OVH et la protection des données à caractère personnel
Vous êtes client d’une entité européenne OVHcloud et utilisez uniquement des services OVHcloud hébergés dans des Centres de données européens (à l’exclusion de services hébergés dans le centre de données d’OVHcloud situé au Royaume-Uni)
En effet, dans ce cas, vos données restent hébergées dans l’Union européenne, OVHcloud s’interdisant d’en modifier unilatéralement la localisation et notamment de les transférer dans son centre de données au Royaume-Uni.
De plus, les équipes OVHcloud localisées au Royaume-Uni ne prendront pas en charge l’administration des services fournis aux clients européens (hors clients d’OVHcloud Royaume-Uni) hébergés dans des centres de données européens. Dès lors, aucun traitement des données associées audits Services ne sera opérable à distance depuis le Royaume-Uni.
Enfin, si OVHcloud devait recevoir une demande d’une autorité du Royaume-Uni visant à obtenir communication des données que vous hébergez dans l’un de ses centres de données européen, OVHcloud s’y opposerait, conformément à sa politique, sauf à ce que cette demande soit réalisée conformément à l’article 49 du RGPD ou dans le cadre d’un accord international, tel qu'un traité d'entraide judiciaire, en vigueur avec le Royaume-Uni.
Attention : Si vous intervenez depuis le Royaume-Uni sur les données et solutions que vous hébergez dans le cadre de vos services OVHcloud, ou que vous faites intervenir à ce titre un tiers prestataire localisé au Royaume-Uni, il conviendra de vous assurer que les garanties appropriées soient mises en place entre vous et ce prestataire.
Vous êtes client d’une entité européenne OVHcloud et utilisez des services hébergés dans le Centre de données OVHcloud situé au Royaume-Uni
Dans ce contexte, conformément à ses engagements contractuels, et en particulier l’article 6 « Localisation et transferts de données à caractère personnel » de l’annexe « Traitement de données à caractère personnel », OVHcloud mettrait en place un accord de transfert de données conforme aux clauses contractuelles types adoptées par la Décision n°2010/87/EU de la Commission européenne du 5 février 2010 (les «Clauses Contractuelles Types») ou équivalentes.
Néanmoins, si la mise en place de ces clauses contractuelles types demeure, conformément à l’article 46 du RGPD, un prérequis nécessaire aux transferts de données dans des pays tiers ne bénéficiant pas de décision d’adéquation, elle ne constitue pas systématiquement une garantie à elle seule suffisante ; des mesures supplémentaires pouvant s’avérer nécessaires.
À défaut de décision d’adéquation de la Commission européenne concernant le Royaume-Uni d’ici la fin de la période transitoire, il conviendra donc que vous vous assuriez qu’en complément des clauses contractuelles types susvisées, les mesures supplémentaires appropriées (telles que chiffrement de vos données) soient mises en place si nécessaire au regard de votre activité et du nouvel ordre juridique du Royaume-Uni.
À ce titre, OVHcloud vous invite à suivre les recommandations 01/2020 adoptées le 10 novembre 2020 par le Comité Européen de la Protection des Données.
De même, si vous intervenez depuis le Royaume-Uni sur les données et solutions que vous hébergez dans le cadre de vos services OVHcloud, ou que vous faites intervenir à ce titre un tiers prestataire localisé au Royaume-Uni, il conviendra de vous assurer, en l’absence de décision d’adéquation, que les garanties appropriées soient mises en place.
OVHcloud reste par ailleurs à votre disposition pour toute question concernant les mesures de sécurité mises en place par OVHcloud.
Vous êtes client de l’entité OVH Limited, entité OVHcloud établie au Royaume-Uni
De plus, dans la mesure où, en tant que société de droit anglais, OVH Limited relève de la juridiction du Royaume-Uni, elle peut être amenée à devoir répondre à des demandes des autorités, notamment judiciaire, du Royaume-Uni visant à obtenir communication des données hébergées par ses clients dans le cadre de ses services.
Dès lors, si la Commission européenne ne prononce pas de décision d’adéquation concernant le Royaume-Uni d’ici la fin de la période transitoire, et que vous souhaitez utiliser les services OVHcloud afin de traiter des données à caractère personnel soumises au RGPD, il conviendra, conformément à l’article 46 de ce règlement, que soient mises en place des garanties appropriées dans le cadre de l’utilisation de ces services.
À ce titre, OVH Limited vous accompagnera et mettra en œuvre un accord de transfert de données conforme aux clauses contractuelles types adoptées par la Décision n°2010/87/EU de la Commission européenne du 5 février 2010 (les «Clauses Contractuelles Types») ou équivalentes.
