Protection des données : OVH enfonce le clou(d) en faisant évoluer ses conditions générales de service

Temps de lecture estimé : 11 minute(s)

*Attention, ce contenu a été publié il y a 1 année. Il n'est peut-être plus d'actualité.*

En règle générale, on écrit pour être lu. Sauf les juristes, dont la littérature est injustement boudée du grand public, a fortiori lorsqu’il s’agit d’œuvres aussi prolixes que des conditions générales de service. L’analyse de celles-ci s’avère pourtant instructive, en particulier dans le secteur des services numériques, alors que la protection des données des entreprises comme des particuliers devient un sujet majeur. Passage en revue des principales évolutions dans les conditions générales de service d’OVH en compagnie de Gregory Gitsels, juriste à la tête du « pôle contrats » chez OVH, dont l’équipe a mené ce chantier.

Evolution de la gouvernance d'OVH

Le 20 juillet 2017, OVH fera évoluer ses conditions générales de service (CGS), lesquelles définissent les conditions de la relation établie entre OVH et ses clients, impliquant engagements réciproques et partage des responsabilités. Cette évolution vise à prendre en compte les évolutions des réglementations française et européenne, notamment en matière de droit à la consommation, de droit des obligations et de protection des données personnelles. Mais cette mise à jour est aussi l’occasion pour le leader européen du cloud de réaffirmer ses engagements, historiquement forts, vis-à-vis de la protection des données qui lui sont confiées par plus d’un million de clients à travers le monde, particuliers comme professionnels. Des engagements qui prennent toute leur valeur quand on sait qu’OVH est le seul fournisseur de cloud d’envergure mondiale dont le siège n’est pas situé sur le sol américain.

Ça va sans le dire, mais ça va mieux en le disant

À l’heure où beaucoup de plateformes tirent leur financement de l’exploitation et/ou de la revente à des tiers des données produites par les utilisateurs, après le recueil d’un consentement souvent modérément éclairé, il est apparu nécessaire de préciser noir sur blanc ce qui a toujours été la règle pour OVH : chaque client reste propriétaire des contenus (données, informations, etc.) qu’il héberge, OVH s’engageant à ne pas utiliser ces contenus autrement que pour les besoins de l’exécution des services.

« C’est sans doute une évidence pour la majorité de nos clients, explique Gregory. Néanmoins il nous est systématiquement demandé, dans le cadre de contrats avec des grands comptes, d’ajouter expressément ces mentions, ainsi que la description des mesures mises en œuvre par OVH afin d’assurer la sécurité des infrastructures accueillant les données de nos clients. » Cela a conduit OVH à préciser un certain nombre de points au sein de ses nouvelles CGS, et à décrire de façon plus explicite ses modes de fonctionnement et principes d’organisation. « En définitive, les interrogations auxquelles nous avons régulièrement répondu ces dernières années, le plus souvent par la rédaction de contrats spécifiques, profitent aujourd’hui à l’ensemble de nos clients. » Et, même si cela ne suffira pas à en faire un page-turner, l’organisation du document a été revue de fond en comble, pour s’articuler dorénavant en articles et sous-articles, ce qui en améliore la lisibilité. Un travail qui a nécessité plusieurs mois de labeur, et qui se poursuivra avec la mise à jour progressive des conditions particulières de service. Complétant les CGS et indiquant la façon dont celles-ci s’appliquent pour chacun des services d’OVH,  ces conditions particulières de service devraient être significativement allégées grâce à la refonte des CGS. Un vrai choc de simplification !

Renforcement des engagements en matière de protection des données personnelles dans le cadre du RGPD

En parallèle des rappels, éclaircissements et améliorations formelles, OVH renforce ses engagements dans le contexte du nouveau Règlement général de protection des données (RGPD ou GDPR en anglais, pour General Data Protection Regulation), lequel a été adopté en avril 2016 et entrera définitivement en vigueur le 25 mai 2018, le temps pour les entreprises qui y sont soumises de se mettre en conformité. Le RGPD constitue le nouveau texte de référence, à l’échelon européen, en matière de protection des données à caractère personnel, remplaçant un précédent texte adopté en… 1995 (soit 4 ans avant la création d’OVH !), et globalement en retard sur les usages même s’il a été plusieurs fois amendé depuis.

