Quels sont les impacts du RGPD ?

Introduction

Thumbnail

Le Règlement général sur la protection des données (RGPD) est le cadre juridique du traitement de données à caractère personnel en Europe, à compter du 25 mai 2018. Contrairement à la directive 95/46/CE, qui régissait jusqu’alors ces traitements, le RGPD est d’application directe dans l’Union et ne nécessite pas de transpositions nationales. À ce titre, il va favoriser l’harmonisation des régimes juridiques en matière de protection des données à caractère personnel en Europe. Mieux encore, le RGPD dispose d’un principe d’extraterritorialité qui permet, dans certaines circonstances, d’étendre son périmètre d’application en dehors des frontières européennes.

Si vous êtes une structure traitant des données à caractère personnel, il y a de fortes chances pour que vous soyez assujetti aux dispositions du RGPD. À cet égard, vous êtes soumis à des obligations auxquelles il faut vous conformer. Il en est de même pour OVH qui, au regard de sa situation, disposera d’obligations distinctes : en sa qualité de sous-traitant ou de responsable de traitement.

Définitions

Comprendre les enjeux réels et précis d’un règlement européen n’est pas toujours chose aisée, surtout lorsqu’il comporte 99 articles, 173 considérants et de nombreuses lignes directives servant à préciser son interprétation. C’est pourtant essentiel afin d’éviter tout risque pouvant résulter d’une interprétation trop large ou imprécise des obligations réglementaires incombant à votre structure. La bonne compréhension des quelques termes définis ci-dessous est donc essentielle :

  • données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement.
  • traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel (collecte, enregistrement, transmission, stockage, conservation, extraction, consultation, utilisation, interconnexion, etc.).
  • responsable du traitement : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.
  • sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

OVH en qualité de sous-traitant

Thumbnail

C’est certainement en cette qualité que vos attentes envers OVH sont les plus importantes. OVH est qualifié de « sous-traitant » lorsqu’il traite des données à caractère personnel pour le compte d’un responsable de traitement.

C’est typiquement le cas lorsque vous utilisez les services d’OVH et stockez des données à caractère personnel sur une infrastructure OVH. Dans la limite de ses contraintes techniques, OVH ne pourra traiter les données stockées que selon vos instructions, et ce pour votre compte.

Les engagements d’OVH en qualité de sous-traitant

En qualité de sous-traitant, OVH s’engage notamment à mettre en œuvre les actions suivantes :

  • traiter les données à caractère personnel aux seules fins de la bonne exécution des services : OVH ne traitera jamais vos informations à d’autres fins (marketing, etc.).
  • ne pas transférer vos données hors UE ou hors pays reconnus par la Commission européenne comme disposant d’un niveau de protection suffisant : sous réserve que vous ne sélectionniez pas un datacenter dans une zone géographique hors UE.
  • vous informer de tout recours à des sous-traitants qui pourraient traiter vos données à caractère personnel : à ce jour, aucune prestation impliquant un accès aux contenus stockés par vos soins dans le cadre des services n’est sous-traitée en dehors du groupe OVH.
  • à mettre en œuvre des standards de sécurité élevés afin de fournir un haut niveau de sécurisation à nos services.
  • vous notifier dans les meilleurs délais en cas de violation de données.
  • vous assister à respecter vos obligations réglementaires en vous fournissant une documentation adéquate de nos services.

Ces engagements sont concrètement retranscrits au travers des Conditions générales de service (CGS) d’OVH. À ce titre, et sauf conditions particulières, elles sont opposables par tout client à OVH en sa qualité de sous-traitant.

Les initiatives d’OVH à travers l’Europe

Afin de renforcer ses engagements, OVH fut l’une des sociétés à l’initiative de la création de l’association CISPE (Cloud Infrastructure Services Providers in Europe). Celle-ci a notamment rédigé un projet de code de conduite, dont l’objectif est de favoriser la bonne application du RGPD par les fournisseurs d’Infrastructure as a Service (IaaS). De par sa participation active à cette initiative, OVH démontre sa volonté d’harmoniser, avec un haut niveau d’exigence, les règles de protection des données à caractère personnel à travers l’Europe.

