serveur où elle est stockée, en passant par différents intermédiaires (sous-traitants), cette bulle de protection ne doit jamais cesser d'entourer notre donnée personnelle.

Il convient de nous en assurer à toutes les étapes!


Pour conclure si vous souhaitez utiliser un service de cloud computing, privilégiez un fournisseur soumis à la réglementation européenne, donc un fournisseur situé sur le territoire de l'UE et dont les data-centers sont également situés sur le territoire de l'UE.


Pour aller plus loin nous vous invitons à consulter les recommandations émises par la CNIL pour les entreprises qui souhaitent recourir au Cloud computing

Besoin de vous mettre en conformité avec le RGPD ?

Notre service juridique peut vous accompagner !