OVH renforce ses engagements contractuels en matière de protection des données personnelles

Temps de lecture estimé : 4 minute(s)

Ce 25 mai 2018 marque l’entrée en application du Règlement Général sur la Protection des Données Personnelles (RGPD). À cette occasion, OVH actualise ses conditions de service en y intégrant une nouvelle annexe relative à la protection des données personnelles.

En juillet 2017, OVH S.A.S. avait déjà eu l’occasion de mettre à jour ses Conditions générales de service en anticipation de l’entrée en application du RGPD. Nous souhaitons aujourd’hui aller plus loin en proposant une annexe spécifique dédiée à ces sujets.

Cette annexe, communément appelée « Data Processing Agreement » (DPA), détaille sur 7 pages quels sont les engagements d’OVH, en sa qualité de sous-traitant, et quels doivent être les engagements de nos clients, en leurs qualités de responsable de traitement ou de sous-traitant lorsqu’ils agissent eux-mêmes sur instruction d’un responsable de traitement.

Conscients que les documents juridiques ne sont pas toujours des plus plaisants à lire, nous nous sommes efforcés de rédiger un document le plus clair, structuré et compréhensible possible. Afin d’éviter toute ambiguïté, nous avons limité au maximum les renvois vers d’autres documents (contrats, sites web, etc.). Nous avons également pris soin d’exprimer nos engagements contractuels de la manière la plus concise possible afin de ne pas noyer notre discours au milieu d’innombrables et d’interminables clauses juridiques.

En somme, nous avons souhaité créer des conditions lisibles et transparentes, au même titre que les engagements que nous prenons pour protéger et traiter vos données personnelles.

Une obligation règlementaire

Outre favoriser la transparence des pratiques d’OVH, cette nouvelle annexe vise également à remplir une obligation règlementaire. Dès lors que vous traitez des données personnelles, vous avez l’obligation d’encadrer contractuellement ce traitement avec votre sous-traitant . Ce DPA vous permet donc de respecter une partie des obligations qui vous incombent en vertu du RGPD.

L’article 28 du RGPD dispose en effet que « le traitement par un sous-traitant est régi par un contrat (…) ». Ce même article vient préciser quelles informations doivent obligatoirement figurer au sein d’un tel contrat. Ce sont notamment ces informations que vous pouvez retrouver au sein de notre nouvelle annexe.

Des engagements forts

Cette annexe représente un engagement fort qui contraint OVH vis-à vis de chacun de ses clients en matière de traitement de données personnelles. Ces engagements sont révélateurs des choix faits par OVH pour protéger les données de ses clients. Parmi les plus significatifs, peuvent notamment être cités :

  1. La non-réutilisation des données à d’autres fins que la fourniture du service ;
  2. L’information de nos clients en cas de violation de données personnelles ;
  3. Pour les services compatibles, le non-transfert des données en dehors de l’Union européenne et/ou de pays considérés comme offrant un niveau de protection adéquate par la Commission européenne ;
  4. L’obtention systématique du consentement de nos clients en cas de recours à des sous-traitants externes au groupe OVH pouvant accéder à leurs données personnelles dans le cadre de l’exécution d’un contrat ;
  5. La possibilité de procéder à la réversibilité des données hébergées chez OVH
  6. La fourniture d’une documentation la plus complète et exhaustive possible afin que chacun des clients d’OVH puisse respecter ses propres obligations règlementaires.

C’est grâce à de tels engagements que vous allez vous-même pouvoir structurer votre propre conformité règlementaire. À titre d’exemple, c’est en sachant dans quel(s) pays sont traitées les données que vous hébergez chez OVH, que vous êtes en mesure de fournir une information adéquate à l’ensemble des personnes dont vous collectez et traitez les données personnelles.

C’est également en prenant connaissance des mesures techniques et organisationnelles mises en place par OVH que vous allez pouvoir sélectionner un service adapté à vos besoins et, le cas échéant, aux besoins de vos clients, compte tenu notamment du type de données et de la nature des traitements à réaliser.

Ainsi, vous allez pouvoir vous-même créer de la confiance auprès de vos utilisateurs finaux et/ou de vos propres clients en leur offrant de la transparence sur les mesures mises en place par votre prestataire.

Des conditions applicables à l’ensemble des clients européens

L’annexe relative au traitement de données personnelles est applicable à compter du 25 mai 2018, date d’entrée en application du RGPD. Disponible sur vos espaces clients, nous vous invitons à en prendre connaissance et à la valider. Pour toute nouvelle commande ou renouvellement d’un service OVH, l’annexe relative à la protection des données personnelles est en conséquence applicable.

Le DPA illustre le choix d’OVH d’appliquer des engagements d’un haut niveau en matière de protection des données personnelles et qui soient identiques à  l’ensemble de ses client particuliers, TPME ou grands comptes.

Data Protection Officer chez OVH