RGPD : Règlement Général pour la Protection des Données.
Elle désigne la directive européenne concernant les données personnelles publiée en 2016 et qui doit entrer en application dans les états membres le 25 mai 2018.
« La RGPD comprend notamment de nouvelles obligations relatives à la portabilité des données personnelles et à la responsabilisation des dépositaires de ces données qui impactent fortement les usages marketing qui se rapportent à ce type de données. »
Cette directive impose à toute entreprise de connaître les traitements qu’elle effectue sur les données personnelles qu’elle récolte.
Nous vous conseillons une intervention conférence très claire par un « juriste-marketer » consacrée aux principales dispositions du RGPD :
La question de la maîtrise des données et de leur sécurité est très importante à l’heure où le cloud computing est très largement utilisé aujourd’hui. Le cloud computing désigne l’action de stocker et d’accéder à des données directement par internet, grâce à un service tiers en ligne, plutôt que par un disque dur local.
Le cloud et le RGPD
L’article 28 du RGPD traite de la sous-traitance des données récoltées. Cette activité est extrêmement encadrée et pourrait donner du fil à retordre à toutes les entreprises qui utilisent un service de cloud.
Désormais, le sous-traitant doit nécessairement présenter des garanties suffisantes pour que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des individus dont les données personnelles sont récoltées.
Le fait de stocker des données personnelles sur un serveur est donc une sous-traitance et doit être conforme aux dispositions du Règlement. Toute entreprise qui passe par un cloud doit donc conclure un « acte juridique » (idéalement un contrat) avec le sous-traitant. Ce contrat doit comporter des informations précises telles que l’objet et la durée du traitement, sa nature et sa finalité.
Le sous-traitant, fournisseur du service de cloud, doit aussi faire preuve de transparence et répondre à de nombreuses obligations en vertu du RGPD.
Le principal problème lié au cloud relève du lieu où sont traitées les données. Les services de cloud proposent souvent plusieurs lieux qui pourraient, dans certains cas, impacter la conformité vis à vis du RGPD.
« Le principal problème lié au cloud relève du lieu où sont traitées les données. »
Les difficultés des entreprises du cloud de se conformer au RGPD
Dans le cadre du RGPD, tout responsable de traitement doit tenir à jour un registre des activités de traitement qu’il effectue. Une information capitale doit figurer dans ce registre : les données qui sont stockés dans un pays tiers. Le responsable du traitement doit être capable d’indiquer si les données personnelles traitées sont transférées vers un autre pays, et si oui, lequel.
Toute entreprise du cloud doit donc être capable de dire si les serveurs traitant les données personnelles des individus sont situés dans un autre pays, et identifier ce dernier. Cela n’est pas toujours une partie de plaisir quand des services de cloud stockent, au même moment, les mêmes données sur plusieurs serveurs différents répartis dans plusieurs pays différents, lors de sauvegardes par exemple.
Les entreprises doivent donc demander des informations précises aux services de cloud auxquels elles ont recours pour connaître le lieu de traitement des données personnelles et savoir si, oui ou non, elles sont transférées vers un pays tiers.
Pourquoi est-ce important ? Tout simplement parce que si des données sont transférées vers un pays tiers, il faut que le sous-traitant soit capable d’apporter la preuve que des garanties appropriées ont été mises en oeuvre.
La question du cloud computing ne doit donc pas être prise à la légère par les entreprises qui effectuent des traitements de données à caractère personnel.