{"id":7264,"date":"2021-10-29T15:54:20","date_gmt":"2021-10-29T15:54:20","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-3015\/"},"modified":"2026-05-11T00:19:10","modified_gmt":"2026-05-11T00:19:10","slug":"alice-au-pays-des-nuages","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2021\/10\/29\/alice-au-pays-des-nuages\/","title":{"rendered":"Alice au pays du Cloud"},"content":{"rendered":"

Le cloud attire par sa mise en \u0153uvre simple et sans tracas, ainsi que par un maximum de scalabilit\u00e9. De plus, il est vant\u00e9 pour la possibilit\u00e9 de r\u00e9duire les investissements en IT et de les orienter vers les domaines \u00e0 valeur ajout\u00e9e de l’entreprise. Cependant, il est n\u00e9cessaire de faire preuve de prudence ! <\/strong><\/p>\n

Rapidement, il peut arriver qu’il y ait une violation des droits des personnes concern\u00e9es au sens du RGPD et que la Reine Rouge vous intente litt\u00e9ralement un proc\u00e8s. Comme pour Alice au pays des merveilles, la protection des donn\u00e9es personnelles peut sembler aussi merveilleuse et parfois obscure pour l’utilisateur du cloud que cette histoire.<\/p>\n

Les g\u00e2teaux vol\u00e9s<\/h2>\n

Les donn\u00e9es personnelles sont souvent aussi pr\u00e9cieuses pour les personnes concern\u00e9es que les g\u00e2teaux vol\u00e9s pour la Reine Rouge. Mais comment peut-il arriver que ces donn\u00e9es disparaissent, alors que les fournisseurs de cloud vantent une conformit\u00e9 exemplaire et le respect du RGPD ? Dans l’\u00e9tude \u00ab RGPD et utilisation des services cloud am\u00e9ricains<\/a> \u00bb<\/p>\n

\"\"

Ne laissez pas vos g\u00e2teaux – euh, vos donn\u00e9es personnelles – vous \u00eatre vol\u00e9s. Voici ce \u00e0 quoi vous devez pr\u00eater attention. Source : Adobe Stock \/ Olyina<\/p><\/div>\n

du service scientifique du Bundestag allemand, la probl\u00e9matique, que l’on peut d\u00e9j\u00e0 deviner \u00e0 partir du titre, est pr\u00e9sent\u00e9e de mani\u00e8re tr\u00e8s concise. Ainsi, il existe un risque de divulgation non autoris\u00e9e de donn\u00e9es personnelles en raison de l’acc\u00e8s par les autorit\u00e9s de s\u00e9curit\u00e9 am\u00e9ricaines dans le cadre du CLOUD Act<\/strong> (Clarifying Lawful Overseas Use of Data Act). Il est \u00e0 noter que, en raison des affiliations au sein des groupes, on ne peut pas partir du principe que l’acc\u00e8s est s\u00e9curis\u00e9, m\u00eame si le serveur du fournisseur de cloud est situ\u00e9 dans l’EEE. De plus, en cas de violation de la protection des donn\u00e9es, notamment en lien avec des acc\u00e8s bas\u00e9s sur le CLOUD Act, il n’existe aucune voie juridique pour les personnes concern\u00e9es.<\/p>\n

Une autre probl\u00e9matique peut \u00e9merger des efforts accrus de r\u00e9gulation des contenus web<\/a>. Ainsi, les espaces de stockage cloud sont d\u00e9j\u00e0 recherch\u00e9s pour des contenus relevant du droit p\u00e9nal, par exemple avec l’objectif fondamentalement l\u00e9gitime de prot\u00e9ger les enfants. Cependant, il est d\u00e9j\u00e0 difficile pour le responsable d’\u00e9valuer actuellement l’ampleur de l’acc\u00e8s aux donn\u00e9es et la mani\u00e8re dont les donn\u00e9es sont trait\u00e9es. Un d\u00e9veloppement suppl\u00e9mentaire des recherches en ligne par des fournisseurs de cloud priv\u00e9s peut \u00e9ventuellement poser des probl\u00e8mes au-del\u00e0 de la protection des donn\u00e9es personnelles, si par exemple des donn\u00e9es commerciales sont concern\u00e9es.<\/p>\n