Le RGPD est un texte très riche, dont il serait compliqué de résumer en quelques lignes les dispositions, d’autant que celles-ci concernent un très large panel d’acteurs (associations, administrations, entreprises…). Le RGPD s’applique en effet à tout responsable de traitement de données à caractère personnel (c’est-à-dire permettant directement ou indirectement d’identifier une personne). Et ce, même si l’organisation n’est pas installée au sein de l’Union européenne, mais qu’elle fournit, même à titre gratuit, des biens ou services à des résidents européens ou qu’elle étudie leur comportement (profiling) au sein de l’UE, et ce, en vertu de l’application extraterritoriale du règlement.

Outre les dispositions dont les effets sont les plus visibles, relatives au consentement « explicite » et « positif », au profilage, au droit à l’effacement (aussi connu sous l’intitulé de droit à l’oubli), au droit à la portabilité des données personnelles, le RGPD précise les obligations auxquelles les entreprises sont tenues par rapport à la localisation des données. Sont notamment prévues une obligation de transparence vis-à-vis des clients, ainsi que l’obligation de mettre en place des mécanismes de protection en cas de transfert de données hors de l’Union européenne vers des pays ne présentant pas de garanties suffisantes en matière de protection des données à caractère personnel. Des points auxquels OVH a apporté un soin particulier au cours de la rédaction de ses nouvelles CGS, étant en pleine internationalisation de son activité, via l’implantation de nouveaux datacenters en Europe, mais également en Asie-Pacifique et en Amérique du Nord.

L’article 8.2.3. des nouvelles CGS prévoit ainsi qu’OVH s’interdit, sous réserve de dispositions spécifiques propres à certains services, de modifier la localisation ou, selon le cas, la zone géographique prévue à la commande, des infrastructures permettant au client d’héberger des données, étant précisé que le client bénéficiera systématiquement d’une information claire à propos de cette localisation et qu’il sera en mesure de choisir en cas de localisation multiple. De plus, sous réserve des dispositifs spécifiques à certains services, lorsque le client choisit un centre de donné sis sur le territoire de l’Union européenne, OVH n’autorisera pas ses équipes situées dans des pays ne présentant pas de garanties adéquates en matière de protection des données, à réaliser des prestations impliquant un accès aux contenus hébergés par ses clients sur ses infrastructures.

Concernant le cas très spécifique des États-Unis, territoire sur lequel deux datacenters sont en cours d’implantation (côte est et côte ouest), OVH a fait le choix d’une structuration juridique garantissant une étanchéité totale avec le reste du groupe, notamment via la création d’une entité indépendante, OVH US, dont les bureaux se trouvent à Reston dans l’état de Virginie. Mesure radicale, qui permet de contourner la polémique autour de l’accord Privacy Shield, lequel, remplaçant le Safe Harbor en raison de son invalidation par la justice européenne en 2015, est censé garantir la protection des données transférées aux États-Unis, mais dont la validité et la solidité font débat.

Sur bien des points, le RGPD confirme par ailleurs des pratiques déjà en vigueur chez OVH, à l’instar de la disposition qui consacre le « privacy by design » (les organisations doivent prendre en compte les exigences relatives à la protection des données personnelles dès la conception des produits). Ou de celle qui pérennise des mesures figurant déjà dans la réglementation européenne, laquelle est parmi les plus protectrices des données personnelles au niveau mondial. On retrouve ainsi dans le RGPD l’obligation de notifier l’autorité nationale en cas de fuite de données (la CNIL pour la France), ou encore celle de disposer d’un délégué à la protection des données, lequel existe chez OVH depuis 2011 en la personne du correspondant informatique et liberté (CIL).

 Le code de conduite du CISPE, corédigé par OVH, mis en application

Afin que les mesures génériques du RGPD soient déclinées et appliquées dans chaque secteur spécifique, le texte européen encourage l’élaboration de codes de conduite. Une opportunité qu’OVH a saisie, en prenant l’initiative de fédérer les fournisseurs européens de services d’infrastructures cloud au sein d’une association professionnelle, le Cloud Infrastrastructure Services Providers in Europe (CISPE), qui s’est fait connaître en septembre 2016 avec la publication d’un code de conduite relatif à la protection des données (CISPE Data Protection Code of Conduct). Ce code, déjà soutenu par plus d’une trentaine de prestataires Cloud de référence, et dont le lancement avait été effectué au Parlement Européen, est actuellement devant le G29, le groupement des « CNIL européennes », pour avis consultatif.

