21 mai 2022

HĂ©bergement RGPD

Voyons comment reconnaßtre un hébergement conforme au GDPR et quels sont les problÚmes les plus courants.

RGPD hébergeant le drapeau européen avec cadenas

RGPD signifie RÚglement général sur la protection des données.

Il s'agit d'une nouvelle législation imposée en Europe le 25 mai 2018 qui oblige les entreprises à protéger les données personnelles de leurs clients.

Le rÚglement général sur la protection des données (RGPD) est une loi sur la protection des données introduite par l'Union européenne en 2016. Il vise à protéger les données personnelles et la vie privée des citoyens de l'UE.

Le RGPD s'applique Ă  toutes les entreprises proposant des biens ou des services aux citoyens de l'UE, quel que soit leur emplacement. Elle s'applique Ă©galement aux entreprises qui surveillent le comportement des rĂ©sidents de l'UE, mĂȘme s'ils n'ont pas de prĂ©sence physique dans l'UE.

Voyons comment reconnaĂźtre un hĂ©bergement conforme RGPD et quels sont les problĂšmes les plus courants comme, par exemple, les dĂ©clarations fausses et trompeuses d'hĂ©bergement non conforme qui prĂ©tendent l'ĂȘtre.

Hébergement RGPD européen et sociétés d'hébergement européennes.

Un service d'hébergement conforme au RGPD doit principalement respecter deux principes. Celui de la territorialité et de la présence légale.

Avec le principe de territorialité, les données doivent nécessairement résider PHYSIQUEMENT à l'intérieur des frontiÚres européennes des pays membres appartenant à l'Union européenne.

Vous souhaitez faire confiance à une société d'hébergement suisse avec des serveurs sur le sol suisse ? Vous ne pouvez pas.

Voulez-vous faire confiance Ă  une sociĂ©tĂ© d'hĂ©bergement Ă  Saint-Marin avec des serveurs dans la rĂ©gion de Saint-Marin ? Vous ne pouvez pas.

Voulez-vous vous fier Ă  American Enterprise Hosting tel que WPENGINE, WordPress VIP, Fastly, Pantheon, RunCloud, CloudWays ? Non vous ne pouvez pas.

Les serveurs comme rĂ©pĂ©tĂ© doivent ĂȘtre sur le territoire europĂ©en et tous les services dĂ©crits ci-dessus utilisent des serveurs situĂ©s sur un territoire NON europĂ©en mais amĂ©ricain qui ne bĂ©nĂ©ficie plus du port franc qui a Ă©tĂ© crĂ©Ă© avec le bouclier de confidentialitĂ© effectivement aboli.

HĂ©bergement aux États-Unis et Privacy Shield.

Le Privacy Shield est (ou plutĂŽt Ă©tait) un cadre permettant le transfert de donnĂ©es personnelles de l'UE vers les États-Unis.

Le programme a Ă©tĂ© crĂ©Ă© en 2016 aprĂšs que la Commission europĂ©enne a constatĂ© que le programme Safe Harbor n'offrait pas une protection adĂ©quate aux citoyens de l'UE. Le Privacy Shield remplace le programme Safe Harbor et fixe des exigences plus strictes pour les entreprises souhaitant opĂ©rer aux États-Unis et fournir des services aux clients europĂ©ens.

Qu'est-ce que le Privacy Shield et Ă  quoi sert-il ?

Le Privacy Shield est un cadre qui permet aux entreprises de transfĂ©rer des donnĂ©es personnelles de l'UE vers les États-Unis. Il remplace un accord antĂ©rieur appelĂ© Safe Harbor, qui a Ă©tĂ© jugĂ© inadĂ©quat par les rĂ©gulateurs car il ne fournissait pas de garanties suffisantes pour les droits Ă  la vie privĂ©e des citoyens de l'UE. Le nouveau cadre a Ă©tĂ© Ă©laborĂ© par le dĂ©partement amĂ©ricain du Commerce et approuvĂ© par les responsables europĂ©ens en juillet 2016, aprĂšs des nĂ©gociations en cours depuis septembre 2015.

 

Quand le bouclier de protection de la vie privĂ©e a-t-il Ă©tĂ© aboli ?

Avec la arrĂȘt du 16 juillet 2020 dans l'affaire C-311/18 entre le Commissaire Ă  la protection des donnĂ©es / Maximilian Schrems et Facebook Ireland, la Cour de justice de l'Union europĂ©enne (CJUE) a dĂ©clarĂ© le bouclier de protection des donnĂ©es UE-États-Unis incompatible avec le RGPD et, par consĂ©quent, n'est plus valide.

