Le cloud ne fait pas disparaître vos obligations RGPD

La Migration vers le cloud ne fait pas disparaître vos obligations RGPD cela les redistribue : Quand votre entreprise confie ses données à AWS, Azure ou GCP, elle reste responsable de traitement au sens de l’Art. 4(7) RGPD. Le fournisseur cloud, lui, agit comme sous-traitant. Cette répartition a des conséquences que beaucoup de DSI et DPO sous-estiment.

Voici les 3 erreurs le plus souvent rencontrées :

1. Considérer le Data Processing Agreement (DPA) du fournisseur comme suffisant. Les DPA d’AWS, Azure et GCP couvrent le minimum légal — mais les sous-traitants ultérieurs (Art. 28(2)), les conditions d’accès aux données et le droit d’audit restent des zones grises qu’il faut documenter.

2. Choisir une région européenne et croire le problème des transferts réglé. Même avec eu-west-1 ou France Central, le support technique ou la détection de menaces peuvent impliquer un accès depuis les États-Unis. Le Data Privacy Framework ne dispense pas d’une Transfer Impact Assessment.

3. Ne pas qualifier juridiquement chaque service cloud. IaaS, PaaS, SaaS n’ont pas les mêmes implications. Un stockage S3 et un service SaaS de transcription ne posent pas les mêmes questions RGPD.

Ce que vous devez vérifier dès maintenant :

→ Votre registre des traitements inclut-il chaque service cloud ?
→ Avez-vous documenté une TIA pour les transferts hors UE ?
→ Les notifications de sous-traitants ultérieurs sont-elles activées ?
→ Vos mesures de chiffrement sont-elles conformes à l’Art. 32 ?

Besoin d'être accompagné dans votre conformité RGPD : contactez-nous