Table des matières de l'article :
RGPD signifie Règlement général sur la protection des données.
Il s'agit d'une nouvelle législation imposée en Europe le 25 mai 2018 qui oblige les entreprises à protéger les données personnelles de leurs clients.
Le règlement général sur la protection des données (RGPD) est une loi sur la protection des données introduite par l'Union européenne en 2016. Il vise à protéger les données personnelles et la vie privée des citoyens de l'UE.
Le RGPD s'applique à toutes les entreprises proposant des biens ou des services aux citoyens de l'UE, quel que soit leur emplacement. Elle s'applique également aux entreprises qui surveillent le comportement des résidents de l'UE, même s'ils n'ont pas de présence physique dans l'UE.
Voyons comment reconnaître un hébergement conforme RGPD et quels sont les problèmes les plus courants comme, par exemple, les déclarations fausses et trompeuses d'hébergement non conforme qui prétendent l'être.
Hébergement RGPD européen et sociétés d'hébergement européennes.
Un service d'hébergement conforme au RGPD doit principalement respecter deux principes. Celui de la territorialité et de la présence légale.
Avec le principe de territorialité, les données doivent nécessairement résider PHYSIQUEMENT à l'intérieur des frontières européennes des pays membres appartenant à l'Union européenne.
Vous souhaitez faire confiance à une société d'hébergement suisse avec des serveurs sur le sol suisse ? Vous ne pouvez pas.
Voulez-vous faire confiance à une société d'hébergement à Saint-Marin avec des serveurs dans la région de Saint-Marin ? Vous ne pouvez pas.
Voulez-vous vous fier à American Enterprise Hosting tel que WPENGINE, WordPress VIP, Fastly, Pantheon, RunCloud, CloudWays ? Non vous ne pouvez pas.
Les serveurs comme répété doivent être sur le territoire européen et tous les services décrits ci-dessus utilisent des serveurs situés sur un territoire NON européen mais américain qui ne bénéficie plus du port franc qui a été créé avec le bouclier de confidentialité effectivement aboli.
Hébergement aux États-Unis et Privacy Shield.
Le Privacy Shield est (ou plutôt était) un cadre permettant le transfert de données personnelles de l'UE vers les États-Unis.
Le programme a été créé en 2016 après que la Commission européenne a constaté que le programme Safe Harbor n'offrait pas une protection adéquate aux citoyens de l'UE. Le Privacy Shield remplace le programme Safe Harbor et fixe des exigences plus strictes pour les entreprises souhaitant opérer aux États-Unis et fournir des services aux clients européens.
Qu'est-ce que le Privacy Shield et à quoi sert-il ?
Le Privacy Shield est un cadre qui permet aux entreprises de transférer des données personnelles de l'UE vers les États-Unis. Il remplace un accord antérieur appelé Safe Harbor, qui a été jugé inadéquat par les régulateurs car il ne fournissait pas de garanties suffisantes pour les droits à la vie privée des citoyens de l'UE. Le nouveau cadre a été élaboré par le département américain du Commerce et approuvé par les responsables européens en juillet 2016, après des négociations en cours depuis septembre 2015.
Quand le bouclier de protection de la vie privée a-t-il été aboli ?
Avec arrêt du 16 juillet 2020 dans l'affaire C-311/18 entre le Commissaire à la protection des données / Maximilian Schrems et Facebook Ireland, la Cour de justice de l'Union européenne (CJUE) a déclaré le bouclier de protection des données UE-États-Unis incompatible avec le RGPD et, par conséquent, n'est plus valide.
La raison de cette décision est que le niveau actuel de protection des données personnelles en vertu de la législation américaine ne peut être considéré comme équivalent à celui du RGPD. Cela est largement dû aux programmes de surveillance américains et à l'absence d'un mécanisme adéquat pour les utilisateurs européens.
L'annulation du Privacy Shield a pris effet immédiatement, ce qui signifie que le bouclier de protection des données n'est plus une base valable pour transférer des données de l'UE vers les États-Unis.
Fausses déclarations de conformité GDPR par les sociétés d'hébergement et de services.
Pour comprendre cette étape, vous devez garder à l'esprit un concept très simple : Il n'est pas illégal ou un crime pour une entreprise non européenne de vendre des services à des entreprises européennes.
D'autre part, il est illégal et criminel pour une entreprise européenne d'acheter des services à des entreprises non européennes et non certifiées GDPR.