S’appuyant sur les recommandations de ce code de conduite, les nouvelles CGS d’OVH renforcent l’engagement d’OVH de donner de l’information sur la sécurisation de ses solutions et systèmes d’information, ainsi que celle de communiquer clairement, en particulier pour les offres certifiées ou agréées par des standards tels que PCI-DSS ou HDS, sur les périmètres de responsabilité de chacun. Ceci, conformément à la dynamique d’ « accountability » instauré par le RGDP, doit permettre aux clients d’OVH d’être correctement informés sur les caractéristiques des solutions OVH. Les utilisateurs peuvent ainsi valider que les solutions envisagées correspondent à leurs besoins et sont en mesure de les utiliser conformément à la réglementation. A ce titre, OVH poursuit la dynamique de certification et de documentation de ses solutions, dans laquelle elle est inscrite depuis 2013, date à laquelle le Private Cloud d’OVH obtenait sa première certification ISO27001.

Les nouvelles CGS d’OVH formalisent l’engagement de ne pas recourir à la sous-traitance de prestations impliquant un accès aux données stockées par l’utilisateur. Une garantie forte en matière de confidentialité des données.

Enfin, les nouvelles CGS d’OVH formalisent l’une des particularités du modèle original d’OVH, qui consiste depuis sa création à intégrer verticalement son métier de fournisseur d’infrastructure. Autrement dit, à ne pas recourir à la sous-traitance de prestations impliquant un accès aux données stockées par l’utilisateur dans le cadre de nos services. Ceci est rendu possible par la maîtrise, de bout en bout, de la chaine de valeur, de la conception des datacenters jusqu’au support des clients, en passant par l’assemblage des serveurs. Dans un univers où le facteur de risque principal est souvent l’humain, cette stratégie se révèle être un atout de taille pour assurer la confidentialité des données.


En pratique, qu’est-ce qui change pour vous ?

Les nouvelles CGS d’OVH contiennent des rappels essentiels et des engagements renforcés en matière de protection des données personnelles. Mais aussi quelques nouveautés concrètes.

  • À défaut d’avoir le choix de la localisation des données pour chacun des services proposés par OVH, le client sera systématiquement informé, à la commande, de la zone géographique au sein de laquelle ses données seront hébergées.
  • Toute modification susceptible de dégrader vos conditions de service (article 3.8) sera notifiée au client au minium 30 jours avant leur entrée en vigueur (article 3.8).
  • Un article unique regroupe désormais l’ensemble des dispositions applicables aux consommateurs – c’est-à-dire aux clients utilisant nos services dans un cadre non professionnel, telles que le droit de rétractation ou la procédure de médiation (article 12).

RGPD/GDPR : une harmonisation du droit à l’échelle européenne et une brique essentielle dans la construction d’un marché unique numérique (Digital Single Market)

En fournissant un cadre harmonisé quant à la protection des données personnelles, applicable dans chacun des états membres de l’Union européenne, le RGPD atténue fortement les disparités entre les différentes lois nationales*. Il s’agit, de ce fait, d’une brique essentielle dans la construction du marché unique numérique (Digital Single Market), dont l’objectif est de favoriser l’émergence d’acteurs européens du numérique. Des acteurs européens de taille à concurrencer les entreprises américaines ou chinoises qui dominent aujourd’hui le marché.

Pour cela, l’Europe entend éliminer les barrières réglementaires qui empêchent les 28 marchés nationaux de l’UE de n’en former qu’un seul, riche de plusieurs centaines de millions d’utilisateurs… à l’instar du marché américain, sur lequel se lancent directement les acteurs nord-américains, qui jouissent en outre d’une langue unique sur ce vaste territoire.
Il faut d’ailleurs noter que le Royaume-Uni, engagé dans le Brexit, semble tout faire pour rester intégrer au sein de ce marché unique… et de dotera probablement d’une réglementation nationale équivalente au RGPD.

* En vertu des principes de primauté du droit européen, et d’applicabilité directe des règlements européens, qui à la différence des directives ne nécessitent pas d’acte de transposition des états membres, le RGDP sera applicable directement à compter du 25 mai 2018 dans tous les états membres de l’UE, et l’emportera sur toutes les dispositions contraires des droits nationaux.

 

 

Copywriter at OVH.