Alice au pays du Cloud
Le cloud attire par sa mise en œuvre simple et sans tracas, ainsi que par un maximum de scalabilité. De plus, il est vanté pour la possibilité de réduire les investissements en IT et de les orienter vers les domaines à valeur ajoutée de l’entreprise. Cependant, il est nécessaire de faire preuve de prudence !
Rapidement, il peut arriver qu’il y ait une violation des droits des personnes concernées au sens du RGPD et que la Reine Rouge vous intente littéralement un procès. Comme pour Alice au pays des merveilles, la protection des données personnelles peut sembler aussi merveilleuse et parfois obscure pour l’utilisateur du cloud que cette histoire.
Les gâteaux volés
Les données personnelles sont souvent aussi précieuses pour les personnes concernées que les gâteaux volés pour la Reine Rouge. Mais comment peut-il arriver que ces données disparaissent, alors que les fournisseurs de cloud vantent une conformité exemplaire et le respect du RGPD ? Dans l’étude « RGPD et utilisation des services cloud américains »
Ne laissez pas vos gâteaux – euh, vos données personnelles – vous être volés. Voici ce à quoi vous devez prêter attention. Source : Adobe Stock / Olyina
du service scientifique du Bundestag allemand, la problématique, que l’on peut déjà deviner à partir du titre, est présentée de manière très concise. Ainsi, il existe un risque de divulgation non autorisée de données personnelles en raison de l’accès par les autorités de sécurité américaines dans le cadre du CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Il est à noter que, en raison des affiliations au sein des groupes, on ne peut pas partir du principe que l’accès est sécurisé, même si le serveur du fournisseur de cloud est situé dans l’EEE. De plus, en cas de violation de la protection des données, notamment en lien avec des accès basés sur le CLOUD Act, il n’existe aucune voie juridique pour les personnes concernées.
Une autre problématique peut émerger des efforts accrus de régulation des contenus web. Ainsi, les espaces de stockage cloud sont déjà recherchés pour des contenus relevant du droit pénal, par exemple avec l’objectif fondamentalement légitime de protéger les enfants. Cependant, il est déjà difficile pour le responsable d’évaluer actuellement l’ampleur de l’accès aux données et la manière dont les données sont traitées. Un développement supplémentaire des recherches en ligne par des fournisseurs de cloud privés peut éventuellement poser des problèmes au-delà de la protection des données personnelles, si par exemple des données commerciales sont concernées.
Le Chapelier invite au thé
Face à toutes les exigences et promesses, il est parfois difficile de garder une vue d’ensemble et d’évaluer les mesures à prendre pour garantir un traitement des données conforme au droit. Puisque, pour les fournisseurs de cloud américains, un transfert de données vers les États-Unis (pays tiers non sûr) doit être envisagé, un traitement des données ne peut se faire qu’en tenant compte de l’art. 44 du RGPD. Mais depuis le jugement Schrems II de la CJUE, selon lequel un transfert de données ne peut plus être basé sur une décision d’adéquation de la Commission européenne, on a parfois l’impression de ne pas obtenir la tasse de thé promise.
Les bases de traitement légitimes au sens du RGPD restent les contrats avec des entreprises qui prouvent leur traitement conforme à la protection des données via des BCR (Règles d’entreprise contraignantes approuvées) ou la conclusion des nouveaux SCC (Clauses contractuelles types de l’UE). Il est alors nécessaire de mettre en œuvre des mesures supplémentaires pour protéger les données personnelles. L’objectif est une protection adéquate des données contre l’accès par les autorités de sécurité américaines.
Sortir du labyrinthe
Tout comme le Chat du Cheshire montre un chemin à Alice, le RGPD recommande avec l’art. 32 al. 1 lit. a la pseudonymisation et le chiffrement comme moyens techniques appropriés pour répondre à ces exigences. Le EDPB (European Data Protection Board) définit dans les « Guidelines 07/2020 on the concepts of controller and processor in the GDPR Version 2.0 » l’exigence que les données personnelles doivent être chiffrées avant la transmission et que la clé ne doit pas être connue du fournisseur de cloud.
Le TeleTrust fournit avec le guide de sécurité cloud un bon et compact aperçu des mesures pour une utilisation sécurisée des applications cloud. Sous le point Intégration du chiffrement, une présentation et une comparaison des termes courants sont fournies.
Il existe différentes possibilités de chiffrement des données, chacune avec ses propres avantages et inconvénients. Source : Adobe Stock / Dario Lo Presti
De nombreux fournisseurs ont implémenté des solutions BYOK (Bring Your Own Key), où la clé utilisée pour chiffrer les données est transférée dans l’infrastructure du fournisseur de cloud et lui devient ainsi « techniquement » connue. Cela permet d’atteindre la fonctionnalité d’une gestion automatisée des clés (Service Managed Keys), pilotée par le fournisseur de cloud.