La raison de cette dĂ©cision est que le niveau actuel de protection des donnĂ©es personnelles en vertu de la lĂ©gislation amĂ©ricaine ne peut ĂȘtre considĂ©rĂ© comme Ă©quivalent Ă  celui du RGPD. Cela est largement dĂ» aux programmes de surveillance amĂ©ricains et Ă  l'absence d'un mĂ©canisme adĂ©quat pour les utilisateurs europĂ©ens.

L'annulation du Privacy Shield a pris effet immĂ©diatement, ce qui signifie que le bouclier de protection des donnĂ©es n'est plus une base valable pour transfĂ©rer des donnĂ©es de l'UE vers les États-Unis.

 

Fausses déclarations de conformité GDPR par les sociétés d'hébergement et de services.

Pour comprendre cette Ă©tape, vous devez garder Ă  l'esprit un concept trĂšs simple : Il n'est pas illĂ©gal ou un crime pour une entreprise non europĂ©enne de vendre des services Ă  des entreprises europĂ©ennes.

D'autre part, il est illégal et criminel pour une entreprise européenne d'acheter des services à des entreprises non européennes et non certifiées GDPR.

Sur cette asymĂ©trie, les fausses dĂ©clarations de conformitĂ© des entreprises qui prĂ©tendent ĂȘtre conformes au rĂšglement RGPD sont en jeu.

Prenons par exemple VIP WordPress, le service d'hébergement d'entreprise développé par AUTOMATTIC, la société qui produit et développe WordPress pour ainsi dire.

En lisant leur dĂ©claration concernant WordPress VIP et GDPR, nous avons les concepts suivants (traduits avec Google Translate pour plus de commoditĂ©) :

Le rÚglement général sur la protection des données en Europe (alias GDPR) est un rÚglement de confidentialité de grande envergure qui est entré en vigueur en mai 2018.

Cette page fournit des informations sur la loi et nos plans pour mettre en Ɠuvre les principes importants du GDPR pour les produits et services WordPress VIP, y compris WordPress.com et VIP Cloud. Nous travaillons actuellement Ă  ajouter des fonctionnalitĂ©s pour amĂ©liorer le choix des utilisateurs et apporter une plus grande transparence Ă  nos pratiques concernant la collecte, le stockage et l'utilisation de vos donnĂ©es.

Par exemple, pour votre commodité, nous avons maintenant un addenda disponible pour le traitement des données WordPress VIP. Si votre entreprise étudie comment confirmer la conformité du fournisseur au RGPD, ce document peut vous aider car il aborde les nuances particuliÚres des services d'hébergement.

Les produits et services WordPress VIP sont conformes au RGPD et respecteront les dates fixées par l'Union européenne.

Nous fournirons également des outils et des informations supplémentaires dans afin que les utilisateurs de nos services puissent prendre les mesures nécessaires pour se conformer à la loi, si nécessaire.

De prime abord, on pouvait donc se fier sans crainte compte tenu de la taille et de la notoriété de l'entreprise qui nous le communique, du ton et de la teneur du propos qui ne lui laisse aucune interprétation.

Mais en sommes-nous vraiment sûrs ? Pouvons-nous vraiment nous rassurer et ne pas risquer une amende de 4% de notre chiffre d'affaires ?

Voyons mieux et voyons qui est WordPress VIP et qui est AUTOMATTIC.

Dans leur pied de page, nous voyons immédiatement que leur raison sociale est manquante, leur adresse est manquante et leur code TVA est manquant. Il serait impossible pour une entreprise européenne d'opérer sur les marchés européens sans faire apparaßtre de maniÚre éloquente cette information OBLIGATOIRE dans le pied de page.

Allons voir si au moins AUTOMATTIC a un siÚge européen, une succursale ou une succursale en allant sur leur site automattic.com

Dans ce cas également aucune information de nature juridique sur leur site qui pourrait identifier une société constituée en Europe, mais seulement une Automattic Inc et rien de plus.

La recherche sur le net sur Google ne ressort pas une seule rĂ©fĂ©rence Ă  une branche europĂ©enne d'AUTOMATTIC mais au contraire tout semble ramener Ă  la seule Automattic INC basĂ©e Ă  San Francisco aux États-Unis.