Thumbnail

L’offre Private Cloud (IaaS) d’OVH est le premier des services OVH à être déclaré conforme au code de conduite CISPE.

FAQ : OVH en qualité de sous-traitant

Qui est propriétaire des données à caractère personnel utilisées et stockées par le client dans le cadre des services ?

Les données hébergées par le client dans le cadre des services d’OVH restent la propriété du client.

OVH n’y accède et ne les utilise que lorsque cela est nécessaire dans le cadre de l’exécution des services et dans la limite de ses contraintes techniques.

OVH s’interdit toute revente desdites données, de même que toute utilisation à des fins personnelles (telles des activités de datamining, de profilage ou de marketing direct).

Dans quels cas OVH peut-il être amené à accéder aux données stockées et utilisées par le client dans le cadre des services ?

OVH accède aux données uniquement dans deux situations :

  • pour les besoins de l’exécution des services et notamment afin d’optimiser l’assistance aux clients lorsque ceux-ci contactent le support OVH. Dans cette hypothèse, les accès aux données des clients restent encadrés grâce à des habilitations spécifiques et des mesures de contrôle et de sécurité particulières;
  • afin de répondre aux obligations légales dans le cadre des demandes judiciaires et/ou administratives. Ces demandes sont très strictement encadrées.

Accès dans le cadre du support :
Lorsque le client prend contact avec le support OVH, selon l’objet de l’assistance, deux catégories de données peuvent faire l’objet d’un accès. D’une part, afin de traiter au mieux la requête du client, le support prend connaissance des informations fournies par ce dernier lors de la création de son compte OVH (nom, prénom, numéro de téléphone, adresse e-mail, etc.).
D’autre part et uniquement à la demande expresse du client, et sous réserve des contraintes techniques propres à chaque service, le support peut avoir accès aux données stockées par celui-ci sur les services OVH, afin d’identifier l’origine du problème rencontré et, éventuellement, de le résoudre.

Accès dans le cadre d’une demande des autorités judiciaires et/ou administratives :
Afin d’agir en conformité avec la réglementation en vigueur, OVH est tenu de répondre aux demandes des autorités judiciaires et/ou administratives. Les demandes d’accès étant soumises à un régime légal strict, OVH ne les autorise qu’après s’être assuré de la validité et du bien-fondé de la requête. De plus, dès lors que la requête ou la loi ne l’interdit pas, OVH s’engage à prévenir dans les meilleurs délais le client d’une telle demande. Pour les requêtes qui émaneraient d’un pays tiers, celles-ci ne sont traitées qu'à la condition qu'elles soient fondées sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union ou un État membre.

Les données des clients européens d’OVH sont-elles transférées en dehors de l’Union européenne ?

Il convient de distinguer deux situations distinctes en la matière. Celles-ci peuvent notamment dépendre des choix réalisés par le client en matière de sélection de l’emplacement des datacenters dans lesquels seront stockées ses données :

Lorsque le client choisit un service dans le cadre duquel sont utilisés un ou plusieurs centres de données en Union européenne :
Dans ce cas, les données du client ne seront jamais transférées en dehors :

  • de pays membres de l'Union européenne
  • de pays reconnus par la Commission européenne comme disposant d’un niveau de protection suffisant des données à caractère personnel au regard de la protection de la vie privée, des libertés et des droits fondamentaux des personnes. La liste de ces pays peut être retrouvée à tout instant sur le site de la Commission européenne.

Suite à l’invalidation du Safe Harbor, et bien que la Commission européenne considère que les organismes américains adhérents au Privacy Shield disposent d’un niveau de protection suffisant, OVH ne transfère jamais les données des clients, dont la zone géographique sélectionnée est située en UE, à destination des États-Unis d’Amérique.

