Voté par le par­le­ment euro­péen en 2016, le nou­veau règle­ment géné­ral sur la pro­tec­tion des don­nées (RGPD) devient appli­cable à comp­ter du 25 mai 2018. Ce nou­veau règle­ment est un chan­ge­ment majeur dans la légis­la­tion liée à la pro­tec­tion des don­nées per­son­nelles, et rem­place la direc­tive euro­péenne de pro­tec­tion des don­nées (Directive 95/46/EC) ain­si que les lois locales rela­tives aux don­nées per­son­nelles.

En tant qu’hébergeur / info­gé­reur, nous sommes atten­tifs aux termes de ce règle­ment. Nous nous assu­rons bien enten­du que nos ser­vices seront en confor­mi­té lors de la mise en appli­ca­tion. Comme nous l’avons déjà évo­qué, nous croyons fer­me­ment dans les valeurs de la vie pri­vée, et nous sou­te­nons toutes les ini­tia­tives visant à amé­lio­rer le res­pect de ce droit fon­da­men­tal pour l’ensemble des indi­vi­dus.

Pour que nos uti­li­sa­teurs soient infor­més de ce qu’est le RGPD, et com­ment il s’applique aux ser­vices d’alwaysdata, voi­ci la des­crip­tion de nos actions sur ce sujet.

Lexique

Le RGPD intro­duit plu­sieurs notions qu’il peut être néces­saire d’expliquer. Voici un lexique des termes ren­con­trés dans le règle­ment, nos condi­tions géné­rales d’utilisation (CGU), ain­si que dans cet article.

Donnée per­son­nelle
Définit toute don­née rela­tive à un indi­vi­du, iden­ti­fié ou non, qui le désigne spé­ci­fi­que­ment. Il peut s’agir aus­si bien de don­nées à carac­tère civil (date de nais­sance, adresse, etc.) que de don­nées tech­niques (IP, coor­don­nées GPS, etc.)
Responsable de trai­te­ments
Le res­pon­sable de trai­te­ment est la per­sonne phy­sique ou morale, ser­vice public, agence gou­ver­ne­men­tale, ou autre, qui défi­nit dans quel contexte les don­nées per­son­nelles doivent être exploi­tées. Il est celui qui défi­nit quoi faire des don­nées.
Le sous-trai­tant
Le sous-trai­tant est l’entité char­gée de trai­ter la don­née sous la gou­ver­nance du res­pon­sable de trai­te­ments.
DPD
Le délé­gué à la pro­tec­tion des don­nées est la per­sonne qui, au sein de l’entreprise, s’assure que les pro­ces­sus de trai­te­ment sont conformes aux exi­gences des lois et régle­men­ta­tions euro­péennes en vigueur. Le DPD agit en toute indé­pen­dance du reste des opé­ra­tions de la socié­té qui l’emploie.
Sous-trai­tance
Tout par­te­naire de sous-trai­tance est auto­ri­sé, dans le cadre du pro­ces­sus de trai­te­ment des don­nées à carac­tère per­son­nel, à accé­der à une par­tie des don­nées trans­mises par le res­pon­sable de trai­te­ments ou un de ses sous-trai­tants. Ces par­te­naires doivent être en confor­mi­té avec le RGPD et le client doit avoir été infor­mé des don­nées qui lui sont trans­mises et dans quel but.

Que contient le RGPD ?

Le règle­ment euro­péen sur la pro­tec­tion des don­nées (RGPD) est le nou­veau texte légis­la­tif euro­péen rem­pla­çant tout texte pré­cé­dent sur les don­nées à carac­tère per­son­nel sur tout le ter­ri­toire euro­péen. Il n’introduit pas de chan­ge­ment majeur, mais vise à har­mo­ni­ser et à ren­for­cer la pro­tec­tion des don­nées per­son­nelles des citoyens euro­péens. Il s’applique à l’ensemble du monde et à l’ensemble des struc­tures dès lors qu’elles sont situées sur le ter­ri­toire euro­péen, ou qu’un de ses sous-trai­tants est situé sur le ter­ri­toire euro­péen, ou qu’elle col­lecte et mani­pule des don­nées de citoyens euro­péens. Il entre en appli­ca­tion à comp­ter du 25 mai 2018.

