OVH et la protection des données à caractère personnel
L’annexe « Traitement de de données à caractère personnel » OVHcloud évolue
L’annexe « Traitement de données à caractère personnel » OVHcloud (le « DPA ») évolue afin de prendre en compte les nouveaux prérequis applicables aux transferts de données à caractère personnel hors Union-Européenne, en particulier la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil (le « RGPD ») adoptée par la Commission européenne du 4 juin 2021.
Cliquez ici pour consulter la nouvelle version du DPA en vigueur à compter du 27 septembre 2021.
Veuillez noter que si vous utilisez ou souhaitez utiliser des services OVHcloud situés dans des centres de données non-européens pour traiter les données à caractère personnel soumises au RGPD, les nouvelles clauses contractuelles types précitées doivent être mises en œuvre, ainsi que toutes mesures supplémentaires qui pourraient être requises au regard des catégories de données concernées, et du droit ou des pratiques du pays tiers. Pour plus d’informations, veuillez contacter le délégué à la protection des données d’OVHcloud.
Si vous ne traitez pas de Données à caractère personnel soumises au RGPD via des Services OVHcloud situés dans des centres de données non-européens, le changement précité n'a pas d’impact.
Créé en 1999, OVH est aujourd’hui l’un des acteurs majeurs du cloud avec une présence dans 19 pays dans le monde. La satisfaction et la sécurité des données personnelles de nos plus d’un million de clients nous tiennent particulièrement à cœur.
Lorsque vous décidez d’externaliser tout ou partie de l’hébergement des données traitées par votre organisation auprès des services d’OVH, vous faites le choix de nous confier une part de votre patrimoine informationnel. Nous sommes conscients des enjeux qu’une telle externalisation peut représenter pour votre structure, notamment en matière de conformité réglementaire. C’est pourquoi OVH vous met à disposition une information la plus complète possible sur les enjeux en matière de protection des données à caractère personnel.
Réglementations en matière de protection des données à caractère personnel
Il existe différents textes de portée internationale, européenne ou nationale qui sont aujourd’hui applicables en matière de protection des données à caractère personnel. Les principaux sont les suivants :
- Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
- Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogée le 25 mai 2018 par le Règlement (UE) 2016/679.
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
- Charte des droits fondamentaux de l’Union européenne (2012/C 326/02).
- Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.
OVH s’engage à se conformer aux obligations lui incombant en vertu des réglementations suscitées et, particulièrement, du Règlement général sur la protection des données (RGPD). C’est notamment grâce à cet engagement de conformité que les clients d’OVH sont également en mesure de respecter une partie de leurs obligations réglementaires. Nous encourageons vivement l’ensemble de nos clients à être particulièrement vigilant sur ces aspects de conformité. D’autres réglementations plus spécifiques peuvent aussi exister, notamment pour certaines catégories particulières de données à caractère personnel. C’est le cas pour les traitements de données de santé, de données de militaires, etc. Il appartient au client de bien identifier les réglementations applicables à ses activités, afin de s’y conformer. Bien choisir son prestataire, notamment en matière de cloud, est impératif pour respecter ses propres obligations en matière de protection des données à caractère personnel.
Le Data Protection Officer (DPO) d’OVH : un acteur au service quotidien de la protection des données
"OVH a fait le choix de procéder à la nomination d’un DPO, dont le rôle et les missions sont pour partie prévus par la réglementation européenne. Le DPO est parfaitement indépendant dans l’accomplissement de ses missions : il est le garant interne de la conformité des activités du groupe OVH en matière de traitement de données."
Grégory Gitsels - Data Protection Officer
Pleinement dédié à cette mission, Grégory Gitsels, DPO chez OVH, dispose des ressources nécessaires pour exercer son rôle sans conflits d’intérêts et en toute indépendance. Il conseille les opérationnels et dirigeants de l’entreprise, dans le respect des obligations et des bonnes pratiques que doit mettre en œuvre OVH en matière de protection des données à caractère personnel. En pratique, il sensibilise et forme régulièrement les salariés du groupe, répond à leurs demandes en matière de privacy, met en œuvre une démarche de « privacy by design » et de « privacy by defaut » notamment dans le développement des nouvelles offres proposées aux clients, assure les relations avec les autorités de contrôle... Il est également l’interlocuteur de l’ensemble des clients souhaitant disposer de garanties appropriées quant aux mesures mises en œuvre pour assurer leur conformité avec la réglementation, dont le RGPD.