Cela offre certes une bonne protection au sens de la cybersécurité, mais ne remplit pas les exigences juridiques en matière de protection des données !
Il convient de veiller à ce que le fournisseur de la solution cloud propose une méthode conforme au principe HYOK (Hold Your Own Key), utilisant deux clés : une clé détenue exclusivement par le client, sans laquelle les données ne peuvent être déchiffrées, et une deuxième clé intégrée dans l’infrastructure du fournisseur de cloud, permettant la gestion des clés dans le cloud. Cette approche présente l’avantage de préserver les mesures de sécurité informatique telles que l’échange automatisé des clés, ce qui n’est souvent pas le cas avec une solution HYOK pure, ou impliquerait un effort administratif nettement plus important.
Les solutions proposées peuvent également s’appliquer à petite échelle. Ainsi, l’utilisation de Google Drive, OneDrive ou Dropbox, sans mesures complémentaires, constitue un cas problématique sur le plan de la protection des données. Des applications telles que Cryptomator permettent un stockage conforme au RGPD et peuvent aussi être utilisées dans un contexte privé. Le principe repose sur la création, par exemple sur Dropbox, d’un dossier chiffré via Cryptomator, dans lequel les fichiers peuvent ensuite être stockés en toute sécurité. Ainsi, la capacité de synchronisation des applications cloud est conservée tout en répondant aux exigences de la protection des données.
Avec des solutions comme celles-ci, vous parvenez ainsi à ce que personne ne vole vos précieux gâteaux, c’est-à-dire les données personnelles. Nous vous conseillons volontiers sur votre configuration cloud individuelle pour garantir une protection des données irréprochable et une haute sécurité informatique.
N’hésitez pas à nous contacter à ce sujet !
Beaucoup de questions, mais pas de réponses ? Nous pouvons vous aider ! Les experts de msecure vous conseillent volontiers sur les questions de protection des données et de sécurité informatique pour votre configuration cloud individuelle. En savoir plus !
Faits clés
Mise en œuvre du RGPD : Seulement 28 pour cent des entreprises allemandes se considèrent comme entièrement conformes au RGPD.
Sanction individuelle la plus élevée : 1,2 milliard d’euros contre Meta (2023) – la sanction RGPD la plus élevée à ce jour.
Questions fréquentes
Quelles sanctions menacent en cas de violation du RGPD ?
Des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 pour cent du chiffre d’affaires mondial annuel – selon le montant le plus élevé. S’ajoutent des demandes éventuelles de dommages et intérêts de la part des personnes concernées.
Qu’est-ce qu’une évaluation d’impact sur la protection des données ?
Une EIPD est une évaluation systématique des risques d’un traitement de données pour les droits et libertés des personnes concernées. Elle est obligatoire si le traitement présente probablement un risque élevé – par exemple en cas de profilage, de surveillance vidéo ou de traitement de catégories particulières de données.
Le RGPD s’applique-t-il également aux petites entreprises ?
Oui, le RGPD s’applique à toute entreprise, indépendamment de sa taille, qui traite des données personnelles de citoyens de l’UE. Les petites entreprises bénéficient de quelques allègements (par exemple, pas de registre des activités de traitement pour moins de 250 employés en cas de traitement non à risque), mais doivent respecter tous les principes de base.
Articles connexes
- RGPD 2026 : Ce qui change et sur quoi les entreprises doivent veiller
- Sécurité multi-cloud 2026 : Les 5 plus grands risques et comment les résoudre
- Comment le machine learning est utilisé dans la sécurité informatique
Plus du réseau MBF Media
cloudmagazinRéaliser une migration cloud en toute sécuritéSource de l’image : Adobe Stock / Haibullaev
Fait : Les coûts moyens d’une perte de données étaient de 4,88 millions de dollars en 2025 selon IBM.
Fait : Les amendes RGPD peuvent aller jusqu’à 20 millions d’euros ou 4 pour cent du chiffre d’affaires mondial annuel.
L’essentiel
- Dans l’étude « RGPD et utilisation des services cloud américains » Ne laissez pas vos gâteaux – euh, vos données personnelles – vous être volés. Voici ce à quoi vous devez prêter attention.
- Le EDPB (European Data Protection Board) définit dans les « Guidelines 07/2020 on the concepts of controller and processor in the GDPR Version 2.0 » l’exigence que les données personnelles doivent être chiffrées avant la transmission …
- Il existe différentes possibilités de chiffrement des données, chacune avec ses propres avantages et inconvénients.
- De plus, il est vanté pour la possibilité de réduire les investissements en IT et de les orienter vers les domaines à valeur ajoutée de l’entreprise.