Il intro­duit prin­ci­pa­le­ment les notions sui­vantes :

Protection

Tout usage de don­née à carac­tère per­son­nel est pro­hi­bé tant qu’il n’est pas expli­ci­te­ment auto­ri­sé par le pro­prié­taire de la don­née concer­née.

Limitation du périmètre de traitement

Les socié­tés, agences, ser­vices publics, et autres peuvent col­lec­ter des don­nées à carac­tère per­son­nel pour des usages pré­cis et docu­men­tés uni­que­ment. L’usage qui en est fait doit être clai­re­ment indi­qué, et tout usage futur hors du cadre spé­ci­fi­que­ment défi­ni est inter­dit.

Minimisation de la donnée collectée

Les orga­nismes col­lec­tant des don­nées à carac­tère per­son­nel doivent le faire en les limi­tant au strict mini­mum néces­saire. Cela signi­fie notam­ment que toute col­lecte aveugle à des fins de trai­te­ment futur non encore défi­ni est stric­te­ment inter­dite.

Transparence

Le pro­ces­sus de trai­te­ment de la don­née doit être com­pré­hen­sible par n’importe quelle per­sonne concer­née. Les socié­tés pro­cé­dant à ce trai­te­ment doivent four­nir des expli­ca­tions claires et détaillées sur le type de don­nées uti­li­sées, et dans quel but.

Confidentialité

Les socié­tés doivent four­nir les preuves de leurs actions tech­niques enga­gées pour four­nir la pro­tec­tion et la confi­den­tia­li­té des don­nées à carac­tère per­son­nel de leurs clients et de leurs employés. Cela signi­fie notam­ment que les don­nées doivent être pro­té­gées contre les accès frau­du­leux, les modi­fi­ca­tions, le vol, la des­truc­tion, etc.

À qui s’applique le RGPD ?

Le RGPD s’applique à toute per­sonne morale opé­rant sur le sol euro­péen, ou trai­tant des don­nées à carac­tère per­son­nel de citoyens euro­péens.

Quel rôle s’applique à alwaysdata dans le cadre du RGPD ?

always­da­ta peut être consi­dé­ré à la fois comme un sous-trai­tant et comme un res­pon­sable de trai­te­ments. Dans le pre­mier cas parce que nous sous-trai­tons les don­nées de nos clients en les héber­geant, sous leur contrôle ; dans l’autre cas parce que nous sto­ckons et uti­li­sons des don­nées de nos clients dans nos sys­tèmes, pour tout trai­te­ment rela­tif à la fac­tu­ra­tion.

Les responsabilités d’alwaysdata en tant que sous-traitant

  • Nous n’accédons et ne trai­tons aucune don­née hors du consen­te­ment explique du res­pon­sable de trai­te­ment (nos clients).
  • Les don­nées sont conser­vées sur le ter­ri­toire euro­péen, à moins que nos clients ne choi­sissent expli­ci­te­ment de loca­li­ser leurs don­nées en dehors du ter­ri­toire euro­péen. Cette loca­li­sa­tion pour­ra évo­luer dans le futur, tou­jours sous le contrôle express du client lui-même.
  • Nous tenons nos clients infor­més de tout sous-trai­tant ayant accès à leurs don­nées, des don­nées concer­nées, et de l’usage qui en est fait.
  • Nous appli­quons des stan­dards de sécu­ri­té pour pro­té­ger les don­nées dans tout leur cycle de vie.
  • Nous repor­te­rons publi­que­ment tout inci­dent en cas d’atteinte ou de vio­la­tion des don­nées qui nous sont confiées sans retard.
  • Nous four­nis­sons une docu­men­ta­tion pré­cise assu­rant notre confor­mi­té au RGPD.

Les responsabilités d’alwaysdata en tant que responsable de traitement

  • Nous limi­tons les don­nées à carac­tère per­son­nel col­lec­tées au strict mini­mum pour l’exécution du ser­vice, à des fins de fac­tu­ra­tion et de sup­port.
  • Nous n’utilisons les don­nées col­lec­tées qu’aux fins spé­ci­fiées dans nos CGU et contrats.
  • Nous ne conser­vons aucune don­née qui ne serait pas per­ti­nente dans l’exécution de nos ser­vices.
  • Nous ne trans­fé­rons aucune don­née en dehors du ter­ri­toire euro­péen sans votre consen­te­ment éclai­ré.
  • Nous met­tons en œuvre des mesures tech­niques pour assu­rer un haut degré de sécu­ri­sa­tion sur les don­nées qui nous sont confiées.

