OVH et la protection des données à caractère personnel

L’annexe « Traitement de de données à caractère personnel » OVHcloud évolue

L’annexe « Traitement de données à caractère personnel » OVHcloud (le « DPA ») évolue afin de prendre en compte les nouveaux prérequis applicables aux transferts de données à caractère personnel hors Union-Européenne, en particulier la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil (le « RGPD ») adoptée par la Commission européenne du 4 juin 2021.

Cliquez ici pour consulter la nouvelle version du DPA en vigueur à compter du 27 septembre 2021.

Veuillez noter que si vous utilisez ou souhaitez utiliser des services OVHcloud situés dans des centres de données non-européens pour traiter les données à caractère personnel soumises au RGPD, les nouvelles clauses contractuelles types précitées doivent être mises en œuvre, ainsi que toutes mesures supplémentaires qui pourraient être requises au regard des catégories de données concernées, et du droit ou des pratiques du pays tiers. Pour plus d’informations, veuillez contacter le délégué à la protection des données d’OVHcloud.

Si vous ne traitez pas de Données à caractère personnel soumises au RGPD via des Services OVHcloud situés dans des centres de données non-européens, le changement précité n'a pas d’impact.

Information Brexit

Malgré l’achèvement, le 31 décembre, de la période de transition durant laquelle le Royaume-Uni continuait de faire application du droit de l’Union européenne, les transferts de données à caractère personnel vers le Royaume-Uni vont pouvoir se poursuivre, au moins provisoirement, sans qu’il soit nécessaire de faire application du Chapitre V du Règlement Général sur la Protection des Données (« RGDP ») relatif aux transferts de données vers des pays tiers à l’Union européenne.

En effet, l’Union et le Royaume-Uni, ont convenu, dans le cadre de l’accord de commerce et de coopération du 24 décembre, qu’à compter du 1er janvier, date de prise d’effet dudit accord, le Royaume-Uni ne serait pas considéré comme un pays tiers à l’Union pour les transferts de données à caractère personnel ; et ce, pour une nouvelle période transitoire de quatre (4) mois, laquelle pourra, si besoin, être prolongée de deux (2) mois supplémentaires ; soit jusqu’au 1er juillet 2021 (la « période transitoire »).

Ceci n’est applicable qu’à condition que ledit accord soit effectivement ratifié de part et d’autre, et qu’aucune modification substantielle ne soit apportée au régime juridique applicable en matière de protection des données à caractère personnel au 31 décembre 2020 au Royaume-Uni, sans approbation de l’Union européenne ; ce qui devrait rester le cas dans la mesure où le Royaume-Uni comme l’Union ont intérêt à ce que les flux de données soient facilités.

En ce cas, les services OVHcloud localisés au Royaume-Uni dans le centre de données d’Erith, pourront continuer à traiter des données à caractère personnel dans des conditions inchangées jusqu’à la fin de cette période transitoire.

À noter toutefois que si vous ne disposez pas d’établissement au sein de l’Union européenne, mais que vous traitez, en qualité de sous-traitant ou de responsable du traitement, depuis le Royaume-Uni des données de personnes qui se trouvent sur le territoire de l'Union tel que prévu à l’article 3 du RGPD, vous êtes tenus depuis le 1er janvier de désigner un représentant dans l’Union, conformément à l'article 27 du RGPD.

Ce nouveau dispositif transitoire doit donner le temps à la Commission européenne de décider, en application de l’article 45 du RGPD, si le Royaume-Uni dispose, ou non, d’un niveau adéquat de protection des données à caractère personnel.

Si tel est le cas, la Commission rendra une décision d’adéquation, et les transferts de données vers le Royaume-Uni pourront se poursuivre sur ce fondement sans qu’il soit nécessaire d’effectuer d’autres formalités à l’issue de la période transitoire.

A contrario, à défaut de décision d’adéquation, les transferts de données depuis l’Union vers le Royaume-Uni, ne pourront plus intervenir à l’issue de la période transitoire, sauf si des garanties appropriées sont mises en place tel que prévu à l’article 46 du RGPD, et notamment que des droits soient reconnus et des recours effectifs disponibles au Royaume-Uni pour les personnes concernées européennes.

Quels seraient les impacts d’un défaut de décision d’adéquation pour les clients OVHcloud à l’issue de la période transitoire, en particulier dans le cadre de leur utilisation des services OVHcloud ?

Plusieurs situations doivent être distinguées :

Vous êtes client d’une entité européenne OVHcloud et utilisez uniquement des services OVHcloud hébergés dans des Centres de données européens (à l’exclusion de services hébergés dans le centre de données d’OVHcloud situé au Royaume-Uni)
Si vous êtes client d’une entité européenne d’OVHcloud (et non de l’entité OVH Limited immatriculée au Royaume-Uni), et que vous utilisez des services OVHcloud hébergés dans un ou plusieurs centres de données européens uniquement (à l’exclusion du centre de données OVHcloud localisé au Royaume-Uni), une absence de décision d’adéquation de la Commission européenne concernant le Royaume-Uni n’aura pas d’impact.