Néanmoins, si en ce cas, les clauses contractuelles types sont un prérequis nécessaire en application de l’article 46 du RGPD, elles ne constituent pas toujours une garantie à elle seule suffisante en cas de transfert vers des pays tiers ne bénéficiant pas de décision d’adéquation. Par conséquent, il vous appartiendra de mettre en place toutes les mesures supplémentaires (telles que chiffrement de vos données) qui pourraient s’avérer nécessaires au regard de vos activités de traitement et du nouveau droit applicable au Royaume-Uni.
À ce titre, OVHcloud vous invite à suivre les recommandations 01/2020 adoptées le 10 novembre 2020 par le Comité Européen de la Protection des Données.
OVHcloud reste par ailleurs à votre disposition pour toute question concernant les mesures de sécurité mises en place par OVHcloud.
Concernant les données à caractère personnel vous concernant et qu’OVHcloud traite en qualité de responsable du traitement
Les équipes d’OVH Limited, entité OVHcloud située au Royaume-Uni, peuvent participer aux activités de traitement de données susvisées.
Dans l’éventualité d’un défaut de décision d’adéquation de la Commission européenne concernant le Royaume-Uni à l’issue de la période transitoire, OVHcloud mettra en place des garanties appropriées conformément à l’article 46 du RGPD et aux engagements stipulés dans le cadre de la Partie 2 de l’Annexe Traitement de données à caractère personnel
Pour plus de détails concernant les données collectées et les traitements réalisés sur ces données, vous pouvez consulter la Partie 2 de l’Annexe Traitement de données à caractère personnel précitée, étant précisé que les données que vous hébergez et utilisez dans le cadre de vos services OVHcloud ne sont pas concernées.
Créé en 1999, OVH est aujourd’hui l’un des acteurs majeurs du cloud avec une présence dans 19 pays dans le monde. La satisfaction et la sécurité des données personnelles de nos plus d’un million de clients nous tiennent particulièrement à cœur.
Téléchargez notre documentation officielle

Lorsque vous décidez d’externaliser tout ou partie de l’hébergement des données traitées par votre organisation auprès des services d’OVH, vous faites le choix de nous confier une part de votre patrimoine informationnel. Nous sommes conscients des enjeux qu’une telle externalisation peut représenter pour votre structure, notamment en matière de conformité réglementaire. C’est pourquoi OVH vous met à disposition une information la plus complète possible sur les enjeux en matière de protection des données à caractère personnel.
Réglementations en matière de protection des données à caractère personnel
Il existe différents textes de portée internationale, européenne ou nationale qui sont aujourd’hui applicables en matière de protection des données à caractère personnel. Les principaux sont les suivants :
- Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
- Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogée le 25 mai 2018 par le Règlement (UE) 2016/679.
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
- Charte des droits fondamentaux de l’Union européenne (2012/C 326/02).
- Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.
OVH s’engage à se conformer aux obligations lui incombant en vertu des réglementations suscitées et, particulièrement, du Règlement général sur la protection des données (RGPD). C’est notamment grâce à cet engagement de conformité que les clients d’OVH sont également en mesure de respecter une partie de leurs obligations réglementaires. Nous encourageons vivement l’ensemble de nos clients à être particulièrement vigilant sur ces aspects de conformité. D’autres réglementations plus spécifiques peuvent aussi exister, notamment pour certaines catégories particulières de données à caractère personnel. C’est le cas pour les traitements de données de santé, de données de militaires, etc. Il appartient au client de bien identifier les réglementations applicables à ses activités, afin de s’y conformer. Bien choisir son prestataire, notamment en matière de cloud, est impératif pour respecter ses propres obligations en matière de protection des données à caractère personnel.
Le Data Protection Officer (DPO) d’OVH : un acteur au service quotidien de la protection des données
"OVH a fait le choix de procéder à la nomination d’un DPO, dont le rôle et les missions sont pour partie prévus par la réglementation européenne. Le DPO est parfaitement indépendant dans l’accomplissement de ses missions : il est le garant interne de la conformité des activités du groupe OVH en matière de traitement de données."
Grégory Gitsels - Data Protection Officer
Pleinement dédié à cette mission, Grégory Gitsels, DPO chez OVH, dispose des ressources nécessaires pour exercer son rôle sans conflits d’intérêts et en toute indépendance. Il conseille les opérationnels et dirigeants de l’entreprise, dans le respect des obligations et des bonnes pratiques que doit mettre en œuvre OVH en matière de protection des données à caractère personnel. En pratique, il sensibilise et forme régulièrement les salariés du groupe, répond à leurs demandes en matière de privacy, met en œuvre une démarche de « privacy by design » et de « privacy by defaut » notamment dans le développement des nouvelles offres proposées aux clients, assure les relations avec les autorités de contrôle... Il est également l’interlocuteur de l’ensemble des clients souhaitant disposer de garanties appropriées quant aux mesures mises en œuvre pour assurer leur conformité avec la réglementation, dont le RGPD.