Mesures de sécurité chez alwaysdata

Deux domaines de sécu­ri­tés sont iden­ti­fiables : celui concer­nant les don­nées sto­ckées par nos clients, et celui de nos infra­struc­tures héber­geant ces infor­ma­tions.

Concernant les don­nées héber­gées par nos clients, ces der­niers sont eux-mêmes res­pon­sables de leurs don­nées, en assu­rant la sécu­ri­té de leurs ser­vices, sites inter­net, appli­ca­tions, ou tout autre sys­tème logi­ciel déployé sur les infra­struc­tures d’alwaysdata.

Concernant les infra­struc­tures d’alwaysdata elles-mêmes, nous nous assu­rons d’un degré de sécu­ri­té opti­mal. Cela signi­fie notam­ment que les accès phy­siques aux sys­tèmes sont rigou­reu­se­ment contrô­lés, que les logi­ciels et sys­tèmes sont sur­veillés, pat­chés et mis à jour avec les mises à niveau de sécu­ri­tés concer­nées, et que nous uti­li­sons des dis­po­si­tifs anti-intru­sion pour pré­ve­nir les attaques.

Que fait alwaysdata pour préparer sa mise en conformité avec le RGPD ?

always­da­ta est déjà en confor­mi­té avec la direc­tive 95/46/EC. Nous avons conti­nué sur notre lan­cée. Nous avons prin­ci­pa­le­ment tra­vaillé à la mise à jour de nos CGU pour nous assu­rer qu’elles pré­cisent nos obli­ga­tions vis-à-vis du RGPD. Techniquement, nous sui­vons les prin­cipes Privacy by Design depuis nos débuts, et nous n’avons jamais col­lec­té plus d’information que néces­saire. Nous sommes conformes au RGPD depuis long­temps. Voyons donc ce que cela concerne !

Principes de Privacy by Design et Privacy by Default

Nos pro­ces­sus de desi­gn et de déve­lop­pe­ment sont conformes aux prin­cipes de Privacy by Design et Privacy by default. La vie pri­vée est une des valeurs que nous défen­dons depuis long­temps ; vous pou­vez à ce sujet voir ou revoir la confé­rence de m4dz, notre évan­gé­liste tech­nique, lors de l’édition 2018 du BreizhCamp, au sujet de la Privacy by Design.

Information et droit à la suppression

Nous sup­pri­mons déjà toute don­née à carac­tère per­son­nel lors de la sup­pres­sion des comptes. Nous ne conser­vons rien à l’exception des don­nées requises dans un cadre légal, comme la liste des tran­sac­tions ou les jour­naux, pen­dant une période de temps limi­tée, défi­nie par la loi.

Droit à la portabilité

Notre API, déjà dis­po­nible, vous per­met d’accéder à l’ensemble de vos infor­ma­tions enre­gis­trées sur les sys­tèmes d’alwaysdata. Vous pou­vez éga­le­ment nous en faire la demande par mail à contact@alwaysdata.com.

Pas de transfert de consentement

Nous ne trans­fé­rons aucune infor­ma­tion à quelque sous-trai­tant autre que ceux men­tion­nés dans nos CGU, dans la limite des actions décrites, sans votre consen­te­ment expli­cite.

Quelles actions à entreprendre pour nos clients ?

Mis à part lire et vali­der nos nou­velles CGU, aucune action n’est requise de la part de nos uti­li­sa­teurs. Nous vous encou­ra­geons vive­ment, tout comme nos par­te­naires, à entre­prendre votre mise en confor­mi­té au RGPD dès à pré­sent. Si les ser­vices que vous héber­gez ont déjà un bon niveau de sécu­ri­té et de bonnes pra­tiques en termes de vie pri­vée, le chan­ge­ment ne devrait pas être dif­fi­cile.

Vous pou­vez accé­der à nos nou­velles CGU ici. N’hésitez pas à uti­li­ser les com­men­taires pour toute ques­tion rela­tive à la mise en place du RGPD chez always­da­ta.