En effet, dans ce cas, vos données restent hébergées dans l’Union européenne, OVHcloud s’interdisant d’en modifier unilatéralement la localisation et notamment de les transférer dans son centre de données au Royaume-Uni.

De plus, les équipes OVHcloud localisées au Royaume-Uni ne prendront pas en charge l’administration des services fournis aux clients européens (hors clients d’OVHcloud Royaume-Uni) hébergés dans des centres de données européens. Dès lors, aucun traitement des données associées audits Services ne sera opérable à distance depuis le Royaume-Uni.

Enfin, si OVHcloud devait recevoir une demande d’une autorité du Royaume-Uni visant à obtenir communication des données que vous hébergez dans l’un de ses centres de données européen, OVHcloud s’y opposerait, conformément à sa politique, sauf à ce que cette demande soit réalisée conformément à l’article 49 du RGPD ou dans le cadre d’un accord international, tel qu'un traité d'entraide judiciaire, en vigueur avec le Royaume-Uni.

Attention : Si vous intervenez depuis le Royaume-Uni sur les données et solutions que vous hébergez dans le cadre de vos services OVHcloud, ou que vous faites intervenir à ce titre un tiers prestataire localisé au Royaume-Uni, il conviendra de vous assurer que les garanties appropriées soient mises en place entre vous et ce prestataire.
Vous êtes client d’une entité européenne OVHcloud et utilisez des services hébergés dans le Centre de données OVHcloud situé au Royaume-Uni
Le fait d’utiliser des services hébergés dans le centre de données d’OVHcloud situé au Royaume-Uni, implique par définition un hébergement, et donc un transfert, au Royaume-Uni des données que vous utilisez dans le cadre desdits services. Par ailleurs, les équipes OVHcloud situées au Royaume-Uni peuvent en ce cas participer à l’administration de ces services.

Dans ce contexte, conformément à ses engagements contractuels, et en particulier l’article 6 « Localisation et transferts de données à caractère personnel » de l’annexe « Traitement de données à caractère personnel », OVHcloud mettrait en place un accord de transfert de données conforme aux clauses contractuelles types adoptées par la Décision n°2010/87/EU de la Commission européenne du 5 février 2010 (les «Clauses Contractuelles Types») ou équivalentes.

Néanmoins, si la mise en place de ces clauses contractuelles types demeure, conformément à l’article 46 du RGPD, un prérequis nécessaire aux transferts de données dans des pays tiers ne bénéficiant pas de décision d’adéquation, elle ne constitue pas systématiquement une garantie à elle seule suffisante ; des mesures supplémentaires pouvant s’avérer nécessaires.

À défaut de décision d’adéquation de la Commission européenne concernant le Royaume-Uni d’ici la fin de la période transitoire, il conviendra donc que vous vous assuriez qu’en complément des clauses contractuelles types susvisées, les mesures supplémentaires appropriées (telles que chiffrement de vos données) soient mises en place si nécessaire au regard de votre activité et du nouvel ordre juridique du Royaume-Uni.

À ce titre, OVHcloud vous invite à suivre les recommandations 01/2020 adoptées le 10 novembre 2020 par le Comité Européen de la Protection des Données.

De même, si vous intervenez depuis le Royaume-Uni sur les données et solutions que vous hébergez dans le cadre de vos services OVHcloud, ou que vous faites intervenir à ce titre un tiers prestataire localisé au Royaume-Uni, il conviendra de vous assurer, en l’absence de décision d’adéquation, que les garanties appropriées soient mises en place.

OVHcloud reste par ailleurs à votre disposition pour toute question concernant les mesures de sécurité mises en place par OVHcloud.
Vous êtes client de l’entité OVH Limited, entité OVHcloud établie au Royaume-Uni
Si vous êtes client d’OVH Limited, entité d’OVHcloud immatriculée au Royaume-Uni, les équipes d’OVHcloud situées au Royaume-Uni peuvent participer à l’administration de vos services, et à ce titre opérer certains traitements (stockage de données, suppression en fin de contrat, etc.), qui même s’ils sont opérés à distance dans le cadre de services hébergés dans des centres de données européens, pourront, à défaut de décision d’adéquation, constituer des transferts de données au sens du RGPD.

De plus, dans la mesure où, en tant que société de droit anglais, OVH Limited relève de la juridiction du Royaume-Uni, elle peut être amenée à devoir répondre à des demandes des autorités, notamment judiciaire, du Royaume-Uni visant à obtenir communication des données hébergées par ses clients dans le cadre de ses services.

Dès lors, si la Commission européenne ne prononce pas de décision d’adéquation concernant le Royaume-Uni d’ici la fin de la période transitoire, et que vous souhaitez utiliser les services OVHcloud afin de traiter des données à caractère personnel soumises au RGPD, il conviendra, conformément à l’article 46 de ce règlement, que soient mises en place des garanties appropriées dans le cadre de l’utilisation de ces services.

À ce titre, OVH Limited vous accompagnera et mettra en œuvre un accord de transfert de données conforme aux clauses contractuelles types adoptées par la Décision n°2010/87/EU de la Commission européenne du 5 février 2010 (les «Clauses Contractuelles Types») ou équivalentes.