Le Chapelier invite au th\u00e9<\/h2>\n

Face \u00e0 toutes les exigences et promesses, il est parfois difficile de garder une vue d’ensemble et d’\u00e9valuer les mesures \u00e0 prendre pour garantir un traitement des donn\u00e9es conforme au droit. Puisque, pour les fournisseurs de cloud am\u00e9ricains, un transfert de donn\u00e9es vers les \u00c9tats-Unis<\/strong> (pays tiers non s\u00fbr) doit \u00eatre envisag\u00e9, un traitement des donn\u00e9es ne peut se faire qu’en tenant compte de l’art. 44 du RGPD. Mais depuis le jugement Schrems II<\/strong> de la CJUE, selon lequel un transfert de donn\u00e9es ne peut plus \u00eatre bas\u00e9 sur une d\u00e9cision d’ad\u00e9quation de la Commission europ\u00e9enne, on a parfois l’impression de ne pas obtenir la tasse de th\u00e9 promise.<\/p>\n

Les bases de traitement l\u00e9gitimes au sens du RGPD restent les contrats avec des entreprises qui prouvent leur traitement conforme \u00e0 la protection des donn\u00e9es via des BCR (R\u00e8gles d’entreprise contraignantes approuv\u00e9es)<\/strong><\/a> ou la conclusion des nouveaux SCC (Clauses contractuelles types de l’UE)<\/strong><\/a>. Il est alors n\u00e9cessaire de mettre en \u0153uvre des mesures suppl\u00e9mentaires pour prot\u00e9ger les donn\u00e9es personnelles. L’objectif est une protection ad\u00e9quate des donn\u00e9es contre l’acc\u00e8s par les autorit\u00e9s de s\u00e9curit\u00e9 am\u00e9ricaines<\/strong>.<\/p>\n

Sortir du labyrinthe<\/h2>\n

 <\/p>\n

Tout comme le Chat du Cheshire montre un chemin \u00e0 Alice, le RGPD recommande avec l’art. 32 al. 1 lit. a la pseudonymisation<\/strong> et le chiffrement<\/strong> comme moyens techniques appropri\u00e9s pour r\u00e9pondre \u00e0 ces exigences. Le EDPB (European Data Protection Board) d\u00e9finit dans les \u00ab Guidelines 07\/2020 on the concepts of controller and processor in the GDPR Version 2.0<\/a> \u00bb l’exigence que les donn\u00e9es personnelles doivent \u00eatre chiffr\u00e9es avant la transmission<\/strong> et que la cl\u00e9 ne doit pas \u00eatre connue du fournisseur de cloud.<\/p>\n

Le TeleTrust fournit avec le guide de s\u00e9curit\u00e9 cloud<\/strong><\/a> un bon et compact aper\u00e7u des mesures pour une utilisation s\u00e9curis\u00e9e des applications cloud. Sous le point Int\u00e9gration du chiffrement<\/em>, une pr\u00e9sentation et une comparaison des termes courants sont fournies.<\/p>\n

\"\"

Il existe diff\u00e9rentes possibilit\u00e9s de chiffrement des donn\u00e9es, chacune avec ses propres avantages et inconv\u00e9nients. Source : Adobe Stock \/ Dario Lo Presti<\/p><\/div>\n

De nombreux fournisseurs ont impl\u00e9ment\u00e9 des solutions BYOK<\/strong> (Bring Your Own Key), o\u00f9 la cl\u00e9 utilis\u00e9e pour chiffrer les donn\u00e9es est transf\u00e9r\u00e9e dans l\u2019infrastructure du fournisseur de cloud et lui devient ainsi \u00ab techniquement \u00bb connue. Cela permet d\u2019atteindre la fonctionnalit\u00e9 d\u2019une gestion automatis\u00e9e des cl\u00e9s (Service Managed Keys<\/strong>), pilot\u00e9e par le fournisseur de cloud.<\/p>\n

Cela offre certes une bonne protection au sens de la cybers\u00e9curit\u00e9, mais ne remplit pas les exigences juridiques en mati\u00e8re de protection des donn\u00e9es !<\/p>\n

Il convient de veiller \u00e0 ce que le fournisseur de la solution cloud propose une m\u00e9thode conforme au principe HYOK<\/strong> (Hold Your Own Key), utilisant deux cl\u00e9s : une cl\u00e9 d\u00e9tenue exclusivement par le client, sans laquelle les donn\u00e9es ne peuvent \u00eatre d\u00e9chiffr\u00e9es, et une deuxi\u00e8me cl\u00e9 int\u00e9gr\u00e9e dans l\u2019infrastructure du fournisseur de cloud, permettant la gestion des cl\u00e9s dans le cloud. Cette approche pr\u00e9sente l\u2019avantage de pr\u00e9server les mesures de s\u00e9curit\u00e9 informatique telles que l\u2019\u00e9change automatis\u00e9 des cl\u00e9s, ce qui n\u2019est souvent pas le cas avec une solution HYOK pure, ou impliquerait un effort administratif nettement plus important.<\/p>\n

