RGPD et Cloud Google

Résumé du RGPD sur le site web officiel de l'Union Européenne

Tout le reste n'est que croyance, désinformation et conjectures...

C'est quoi le RGPD ?

Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur le 25 mai 2018. C'est un texte de référence européen en matière de protection des données personnelles pour les résidents de l'UE. C'est un CADRE basé sur du bon sens paysan (et non une solution technique) qui va définir ce qui est attendu aux niveaux humain, organisationnel, technique, légal, etc..

Le RGPD s'applique ainsi quand :

Une organisation (entreprise, association, sous-traitant, etc...) traite de données personnelles. Une donnée personnelle est constituée de toute information se rapportant à une personne physique identifiée ou identifiable (nom, prénom, identification sécu, localisation, etc...). Tout le monde est donc concerné.
Un résident de l'UE est visé par un traitement de données personnelles. Les GAFAMs et toutes les solutions cloud sont donc concernés car ils traitent des données de resortissants de l'UE.

Principe du RGPD

L'organisation doit prendre toutes les MESURES afin de protéger les données qu'elle gère et doit DEMONTRER qu'elles sont respectées.

Mais attention, chacun son job !

Prenons Google comme exemple. Google est ainsi conforme RGPD vis à vis de SES propres clients et des données récoltées à ce titre dans le cadre de son fonctionnement interne.

Chaque entreprise est par contre responsable à son niveau des données qu'elle collecte et traite dans le cadre de son activité.

Si vous collectez par exemple des données sensibles (données raciales, religieuses ou autres,...) alors que vous n'y êtes pas autorisés dans le cadre de votre activité, Google ne sera pas déclarée responsable, même si vous stockez ces données chez Google : conteneur vs. contenu !

Et n'oublions pas de relativiser...

Chaque organisation doit se poser les bonnes questions la concernant. Les sous-traitants doivent ainsi aussi respecter le RGPD dans le cadre du service fourni à leurs clients, eux-mêmes soumis au RGPD.

Mais une TPE, PME ou association n'aura pas les mêmes contraintes qu'un site de rencontre grand public, un hypermarché faisant des coupons de réduction, un site e-Commerce, ni qu'un organisme public ou de santé traitant des données particulièrement sensibles...

Les 5 Grands Principes du RGPD à respecter

⇩ POINTS FONCTIONNELS liés à l'organisaton de l'entreprise

Adhésion au service

Informer les personnes et obtenir leur consentement avant de faire.

Plus question de lancer des campagnes de promotion intrusives sans que la personne ne se soit au moins abonnée au préalable à votre newsletter par exemple. Idem pour de la prospection téléphonique ou le recueil de données via un formulaire...

2. Accès aux données

Autoriser un droit d'accès et de modification aux données, un droit à l'oubli (suppression de compte) mais aussi de sortie/export des données, ce que l'on appelle la "portabilité" des données.

Pouvoir sortir des réseaux sociaux par exemple en supprimant son compte mais aussi récupérer vos données d'éditeurs de logiciels peu scrupuleux qui emprisonnent vos propres données dans leurs solutions, ça vous parle ?

3. Gouvernance

C'est la réponse au "qui quoi où comment pourquoi" on gère ces données, à laquelle s'ajoute "combien de temps" on les garde.

PERTINENCE et DUREE de conservation des données sont 2 sources de non-conformité.

⇩ POINTS TECHNIQUES liés au système d'information

4. Sécurité

Assurer la sécurité physique et logique des données (chiffrement, réseau, stockage, sauvegarde, etc...). Savoir détecter si l'intégrité est mise en cause et dans ce cas, en rendre compte aux autorités compétentes. Lancer des études d'impact préventives est recommandé.

5. Protection par défaut

La protection des données doit être prise en compte dès la conception du service et, de façon plus large, au sein du système d'information et des processus fonctionnels.

Vous avez dit DPO ?

Le Délégué à la Protection des Données est le garant et le chef d'orchestre de ces points. Il est aussi le point de contact des autorités de contrôle.

Les réponses à ces 5 points sont à rédiger dans le registre des traitements de données

Pourquoi les Solutions Cloud facilitent la Conformité RGPD

Il suffit maintenant d'appliquer un zeste de BSP (Bon Sens Paysan).

Utiliser une solution cloud compatible RGPD assure déjà à l'organisation cliente que le sous-traitant, prestataire de service, est conforme RGPD dans sa propre activité. Cela assure également que le "conteneur des données générique" proposé par le prestataire (la solution proposée vierge de données) l'est aussi.

Utiliser ainsi une solution cloud compatible RGPD assure par conséquent que le "CONTENU généré par l'organisation cliente" et qui sera stocké dans le "CONTENEUR générique du prestataire", est conforme par définition aux points 4 et 5 précédents car c'est bien le prestataire qui a en charge les points techniques : l'organisation cliente achète justement l'usage de ce service prédéfini, géré techniquement pour elle par le prestataire. Vous me suivez ?

Utiliser une solution cloud conforme RGPD permet ainsi à l'organisation cliente de se consacrer principalement aux points fonctionnels 1, 2 et 3. Mais attention, contrôler et préciser les besoins spécifiques du Client dans le cadre des points 4 et 5 reste IMPERATIF.

Remarques importantes

La conclusion précédente n'est pas un dogme mais sert de fil rouge à la réflexion qui doit toujours se tenir. Google est ainsi bien compatible RGPD mais la sauvegarde des données dans le temps du "contenu" relève de la responsabilité de l'organisation cliente. Notre partenaire JeGereMon.Biz met ainsi en place dans le cadre de l'abonnement à son propre package applicatif une sauvegarde automatique quotidienne des données Google Workspace de ses clients, sur un cloud différent de celui de Google par souci de sécurité et ce, avec une rétention des données dans le temps infinie. La boucle est bouclée...

Le RGPD n'impose PAS de stocker les données à caractère personnel dans l'UE ! À l'instar de la Directive 95/46/CE sur la protection des données, le RGPD définit des conditions concernant le transfert des données à caractère personnel en dehors de l'Union Européenne. Pour les respecter, il est possible de mettre en place des mécanismes tels que des clauses contractuelles types, ce qu'a fait Google. Notre partenaire JeGereMon.Biz a ainsi accepté, au nom et pour chacun de ses clients ces nouvelles clauses contractuelles types afin d'assurer la chaîne de conformité RGPD.

Suite au Brexit, la Commission Européenne constatant que le Royaume-Uni assure un niveau de protection substantiellement équivalent à celui de l’Union Européenne, les transferts de données personnelles depuis l'UE vers le Royaume-Uni peuvent s’effectuer sans encadrement spécifique.

Articulation RGPD / CGV

Les CGV doivent maintenant inclure une clause spécifique sur la gestion des données personnelles, précisant l'existence de ces données et le consentement de l'utilisateur. Cette clause doit détailler :

Qui est responsable du traitement des données
Pourquoi les données sont collectées
Comment les données sont utilisées et qui y a accès
Combien de temps les données sont conservées
Quels sont les droits des utilisateurs sur leurs données
L'utilisation des cookies et le consentement
Comment les données sont sécurisées
Comment porter réclamation auprès de l'entreprise et/ou de la CNIL

Ces informations peuvent aussi être regroupées dans un document distinct auquel on peut avoir accès à partir des CGVs.

CNIL : Par où commencer

CNIL : Guide Pratique RGPD

Google Cloud et le RGPD