Sur cette asymétrie, les fausses déclarations de conformité des entreprises qui prétendent être conformes au règlement RGPD sont en jeu.
Prenons par exemple VIP WordPress, le service d'hébergement d'entreprise développé par AUTOMATTIC, la société qui produit et développe WordPress pour ainsi dire.
En lisant leur déclaration concernant WordPress VIP et GDPR, nous avons les concepts suivants (traduits avec Google Translate pour plus de commodité) :
Le règlement général sur la protection des données en Europe (alias GDPR) est un règlement de confidentialité de grande envergure qui est entré en vigueur en mai 2018.
Cette page fournit des informations sur la loi et nos plans pour mettre en œuvre les principes importants du GDPR pour les produits et services WordPress VIP, y compris WordPress.com et VIP Cloud. Nous travaillons actuellement à ajouter des fonctionnalités pour améliorer le choix des utilisateurs et apporter une plus grande transparence à nos pratiques concernant la collecte, le stockage et l'utilisation de vos données.
Par exemple, pour votre commodité, nous avons maintenant un addenda disponible pour le traitement des données WordPress VIP. Si votre entreprise étudie comment confirmer la conformité du fournisseur au RGPD, ce document peut vous aider car il aborde les nuances particulières des services d'hébergement.
Les produits et services WordPress VIP sont conformes au RGPD et respecteront les dates fixées par l'Union européenne.
Nous fournirons également des outils et des informations supplémentaires dans
afin que les utilisateurs de nos services puissent prendre les mesures nécessaires pour se conformer à la loi, si nécessaire.
De prime abord, on pouvait donc se fier sans crainte compte tenu de la taille et de la notoriété de l'entreprise qui nous le communique, du ton et de la teneur du propos qui ne lui laisse aucune interprétation.
Mais en sommes-nous vraiment sûrs ? Pouvons-nous vraiment nous rassurer et ne pas risquer une amende de 4% de notre chiffre d'affaires ?
Voyons mieux et voyons qui est WordPress VIP et qui est AUTOMATTIC.
Dans leur pied de page, nous voyons immédiatement que leur raison sociale est manquante, leur adresse est manquante et leur code TVA est manquant. Il serait impossible pour une entreprise européenne d'opérer sur les marchés européens sans faire apparaître de manière éloquente cette information OBLIGATOIRE dans le pied de page.
Allons voir si au moins AUTOMATTIC a un siège européen, une succursale ou une succursale en allant sur leur site automattic.com
Dans ce cas également aucune information de nature juridique sur leur site qui pourrait identifier une société constituée en Europe, mais seulement une Automattic Inc et rien de plus.
La recherche sur le net sur Google ne ressort pas une seule référence à une branche européenne d'AUTOMATTIC mais au contraire tout semble ramener à la seule Automattic INC basée à San Francisco aux États-Unis.
Ce n'est évidemment pas à nous d'aller juger des raisons pour lesquelles une entreprise comme AUTOMATTIC n'ouvre pas de succursale européenne afin d'opérer sereinement avec leurs services, cependant à ce jour 21 mai 2022 ce sont les faits documentés et documentables.
Il en va de même pour les services de configuration d'hébergement géré qui utilisent plusieurs emplacements et plusieurs fournisseurs.
Cela vaut la peine de passer quelques lignes sur ces fournisseurs comme RunCloud o CloudWays par exemple qu'ils offrent en fait une plate-forme d'hébergement géré pour déployer des applications populaires basées sur PHP sur l'hébergement d'infrastructure en quelques clics.
Dit de manière très simple si vous souhaitez installer et configurer des instances Cloud pour des projets PHP, mais que vous n'êtes pas un ingénieur système et que vous ne voulez pas devenir fou en configurant Database, Web Server ou Cache Varnish, ces systèmes permettent, sur enregistrement et paiement du service, pour allouer une 'instance parfaitement configurée sur différents fournisseurs d'hébergement cloud tels que Linode, Vultr, AWS, Google Cloud, etc.
Comme nous connaissons tous ces fournisseurs, au moins à coup sûr Vultr, AWS et Google Cloud ils ont différentes régions divisées en continents et donc nous avons tendance à penser que si nous utilisions RunCloud ou CloudWays pour générer des instances peut-être sur AWS à Milan (oui AWS a également des régions en Italie à Milan), nous pourrions en fait être conformes au RGPD en termes de physiques les applications exécutées sur le territoire intra-communautaire et donc européen.
