RGPD - Les questions que vous vous posez

Notre expert répond à vos questions

 

Le Règlement général sur la protection des données (RGPD ou GDPR en anglais) qui entrera en vigueur le 25 mai 2018, aura des implications majeures sur les systèmes d'information de toutes les entreprises. En effet, ce règlement impose une tâche délicate à de nombreuses entreprises devant se mettre en conformité avec les exigences de l'Union européenne en matière de protection des données.

Florent Gastaud, Data Protection Officer chez OVH, répond aux questions les plus fréquemment posées concernant l’impact de ce nouveau règlement sur les entreprises et la manière dont celles-ci doivent s’y conformer.

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD) est un règlement européen adopté le 27 avril 2016 par le Parlement et le Conseil de l’Union européenne. Ses dispositions sont directement applicables au sein de l’ensemble des États membres de l’Union européenne. Bien qu’étant entrée en vigueur en 2016, son entrée en application ne sera effective qu’à compter du 25 mai 2018. Un délai de deux années a ainsi été fourni aux entités publiques et privées pour se conformer aux dispositions de ce texte.

Le RGPD vise à protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel. Il comporte des droits et obligations applicables à l’ensemble des acteurs manipulant ce type de données.

Le RGPD concerne l’ensemble des entités publiques et des entreprises de toutes tailles, dès lors qu’elles traitent des données personnelles.

Que signifie RGPD ?

RGPD signifie littéralement Règlement général sur la protection des données.

La notion de RGPD fait directement référence au règlement n°2016/679 du Parlement et du Conseil de l’Union européenne du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

Que constitue une violation de données personnelles ?

La notion de violation de données personnelles fait immédiatement penser à la fuite de données personnelles au bénéfice de tiers non autorisés (comme le piratage de données par un individu mal intentionné). C’est le cas, mais la définition de cette notion est en réalité plus large. Le G29 (organe européen regroupant les différentes autorités de protection des données à caractère personnel européennes) définit la notion de violation de données personnelles comme étant le fait de:

 

  • Perdre la disponibilité des données à caractère personnel;
  • Porter atteinte à l’intégrité des données personnelles;
  • Porter atteinte à la confidentialité des données personnelles.

 

Une violation de données peut donc non seulement être constituée par une fuite de données, mais également par la perte définitive de données.

Le RGPD impose de nouvelles obligations aux responsables de traitement et aux sous-traitants en matière de notifications de violations de données.

 

Quelles sont les lois qui régissent la protection des données à caractère personnel ?

Il existe plusieurs textes régissant la protection des données à caractère personnel, de portée générale ou plus précise:

 

  • Sur le plan international: la convention n°108, pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, est un traité contraignant ouvert à tous les pays
  • Sur le plan européen: le règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (RGPD), ainsi que la directive 2016/680 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales.
  • Sur le plan national: de très nombreux pays ont adopté des réglementations nationales relatives à la protection des données à caractère personnel. C’est par exemple le cas de l’ensemble des pays membres de l’Union européenne.
Comment les données à caractère personnel sont-elles définies selon le RGPD ?

La notion de donnée à caractère personnel est définie à l’article 4 du RGPD comme étant « (…)toute information se rapportant à une personne physique identifiée ou identifiable (…) directement ou indirectement (…)».

Autrement dit, une donnée à caractère personnel est une donnée ou un ensemble de données qui permettent d’identifier un individu, par tous les moyens.

Une donnée est indirectement identifiante, lorsque sa simple lecture ne permet pas a priori d’identifier un individu, mais dont des recherches complémentaires peuvent le permettre. C’est typiquement le cas d’une adresse e-mail par exemple.

Que sont les données à caractère personnel sensibles ?

La notion de « données sensibles » renvoie aux « catégories particulières de traitement de données à caractère personnel » du Règlement général sur la protection des données. Ces données sont régies par des règles particulières, puisque leur traitement est par principe interdit.

Ces données concernent notamment :

  • La santé ou la vie sexuelle d’un individu ;
  • L’origine raciale ou ethnique d’un individu ;
  • Les opinions politiques, l’appartenance syndicale, les convictions religieuses ou philosophiques d’un individu.

Des exceptions permettent le traitement de ces données.

 

Recourir aux services d’OVH me permet-il de respecter les obligations du RGPD ?