Les transferts de données vers des pays reconnus par la Commission européenne comme disposant d’un niveau de protection suffisant peuvent intervenir dans le cadre d’une intervention du support OVH. Quand les centres de données OVH sont situés dans l’Union européenne, les équipes support OVH pouvant intervenir sont localisées au sein de l’Union européenne ainsi qu’au Canada, étant précisé que le Canada est reconnu par la Commission européenne comme pays présentant un niveau de protection des données à caractère personnel adéquat. OVH se réserve également le droit de confier des prestations de support pouvant impliquer un accès à distance aux données stockées par le client, dans le cadre des services, à d’autres entités du groupe OVH situées dans des pays également reconnus par la Commission européenne comme disposant d’un niveau de protection suffisant (à l’exclusion des USA).

Grâce aux garanties offertes par OVH en matière de transfert de données, le client peut respecter ses obligations réglementaires. L’article 45 du RGPD, déterminant les cas de « transferts fondés sur une décision d'adéquation », stipule en effet qu’un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique.

Lorsque le client choisit un service dans le cadre duquel est utilisé un centre de données situé en dehors de l’Union européenne :
Dans ce cas, il semble évident que des données soient transférées en dehors de l’Union européenne. La localisation ou zone géographique du ou des centres de données, utilisés dans le cadre du service, est communiquée sur le site internet d’OVH. Lorsque plusieurs localisations sont disponibles, le client sélectionne celle de son choix. OVH s’interdit de modifier, sans l’accord du client et sous réserve de conditions spécifiques propres à certains services, la localisation ou zone géographique convenue à la commande.

Afin d’accompagner les structures souhaitant traiter des données à caractère personnel en ayant recours à des centres de données situés hors Union européenne dans un pays n’assurant pas un niveau de protection adéquat des données à caractère personnel, OVH peut sur demande expresse, discuter de la mise en place de garanties permettant un tel transfert tel que prévu à l’article 46 du RGPD « Transferts moyennant des garanties appropriées ».

OVH en qualité de responsable de traitement

Thumbnail

OVH est qualifié de « responsable de traitement » lorsqu’il détermine les finalités et les moyens de « ses » traitements de données à caractère personnel.

C’est typiquement le cas quand OVH collecte des données à des fins de facturation, de gestion des recouvrements, de l’amélioration de la qualité des services et de la performance, de démarchage commercial, de gestion commerciale, etc. Mais aussi lorsqu’OVH traite les données à caractère personnel de ses propres salariés.

Dans cette hypothèse, « vos » données, celles que vous stockez sur les services d’OVH, ne sont pas concernées. En revanche, certaines informations vous concernant ou étant relatives à vos salariés (identité et coordonnées de l’interlocuteur OVH dans le cadre d’une demande d’assistance technique, par exemple) peuvent l’être. C’est pourquoi OVH tient à vous donner des éléments de compréhension sur les garanties mises en œuvre afin d’assurer la protection de ces données à caractère personnel.

  • limiter la collecte de données à celles strictement utiles : c’est dans le cadre de cette démarche que lors de la commande d’un service, vous ne renseignez que des données nécessaires pour qu’OVH puisse assurer des services de facturation, de support ou encore respecter ses propres obligations légales en matière de conservation de données(notamment sur le fondement de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ).
  • ne pas utiliser les données collectées à d’autres fins que celles pour lesquelles elles furent collectées.
  • conserver les données à caractère personnel durant une période limitée et proportionnée. C’est ainsi qu’à titre d’exemple, les données traitées à des fins de gestion de la relation entre le client et OVH (nom, prénom, adresse postale, e-mail, etc.) sont conservées par l’entreprise pendant toute la durée du contrat et les trente-six (36) mois suivants. Au terme de ce délai, elles sont supprimées sur tous supports et sauvegardes.
  • ne pas transférer ces données à des tiers autres que les sociétés apparentées d’OVH qui interviennent dans le cadre de l’exécution du contrat. Dans le cadre de ces transferts intra-Groupe, certaines données peuvent être transférées en dehors de l’Union Européenne sur le fondement des règles d’entreprise contraignantes mises en œuvre par le Groupe OVH.
  • mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de sécurité.