Le raisonnement à première vue peut sembler absolument correct et linéaire, dommage qu'en entrant dans un examen technique les choses soient un peu plus complexes qu'il n'y paraît.
En fait, RunCloud et CloudWays ne sont pas de simples "créateurs" d'instances mais en fait ce sont des services PaaS (Platform as a service) qui vivent en pleine symbiose avec l'instance créée.
Bref, il n'est pas possible de créer une instance avec RunCloud et CloudWays, de désactiver les deux services puis de continuer à utiliser l'instance créée, à la place il faut continuer à utiliser l'instance passant par le service initial tel que RunCloud et Cloudways qui auront accès à votre instance via leur API et pourront en effet effectuer des opérations sur votre instance sans se soucier des lois européennes.
Après tout, RunCloud et CloudWays n'ont pas de siège social, de succursales ou de succursales sur le territoire européen.
RunCloud RGPD
Plus précisément RunCloud est une société basée en Malaisie ; par conséquent, il n'est absolument pas conforme au RGPD bien que sur leur site ils essaient de cacher le problème avec des informations confuses et trompeuses.
Avoir un siège social en Malaisie et des clients dans l'UE, par conséquent, comme indiqué ci-dessus, n'est pas leur problème mais celui de vous, clients européens, qui ne respectent pas les exigences européennes.
CloudWays RGPD
CloudWays est spécifiquement une société basée à Malte ; par conséquent, comme c'est le cas avec RunCloud, il n'est absolument pas conforme au GDPR, bien que sur leur site, ils essaient de masquer le problème avec des informations confuses et trompeuses.
Être basé à Malte et avoir des clients dans l'UE, comme indiqué ci-dessus, n'est donc pas leur problème, mais vos clients européens qui ne respectent pas les exigences européennes.
Comme nous l'avons vu, il est courant d'essayer de convaincre un client potentiel que l'entreprise se conforme aux exigences du RGPD, vantant de bonnes intentions et de nombreuses belles paroles qui sont cependant dépourvues d'efficacité et de valeur juridique.
Il ne suffit pas de dire « nous nous engageons », « nous faisons », « nous sommes de bonnes personnes » pour être en conformité avec une loi.
Des exigences formelles et substantielles doivent être remplies : données et centres de données sur le territoire européen (dans un des pays membres de l'UE), et sociétés, succursales, succursales, succursales établies en Europe dans un pays membre et TVA européenne liée. Toute personne ne respectant pas ces deux conditions est automatiquement considérée comme non conforme à la loi RGPD.
Si Automattic ou tout autre hébergement non conforme au RGPD mentionné dans cet article devait fonctionner dans le respect de la réglementation sur la protection des DONNÉES, nous prendrions soin de rectifier l'article et d'apporter les modifications nécessaires.
Voyons ci-dessous, ceux qui sont des hébergements WordPress non conformes et conformes au RGPD.
Rapidement RGPD.
Comme nous pouvons le voir sur leur site Web, ils ont des bureaux dans les endroits suivants, aucun dans l'Union européenne.
La recherche sur Google ne révèle en aucun cas la présence de succursales, succursales ou succursales à TVA européenne.
WP Engine RGPD
WP Engine est un fournisseur d'hébergement WordPress à Austin au Texas avec une succursale au Royaume-Uni. Avec le Brexit donc, force est de constater qu'il n'y a pas de positions européennes.
Maison de la porte de fer, 22-30 Place du Duc
Londres, EC3A 7LP Royaume-Uni
Aller voir la liste de leurs sous-traitants c'est encore plus éloquent, répertoriant exclusivement des sous-traitants non européens.
Pantheon.io Hébergement RGPD
Bien que Pantheon.io soit basé aux États-Unis à San Francisco, Pantheon.io présente également une fausse déclaration de conformité qui n'a aucune valeur légale.
Quelles sont les conséquences de l'utilisation d'un hébergement non conforme au RGPD ?
Le sanctions administratives liés à la vie privée peuvent venir jusqu'à 20 millions euros et peut être égal à 2 % ou 4 % du chiffre d'affaires pour le business.
Pour être plus clair, dans le cas d'un exemple d'une petite entreprise qui facture 500 250 euros avec un bénéfice de 20 XNUMX euros, l'amende infligée serait de XNUMX XNUMX euros.
