La clarification récente autour du RGPD a remis en lumière les responsabilités partagées entre hébergeurs et clients. Comprendre ces rôles est essentiel pour assurer la protection des données et le droit à la vie privée des personnes.
Les clarifications publiées par la CNIL et par OVHcloud précisent les pratiques légales à privilégier. Retrouvez ci-dessous les éléments essentiels à retenir pour agir rapidement.
A retenir :
- Séparation claire des responsabilités entre OVHcloud et le client
- Chiffrement end-to-end des données sensibles avant tout transfert externe
- Localisation des données préférentielle au sein de l’Union européenne
- Audits réguliers et certification pour prouver la conformité technique
RGPD et responsabilités de l’hébergeur OVHcloud
Partant des enjeux précédents, il faut préciser le rôle juridique de l’hébergeur. Selon OVHcloud, la sécurité des infrastructures relève de son périmètre opérationnel.
Distinction entre sécurité infrastructure et sécurité applicative
Ce point distingue la sécurité des infrastructures et la sécurisation des ressources client. Le client reste responsable des applications, des configurations et des contenus stockés. Selon la CNIL, cette répartition doit être documentée pour répondre aux exigences du RGPD.
« En tant que DPO, j’ai documenté la séparation des responsabilités pour plusieurs projets cloud »
Paul H.
Certifications et obligations techniques de l’hébergeur
Les normes et attestations prouvent la conformité opérationnelle de l’hébergeur. OVHcloud met en avant des certifications reconnues pour attester de ses contrôles techniques. Ces éléments renforcent la confiance technique avant d’aborder les obligations concrètes des clients.
Accès et habilitations :
- Gestion des comptes nominatif et règle du moindre privilège
- Authentification forte pour les accès administratifs sensibles
- Révocation automatique des badges et comptes inactifs
Certification
Portée
Observation
ISO/IEC 27001
Management de la sécurité de l’information
Norme internationale
PCI-DSS
Sécurité des paiements par carte
Applicabilité pour services paiement
SOC 1 TYPE II
Contrôles financiers
Attestation indépendante
SOC 2 TYPE II
Contrôles sécurité et confidentialité
Attestation indépendante
HDS
Hébergement de données de santé
Offre Healthcare
Sécurisation des données et obligations clients RGPD
Après les engagements d’OVHcloud, la responsabilité du client se précise sur le plan opérationnel. Le responsable de traitement doit implémenter des mesures techniques et organisationnelles adaptées. Selon la CNIL, le chiffrement et la journalisation figurent parmi les priorités de conformité.
Bonnes pratiques opérationnelles pour les responsables de traitement
Ce H3 présente des mesures concrètes attendues des responsables de traitement. La gestion des accès, le chiffrement et la sauvegarde sont des piliers indispensables. Selon OVHcloud, l’activation de l’authentification forte limite significativement les risques d’accès non autorisé.
Mesures opérationnelles clés :
- Activer l’authentification multifactorielle pour tous les comptes administratifs
- Chiffrer les données sensibles au repos et en transit
- Mettre en place des sauvegardes régulières et vérifiées
- Limiter les droits selon le principe du moindre privilège
- Automatiser les mises à jour et correctifs critiques
Audits, journaux et gestion des incidents
Ce volet traite des audits, de la journalisation et des réponses aux incidents. Le client doit conserver et analyser les logs de ses applications pour prouver la conformité. OVHcloud propose des mécanismes de journalisation et des outils de monitoring pour aider les clients.
Contrôles d’audit recommandés :
- Tests d’intrusion réguliers par des prestataires indépendants
- Scans de vulnérabilité automatisés et revues de code périodiques
- Revue annuelle des habilitations et accès administratifs
Domaine
Rôle d’OVHcloud
Rôle du client
Exemple
Sécurité physique
Contrôle périmétrique et vidéosurveillance
Gestion des accès au niveau applicatif
Badge et sas unipersonnel
Réseau
Backbone et durcissement des équipements
Chiffrement des connexions applicatives
VPN et bastion
Sauvegarde
Offres de backup et redondance
Configuration des politiques de rétention
Snapshots chiffrés
Monitoring
Collecte centralisée des logs
Analyse des logs applicatifs
Alerting et tickets
Gestion incidents
Cellule de crise et procédures
Notification des contacts et plan de reprise
Exercices et retours d’expérience
« Nous avons mené des tests d’intrusion et OVHcloud a collaboré efficacement sur les correctifs »
Alice D.
Transfert de données hors UE, CNIL et conformité légale
Partant des obligations opérationnelles, il faut considérer les transferts hors UE et leurs garde-fous juridiques. Selon le RGPD, chaque transfert nécessite une base légale et des garanties appropriées.
Clauses contractuelles et mécanismes juridiques
Ce point explique les clauses contractuelles types et autres garanties juridiques. Les clauses contractuelles types encadrent les transferts entre entités du groupe et sous-traitants. Selon OVHcloud, des mécanismes techniques et contractuels sont combinés pour assurer un niveau de protection équivalent.
« OVHcloud nous a aidés à structurer nos clauses contractuelles pour des transferts sûrs »
Marc L.
Évaluation des risques pays et responsabilités partagées
Cette rubrique évalue les risques juridiques des pays tiers et les mesures compensatoires. Avant tout transfert, le responsable de traitement doit réaliser une analyse juridique pays par pays. En pratique, des mesures techniques comme le chiffrement renforcé limitent l’exposition en cas d’ingérence étrangère.
Contrôles techniques recommandés :
- Chiffrement des données avec clés contrôlées par le client
- Clausules contractuelles type signées avec les filiales concernées
- Evaluation d’impact relative aux transferts de données
- Surveillance juridique continue des législations locales
« La conformité exige une vigilance continue, pas une simple checklist »
Sophie M.
Source : CNIL, « Comprendre le RGPD », CNIL ; OVHcloud, « OVHcloud et la protection des données à caractère personnel », OVHcloud.