Automattique INC

Ce n'est évidemment pas à nous d'aller juger des raisons pour lesquelles une entreprise comme AUTOMATTIC n'ouvre pas de succursale européenne afin d'opérer sereinement avec leurs services, cependant à ce jour 21 mai 2022 ce sont les faits documentés et documentables.

Il en va de mĂȘme pour les services de configuration d'hĂ©bergement gĂ©rĂ© qui utilisent plusieurs emplacements et plusieurs fournisseurs.

Cela vaut la peine de passer quelques lignes sur ces fournisseurs comme RunCloud o CloudWays par exemple qu'ils offrent en fait une plate-forme d'hébergement géré pour déployer des applications populaires basées sur PHP sur l'hébergement d'infrastructure en quelques clics.

Dit de maniĂšre trĂšs simple si vous souhaitez installer et configurer des instances Cloud pour des projets PHP, mais que vous n'ĂȘtes pas un ingĂ©nieur systĂšme et que vous ne voulez pas devenir fou en configurant Database, Web Server ou Cache Varnish, ces systĂšmes permettent, sur enregistrement et paiement du service, pour allouer une 'instance parfaitement configurĂ©e sur diffĂ©rents fournisseurs d'hĂ©bergement cloud tels que Linode, Vultr, AWS, Google Cloud, etc.

 

Comme nous connaissons tous ces fournisseurs, au moins Ă  coup sĂ»r Vultr, AWS et Google Cloud ils ont diffĂ©rentes rĂ©gions divisĂ©es en continents et donc nous avons tendance Ă  penser que si nous utilisions RunCloud ou CloudWays pour gĂ©nĂ©rer des instances peut-ĂȘtre sur AWS Ă  Milan (oui AWS a Ă©galement des rĂ©gions en Italie Ă  Milan), nous pourrions en fait ĂȘtre conformes au RGPD en termes de physiques les applications exĂ©cutĂ©es sur le territoire intra-communautaire et donc europĂ©en.

Le raisonnement à premiÚre vue peut sembler absolument correct et linéaire, dommage qu'en entrant dans un examen technique les choses soient un peu plus complexes qu'il n'y paraßt.

En fait, RunCloud et CloudWays ne sont pas de simples "créateurs" d'instances mais en fait ce sont des services PaaS (Platform as a service) qui vivent en pleine symbiose avec l'instance créée.

Bref, il n'est pas possible de créer une instance avec RunCloud et CloudWays, de désactiver les deux services puis de continuer à utiliser l'instance créée, à la place il faut continuer à utiliser l'instance passant par le service initial tel que RunCloud et Cloudways qui auront accÚs à votre instance via leur API et pourront en effet effectuer des opérations sur votre instance sans se soucier des lois européennes.

AprÚs tout, RunCloud et CloudWays n'ont pas de siÚge social, de succursales ou de succursales sur le territoire européen.

RunCloud RGPD

Plus précisément RunCloud est une société basée en Malaisie ; par conséquent, il n'est absolument pas conforme au RGPD bien que sur leur site ils essaient de cacher le problÚme avec des informations confuses et trompeuses.

Avoir un siÚge social en Malaisie et des clients dans l'UE, par conséquent, comme indiqué ci-dessus, n'est pas leur problÚme mais celui de vous, clients européens, qui ne respectent pas les exigences européennes.

CloudWays RGPD

CloudWays est spécifiquement une société basée à Malte ; par conséquent, comme c'est le cas avec RunCloud, il n'est absolument pas conforme au GDPR, bien que sur leur site, ils essaient de masquer le problÚme avec des informations confuses et trompeuses.

Être basĂ© Ă  Malte et avoir des clients dans l'UE, comme indiquĂ© ci-dessus, n'est donc pas leur problĂšme, mais vos clients europĂ©ens qui ne respectent pas les exigences europĂ©ennes.

Comme nous l'avons vu, il est courant d'essayer de convaincre un client potentiel que l'entreprise se conforme aux exigences du RGPD, vantant de bonnes intentions et de nombreuses belles paroles qui sont cependant dépourvues d'efficacité et de valeur juridique.

Il ne suffit pas de dire « nous nous engageons », « nous faisons », « nous sommes de bonnes personnes » pour ĂȘtre en conformitĂ© avec une loi.

Des exigences formelles et substantielles doivent ĂȘtre remplies : donnĂ©es et centres de donnĂ©es sur le territoire europĂ©en (dans un des pays membres de l'UE), et sociĂ©tĂ©s, succursales, succursales, succursales Ă©tablies en Europe dans un pays membre et TVA europĂ©enne liĂ©e. Toute personne ne respectant pas ces deux conditions est automatiquement considĂ©rĂ©e comme non conforme Ă  la loi RGPD.