Néanmoins, si en ce cas, les clauses contractuelles types sont un prérequis nécessaire en application de l’article 46 du RGPD, elles ne constituent pas toujours une garantie à elle seule suffisante en cas de transfert vers des pays tiers ne bénéficiant pas de décision d’adéquation. Par conséquent, il vous appartiendra de mettre en place toutes les mesures supplémentaires (telles que chiffrement de vos données) qui pourraient s’avérer nécessaires au regard de vos activités de traitement et du nouveau droit applicable au Royaume-Uni.

À ce titre, OVHcloud vous invite à suivre les recommandations 01/2020 adoptées le 10 novembre 2020 par le Comité Européen de la Protection des Données.

OVHcloud reste par ailleurs à votre disposition pour toute question concernant les mesures de sécurité mises en place par OVHcloud.
Concernant les données à caractère personnel vous concernant et qu’OVHcloud traite en qualité de responsable du traitement
En application des conditions de services en vigueur, OVHcloud traite, en qualité de responsable du traitement, certaines données vous concernant, telles que vos données d'identification ou données de compte client, vos interactions avec le support OVHcloud, vos données de facturation et historique de consommation, ou encore des données techniques relatives à l’utilisation de vos Services.

Les équipes d’OVH Limited, entité OVHcloud située au Royaume-Uni, peuvent participer aux activités de traitement de données susvisées.

Dans l’éventualité d’un défaut de décision d’adéquation de la Commission européenne concernant le Royaume-Uni à l’issue de la période transitoire, OVHcloud mettra en place des garanties appropriées conformément à l’article 46 du RGPD et aux engagements stipulés dans le cadre de la Partie 2 de l’Annexe Traitement de données à caractère personnel

Pour plus de détails concernant les données collectées et les traitements réalisés sur ces données, vous pouvez consulter la Partie 2 de l’Annexe Traitement de données à caractère personnel précitée, étant précisé que les données que vous hébergez et utilisez dans le cadre de vos services OVHcloud ne sont pas concernées.

Créé en 1999, OVH est aujourd’hui l’un des acteurs majeurs du cloud avec une présence dans 19 pays dans le monde. La satisfaction et la sécurité des données personnelles de nos plus d’un million de clients nous tiennent particulièrement à cœur.

Thumbnail

Lorsque vous décidez d’externaliser tout ou partie de l’hébergement des données traitées par votre organisation auprès des services d’OVH, vous faites le choix de nous confier une part de votre patrimoine informationnel. Nous sommes conscients des enjeux qu’une telle externalisation peut représenter pour votre structure, notamment en matière de conformité réglementaire. C’est pourquoi OVH vous met à disposition une information la plus complète possible sur les enjeux en matière de protection des données à caractère personnel.

Réglementations en matière de protection des données à caractère personnel

Il existe différents textes de portée internationale, européenne ou nationale qui sont aujourd’hui applicables en matière de protection des données à caractère personnel. Les principaux sont les suivants :

OVH s’engage à se conformer aux obligations lui incombant en vertu des réglementations suscitées et, particulièrement, du Règlement général sur la protection des données (RGPD). C’est notamment grâce à cet engagement de conformité que les clients d’OVH sont également en mesure de respecter une partie de leurs obligations réglementaires. Nous encourageons vivement l’ensemble de nos clients à être particulièrement vigilant sur ces aspects de conformité. D’autres réglementations plus spécifiques peuvent aussi exister, notamment pour certaines catégories particulières de données à caractère personnel. C’est le cas pour les traitements de données de santé, de données de militaires, etc. Il appartient au client de bien identifier les réglementations applicables à ses activités, afin de s’y conformer. Bien choisir son prestataire, notamment en matière de cloud, est impératif pour respecter ses propres obligations en matière de protection des données à caractère personnel.

Le Data Protection Officer (DPO) d’OVH : un acteur au service quotidien de la protection des données

"OVH a fait le choix de procéder à la nomination d’un DPO, dont le rôle et les missions sont pour partie prévus par la réglementation européenne. Le DPO est parfaitement indépendant dans l’accomplissement de ses missions : il est le garant interne de la conformité des activités du groupe OVH en matière de traitement de données."

Grégory Gitsels - Data Protection Officer

 

Pleinement dédié à cette mission, Grégory Gitsels, DPO chez OVH, dispose des ressources nécessaires pour exercer son rôle sans conflits d’intérêts et en toute indépendance. Il conseille les opérationnels et dirigeants de l’entreprise, dans le respect des obligations et des bonnes pratiques que doit mettre en œuvre OVH en matière de protection des données à caractère personnel. En pratique, il sensibilise et forme régulièrement les salariés du groupe, répond à leurs demandes en matière de privacy, met en œuvre une démarche de « privacy by design » et de « privacy by defaut » notamment dans le développement des nouvelles offres proposées aux clients, assure les relations avec les autorités de contrôle... Il est également l’interlocuteur de l’ensemble des clients souhaitant disposer de garanties appropriées quant aux mesures mises en œuvre pour assurer leur conformité avec la réglementation, dont le RGPD.