Les solutions propos\u00e9es peuvent \u00e9galement s\u2019appliquer \u00e0 petite \u00e9chelle. Ainsi, l\u2019utilisation de Google Drive, OneDrive ou Dropbox, sans mesures compl\u00e9mentaires, constitue un cas probl\u00e9matique sur le plan de la protection des donn\u00e9es. Des applications telles que Cryptomator<\/strong><\/a> permettent un stockage conforme au RGPD et peuvent aussi \u00eatre utilis\u00e9es dans un contexte priv\u00e9. Le principe repose sur la cr\u00e9ation, par exemple sur Dropbox, d\u2019un dossier chiffr\u00e9 via Cryptomator, dans lequel les fichiers peuvent ensuite \u00eatre stock\u00e9s en toute s\u00e9curit\u00e9. Ainsi, la capacit\u00e9 de synchronisation des applications cloud est conserv\u00e9e tout en r\u00e9pondant aux exigences de la protection des donn\u00e9es.<\/p>\n

Avec des solutions comme celles-ci, vous parvenez ainsi \u00e0 ce que personne ne vole vos pr\u00e9cieux g\u00e2teaux, c’est-\u00e0-dire les donn\u00e9es personnelles. Nous vous conseillons volontiers sur votre configuration cloud individuelle pour garantir une protection des donn\u00e9es irr\u00e9prochable et une haute s\u00e9curit\u00e9 informatique.<\/p>\n

N’h\u00e9sitez pas \u00e0 nous contacter \u00e0 ce sujet !<\/a><\/h5>\n

Beaucoup de questions<\/span>, <\/span>mais pas de r\u00e9ponses ? Nous pouvons vous aider ! Les experts de <\/span>msecure<\/span> vous conseillent volontiers sur les questions de protection des donn\u00e9es et de s\u00e9curit\u00e9 informatique pour votre configuration cloud individuelle.<\/span> En savoir plus !<\/a><\/span><\/p>\n

Faits cl\u00e9s<\/h2>\n

Mise en \u0153uvre du RGPD :<\/strong> Seulement 28 pour cent des entreprises allemandes se consid\u00e8rent comme enti\u00e8rement conformes au RGPD.<\/p>\n

Sanction individuelle la plus \u00e9lev\u00e9e :<\/strong> 1,2 milliard d’euros contre Meta (2023) – la sanction RGPD la plus \u00e9lev\u00e9e \u00e0 ce jour.<\/p>\n

Questions fr\u00e9quentes<\/h2>\n

Quelles sanctions menacent en cas de violation du RGPD ?<\/h3>\n

Des amendes pouvant aller jusqu’\u00e0 20 millions d’euros ou 4 pour cent du chiffre d’affaires mondial annuel – selon le montant le plus \u00e9lev\u00e9. S’ajoutent des demandes \u00e9ventuelles de dommages et int\u00e9r\u00eats de la part des personnes concern\u00e9es.<\/p>\n

Qu’est-ce qu’une \u00e9valuation d’impact sur la protection des donn\u00e9es ?<\/h3>\n

Une EIPD est une \u00e9valuation syst\u00e9matique des risques d’un traitement de donn\u00e9es pour les droits et libert\u00e9s des personnes concern\u00e9es. Elle est obligatoire si le traitement pr\u00e9sente probablement un risque \u00e9lev\u00e9 – par exemple en cas de profilage, de surveillance vid\u00e9o ou de traitement de cat\u00e9gories particuli\u00e8res de donn\u00e9es.<\/p>\n

Le RGPD s’applique-t-il \u00e9galement aux petites entreprises ?<\/h3>\n

Oui, le RGPD s’applique \u00e0 toute entreprise, ind\u00e9pendamment de sa taille, qui traite des donn\u00e9es personnelles de citoyens de l’UE. Les petites entreprises b\u00e9n\u00e9ficient de quelques all\u00e8gements (par exemple, pas de registre des activit\u00e9s de traitement pour moins de 250 employ\u00e9s en cas de traitement non \u00e0 risque), mais doivent respecter tous les principes de base.<\/p>\n

Articles connexes<\/h2>\n