Oui, dans une certaine mesure. L’une des obligations d’un responsable de traitement est la sélection des sous-traitants présentant l’ensemble des garanties suffisantes pour que les données personnelles soient traitées conformément à la réglementation.
Autrement dit, les garanties offertes par OVH en sa qualité de sous-traitant vous permettent de respecter une partie de vos propres obligations. Parmi ces garanties, on retrouve notamment les mesures de sécurité mises en œuvre par nos soins, les engagements pris en matière de localisation du traitement de vos données, etc.

Les obligations d’un responsable de traitement ne se limitent cependant pas à la sélection d’un prestataire conforme. Elles vont bien au-delà du périmètre d’intervention d’OVH en tant que sous-traitant IT. En votre qualité de responsable de traitement, vous ne pouvez donc prétendre à une entière conformité au RGPD en vous limitant à la sélection d’un sous-traitant. Vous devez également respecter les obligations qui vous incombent : le respect du droit des personnes ou la réalisation d’analyses d’impact sur la vie privée, par exemple.

Quels sont les engagements d’OVH en sa qualité de prestataire de services cloud ?

En tant que prestataire de services cloud, OVH se place dans une position de sous-traitant. À cet effet, OVH prend notamment les engagements suivants :

  1. Ne pas réutiliser les données hébergées sur nos services : OVH s’engage à traiter les données à caractère personnel du client aux seules fins de la bonne exécution de ses services et selon ses seules instructions.
  2. Permettre la réversibilité de vos données : chez OVH, 100 % de nos solutions cloud sont basées sur des standards, dont un certain nombre de technologies open source. Vous pouvez donc récupérer vos données facilement : la réversibilité et l’interopérabilité sont possibles.
  3. Vous indiquer précisément où sont stockées et traitées vos données.
  4. Vous garantir une totale transparence en matière de recours à des sous-traitants.
  5. Vous notifier en cas de violation de vos données.
  6. Produire une documentation complète de nos différents services : OVH s’engage à vous communiquer toute documentation adéquate, comme la description des mesures de sécurité mises en œuvre sur vos services, une attestation de localisation du stockage de vos données, etc.
  7. Vous garantir contractuellement nos engagements : les engagements d’OVH ne sont pas de belles promesses. Ils sont intégrés contractuellement à notre Data Processing Agreement (DPA). Ce document prend la forme d’une annexe à nos contrats. Il est disponible sur simple demande pour tous nos clients.
Quels sont les engagements d’OVH en matière de localisation des données ?

Lorsque vous sélectionnez un service permettant de stocker du contenu, en particulier des données à caractère personnel, la localisation ou la zone géographique du ou des centres de données disponibles sont précisées sur le site web d’OVH. Lorsque plusieurs localisations ou zones géographiques sont disponibles, vous pouvez sélectionner celle de votre choix au moment de la commande.

Le « stockage des données » n’est cependant pas synonyme de « traitement des données ». Le RGPD fixe en effet des règles applicables en matière de « traitement » et non de simple « stockage ». Il convient donc d’être particulièrement attentif lors de l’utilisation de ces deux termes.

Lorsque vous sélectionnez une zone de stockage située dans l’Union européenne, OVH vous garantit qu’il ne traite pas vos informations en dehors de l’Union européenne ou de tout pays reconnu par la Commission européenne comme disposant d’un niveau de protection des données à caractère personnel suffisant (au regard de la protection de la vie privée, des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants [décision d’adéquation]). De plus, nous nous engageons à ne jamais traiter vos données aux États-Unis.

OVH peut-il réutiliser mes données ?

OVH s’engage à traiter les données à caractère personnel du client aux seules fins de la bonne exécution des services et selon ses seules instructions.

Les données hébergées par le client dans le cadre de nos services restent la propriété du client.

Nous nous interdisons toute revente desdites données, de même que toute utilisation à des fins commerciales (telles des activités de profilage ou de marketing direct).

Comment OVH me garantit-il le respect de ses engagements ?

Afin que les engagements d’OVH puissent vous permettre de respecter une partie de vos obligations, ces derniers doivent être stipulés au sein d’un contrat ou de tout autre acte juridique nous engageant à votre égard.

OVH vous assure cette opposabilité à double titre :

  • Les Conditions générales de service régissant l’usage de l’ensemble des services OVH comportent des clauses relatives à la protection des données à caractère personnel ;
  • Sur simple demande, OVH vous propose la signature d’un avenant spécifique à votre contrat intitulé Data Processing Agreement (DPA). Ce dernier est entièrement dédié aux garanties offertes par OVH en matière de traitement de données à caractère personnel.