Si Automattic ou tout autre hĂ©bergement non conforme au RGPD mentionnĂ© dans cet article devait fonctionner dans le respect de la rĂ©glementation sur la protection des DONNÉES, nous prendrions soin de rectifier l'article et d'apporter les modifications nĂ©cessaires.

Voyons ci-dessous, ceux qui sont des hébergements WordPress non conformes et conformes au RGPD.

Rapidement RGPD.

Comme nous pouvons le voir sur leur site Web, ils ont des bureaux dans les endroits suivants, aucun dans l'Union européenne.

La recherche sur Google ne révÚle en aucun cas la présence de succursales, succursales ou succursales à TVA européenne.

Rapidement RGPD

WP Engine RGPD

WP Engine est un fournisseur d'hébergement WordPress à Austin au Texas avec une succursale au Royaume-Uni. Avec le Brexit donc, force est de constater qu'il n'y a pas de positions européennes.

Maison de la porte de fer, 22-30 Place du Duc
Londres, EC3A 7LP Royaume-Uni

Aller voir la liste de leurs sous-traitants c'est encore plus éloquent, répertoriant exclusivement des sous-traitants non européens.

Pantheon.io HĂ©bergement RGPD

Bien que Pantheon.io soit basĂ© aux États-Unis Ă  San Francisco, Pantheon.io prĂ©sente Ă©galement une fausse dĂ©claration de conformitĂ© qui n'a aucune valeur lĂ©gale.

Panthéon RGPD

 

Quelles sont les consĂ©quences de l'utilisation d'un hĂ©bergement non conforme au RGPD ?

Le sanctions administratives liĂ©s Ă  la vie privĂ©e peuvent venir jusqu'Ă  20 millions euros et peut ĂȘtre Ă©gal Ă  2 % ou 4 % du chiffre d'affaires pour le business.

Pour ĂȘtre plus clair, dans le cas d'un exemple d'une petite entreprise qui facture 500 250 euros avec un bĂ©nĂ©fice de 20 XNUMX euros, l'amende infligĂ©e serait de XNUMX XNUMX euros.

 

Le RGPD rĂ©glemente uniquement la sanctions administratives pĂ©cuniaires,Article 83 prĂ©voit un montant Ă©gal au maximum Ă  :

  • 10 millions d'euros ou 2% du chiffre d'affaires annĂ©e globale annuelle de l'annĂ©e prĂ©cĂ©dente pour les entreprises qui, par exemple, ne dĂ©signent pas de DPO, ne communiquent pas de violation de donnĂ©es Ă  l'AutoritĂ© Garante, violer les conditions sur le consentement des mineurs ou traiter illĂ©galement les donnĂ©es personnelles des utilisateurs ;
  • 20 millions d'euros ou 4% du chiffre d'affaires pour les entreprises en cas, par exemple, de transfert illĂ©gal de donnĂ©es personnelles vers d'autres pays ou de non-respect d'une ordonnance imposĂ©e par le Garant.

En tout cas, le consĂ©quences pour les entreprises et les professionnels ils commettent violations ils sont diffĂ©rents:

  • pĂ©nalitĂ©s criminelles;
  • sanctions administratives;
  • l'indemnisation du dommage en faveur de l'intĂ©ressĂ© ;
  • interdiction de traiter les donnĂ©es Ă  caractĂšre personnel jusqu'Ă  ce que la situation de non-conformitĂ© soit corrigĂ©e.

En bref, ce n'est pas une blague ou quelque chose à prendre à la légÚre compte tenu des conséquences désastreuses potentielles que nous avons montrées ci-dessus avec un cas réel.

Des sanctions de ce type se produisent-elles souvent pour violation du RGPD ?

Ils vont de 8 mille Ă  11,5 Millions d'Euros les montants des amendes subies en 2019 par des PME, des Entreprises Individuelles, des IndĂ©pendants et des Entreprises non conformes au RGPD. Voici une liste concise des mesures d'injonction de sanctions administratives pĂ©cuniaires, Ă©mises par le Garant pour la protection des donnĂ©es personnelles (Garant de la confidentialitĂ© - AutoritĂ© de surveillance italienne), Ă  ​​la fois sur la base du rĂšglement UE 2016/679 et sur la base du Code de la vie privĂ©e italien (dĂ©cret lĂ©gislatif 196/2003 , modifiĂ© par le dĂ©cret lĂ©gislatif 101/2018).