Le RGPD réglemente uniquement la sanctions administratives pécuniaires,Article 83 prévoit un montant égal au maximum à :
- 10 millions d'euros ou 2% du chiffre d'affaires année globale annuelle de l'année précédente pour les entreprises qui, par exemple, ne désignent pas de DPO, ne communiquent pas de violation de données à l'Autorité Garante, violer les conditions sur le consentement des mineurs ou traiter illégalement les données personnelles des utilisateurs ;
- 20 millions d'euros ou 4% du chiffre d'affaires pour les entreprises en cas, par exemple, de transfert illégal de données personnelles vers d'autres pays ou de non-respect d'une ordonnance imposée par le Garant.
En tout cas, le conséquences pour les entreprises et les professionnels ils commettent violations ils sont différents:
- pénalités criminelles;
- sanctions administratives;
- l'indemnisation du dommage en faveur de l'intéressé ;
- interdiction de traiter les données à caractère personnel jusqu'à ce que la situation de non-conformité soit corrigée.
En bref, ce n'est pas une blague ou quelque chose à prendre à la légère compte tenu des conséquences désastreuses potentielles que nous avons montrées ci-dessus avec un cas réel.
Des sanctions de ce type se produisent-elles souvent pour violation du RGPD ?
Ils vont de 8 mille à 11,5 Millions d'Euros les montants des amendes subies en 2019 par des PME, des Entreprises Individuelles, des Indépendants et des Entreprises non conformes au RGPD. Voici une liste concise des mesures d'injonction de sanctions administratives pécuniaires, émises par le Garant pour la protection des données personnelles (Garant de la confidentialité - Autorité de surveillance italienne), à la fois sur la base du règlement UE 2016/679 et sur la base du Code de la vie privée italien (décret législatif 196/2003 , modifié par le décret législatif 101/2018).
Dire qu'ils se produisent souvent pourrait donc être inexact, mais ils se sont certainement produits et peuvent se produire.
Le cas le plus fréquent est celui de l'évaluation par le Garant de la Vie Privée suite à des signalements (même anonymes) d'individus, de salariés insatisfaits, de concurrents.
En effet, il suffit d'envoyer un email (ou mieux PEC) à l'adresse du Garant de la Vie Privée pour pouvoir voir la demande enregistrée et donner matière à une demande d'évaluation qui, si elle est fondée, peut entraîner une sanction.
Alors que faire si vous avez un site dans un hébergement non conforme au RGPD ?
Notre conseil est de vérifier que le fournisseur est conforme au GDPR et que l'hébergement final réside sur des serveurs européens (à l'intérieur des frontières) et gérés par des sociétés européennes.
Par exemple, nous qui sommes une entreprise européenne, nous nous approvisionnons auprès d'une autre entreprise européenne qui a des centres de données en Allemagne et en Finlande (pays européens).
Nous avons la TVA européenne, la société de datacenter dont nous sommes en colocation a la TVA européenne, la localisation physique des serveurs est sur le territoire européen.
Pour une plus grande protection, nous fournissons la documentation légale justificative et la documentation associée sur la gestion des Cookies, du RGPD et même le Document Programmatique sur la sécurité, non plus obligatoire mais toujours à valeur ajoutée.
Si ce n'est pas le cas et après une analyse minutieuse (nous vous conseillons toujours de faire effectuer la vérification par une personne actuellement non impliquée, pas un fournisseur par exemple) il s'avère que le site n'est pas conforme au RGPD vous devrez évaluer rapidement une alternative équivalente ou meilleure en termes de fonctionnalités, de performances et de fonctionnalités que ce que vous utilisez actuellement.
Nous pouvons vous accompagner dans cette démarche en vous proposant des solutions performantes et un stack logiciel compatible avec ceux indiqués ci-dessus tout en vous assurant une conformité pleine et entière à la réglementation RGPD.
Plus précisément, notre pile logicielle est basée sur NGINX, PHP-FPM, Varnish, ElasticSearch, REDIS et Memcache et est capable de remplacer tous les fournisseurs non conformes au RGPD répertoriés ci-dessus avec de meilleures performances.
Il faudra donc suite à la migration vers nos systèmes consulter tous les avis de confidentialité, afin de saisir plus d'informations sur les données pouvant être transférées à l'étranger, le lieu où elles sont transférées et les garanties de protection dont elles bénéficient. Celle-ci doit alors être portée à la connaissance des intéressés. Aussi les registres du propriétaire ou du gestionnaire du traitement ils devront être mis à jour en conséquence.