Dire qu'ils se produisent souvent pourrait donc ĂȘtre inexact, mais ils se sont certainement produits et peuvent se produire.

Le cas le plus frĂ©quent est celui de l'Ă©valuation par le Garant de la Vie PrivĂ©e suite Ă  des signalements (mĂȘme anonymes) d'individus, de salariĂ©s insatisfaits, de concurrents.

En effet, il suffit d'envoyer un email (ou mieux PEC) à l'adresse du Garant de la Vie Privée pour pouvoir voir la demande enregistrée et donner matiÚre à une demande d'évaluation qui, si elle est fondée, peut entraßner une sanction.

Alors que faire si vous avez un site dans un hébergement non conforme au RGPD ?

Notre conseil est de vérifier que le fournisseur est conforme au GDPR et que l'hébergement final réside sur des serveurs européens (à l'intérieur des frontiÚres) et gérés par des sociétés européennes.

Par exemple, nous qui sommes une entreprise européenne, nous nous approvisionnons auprÚs d'une autre entreprise européenne qui a des centres de données en Allemagne et en Finlande (pays européens).

Nous avons la TVA européenne, la société de datacenter dont nous sommes en colocation a la TVA européenne, la localisation physique des serveurs est sur le territoire européen.

Pour une plus grande protection, nous fournissons la documentation lĂ©gale justificative et la documentation associĂ©e sur la gestion des Cookies, du RGPD et mĂȘme le Document Programmatique sur la sĂ©curitĂ©, non plus obligatoire mais toujours Ă  valeur ajoutĂ©e.

Si ce n'est pas le cas et aprÚs une analyse minutieuse (nous vous conseillons toujours de faire effectuer la vérification par une personne actuellement non impliquée, pas un fournisseur par exemple) il s'avÚre que le site n'est pas conforme au RGPD vous devrez évaluer rapidement une alternative équivalente ou meilleure en termes de fonctionnalités, de performances et de fonctionnalités que ce que vous utilisez actuellement.

Nous pouvons vous accompagner dans cette démarche en vous proposant des solutions performantes et un stack logiciel compatible avec ceux indiqués ci-dessus tout en vous assurant une conformité pleine et entiÚre à la réglementation RGPD.

Plus précisément, notre pile logicielle est basée sur NGINX, PHP-FPM, Varnish, ElasticSearch, REDIS et Memcache et est capable de remplacer tous les fournisseurs non conformes au RGPD répertoriés ci-dessus avec de meilleures performances.

Il faudra donc suite Ă  la migration vers nos systĂšmes consulter tous les avis de confidentialitĂ©, afin de saisir plus d'informations sur les donnĂ©es pouvant ĂȘtre transfĂ©rĂ©es Ă  l'Ă©tranger, le lieu oĂč elles sont transfĂ©rĂ©es et les garanties de protection dont elles bĂ©nĂ©ficient. Celle-ci doit alors ĂȘtre portĂ©e Ă  la connaissance des intĂ©ressĂ©s. Aussi les registres du propriĂ©taire ou du gestionnaire du traitement ils devront ĂȘtre mis Ă  jour en consĂ©quence.

Vous avez des doutes ? Vous ne savez pas par oĂč commencer ? Contactez-nous


Nous avons toutes les réponses à vos questions pour vous aider à faire le bon choix.

Discute avec nous

Discutez directement avec notre support avant-vente.

0256569681

Contactez-nous par téléphone pendant les heures de bureau 9h30 - 19h30

Contactez-nous en ligne

Ouvrez une demande directement dans l'espace contact.

INFORMATIONS

ManagedServer.it est le premier fournisseur italien de solutions d'hébergement hautes performances. Notre modÚle d'abonnement est abordable et prévisible, afin que les clients puissent accéder à nos technologies d'hébergement fiables, à nos serveurs dédiés et au cloud. ManagedServer.it offre également d'excellents services d'assistance et de conseil sur l'hébergement des principaux CMS Open Source tels que WordPress, WooCommerce, Drupal, Prestashop, Magento.

JUSTE UN MOMENT !

Souhaitez-vous voir comment votre WooCommerce fonctionne sur nos systĂšmes sans avoir Ă  migrer quoi que ce soit ? 

Entrez l'adresse de votre site WooCommerce et vous obtiendrez une démonstration navigable, sans avoir à faire absolument quoi que ce soit et entiÚrement gratuite.

Non merci, mes clients préfÚrent le site lent.
Retour en haut de page