RGPD et outils cloud : ce que les PME doivent savoir
Guide pratique de conformité RGPD pour les PME qui utilisent des outils cloud : Google Workspace, AWS et Shopify. Obligations, bonnes pratiques et pièges à éviter.
Mis à jour le 3 October 2023
Le RGPD s’applique aussi dans le cloud
Le Règlement Général sur la Protection des Données s’applique à toute entreprise qui traite des données personnelles de résidents européens, quel que soit l’outil utilisé. Utiliser Google Workspace, AWS ou Shopify ne vous exonère pas de vos obligations. Ces fournisseurs agissent en tant que sous-traitants de vos données, mais vous restez responsable du traitement. Ce guide clarifie vos obligations et les bonnes pratiques à mettre en place.
Votre rôle et celui de votre fournisseur cloud
Le RGPD distingue le responsable de traitement (vous) et le sous-traitant (votre fournisseur cloud). Vous décidez quelles données collecter, pourquoi et comment les traiter. Votre fournisseur cloud traite les données selon vos instructions et s’engage contractuellement sur les mesures de protection.
Chaque fournisseur cloud propose un avenant de traitement des données (DPA) qui formalise ces engagements. Google Workspace, AWS et Shopify ont tous un DPA conforme au RGPD. Vérifiez que vous avez accepté le DPA de chaque fournisseur que vous utilisez.
Les obligations concrètes pour les PME
Registre des traitements
Documentez chaque traitement de données personnelles : quelles données, pour quelle finalité, quelle base légale, quelle durée de conservation et quels sous-traitants. Ce registre est obligatoire pour toutes les entreprises, quelle que soit leur taille.
Information des personnes
Informez les personnes dont vous traitez les données : clients, prospects, employés. Votre politique de confidentialité doit être claire, accessible et complète. Elle doit mentionner les sous-traitants cloud que vous utilisez et les transferts de données hors UE.
Droits des personnes
Mettez en place des procédures pour répondre aux demandes d’exercice de droits : accès, rectification, suppression, portabilité. Vous avez un mois pour répondre. Google Workspace et Shopify fournissent des outils pour exporter et supprimer les données d’un utilisateur.
Sécurité des données
Mettez en place des mesures de sécurité adaptées aux risques : chiffrement, contrôle d’accès, sauvegardes, monitoring. Les fournisseurs cloud sécurisent l’infrastructure, mais la configuration et les usages relèvent de votre responsabilité.
Bonnes pratiques par outil
Google Workspace
Activez la 2FA pour tous les utilisateurs, configurez les régions de données pour stocker les données en Europe, limitez le partage externe de fichiers et mettez en place une politique de rétention des données avec Google Vault.
AWS
Chiffrez les données au repos et en transit, utilisez IAM avec le principe du moindre privilège, activez CloudTrail pour l’audit et configurez AWS Config pour surveiller la conformité de votre infrastructure.
Shopify
Configurez votre politique de confidentialité et votre bandeau de consentement cookies, limitez la collecte de données au strict nécessaire, mettez en place des procédures de suppression des données clients sur demande.
LCMH accompagne les PME dans la mise en conformité RGPD de leurs outils cloud.
Pour approfondir la sécurité Google Workspace, consultez notre article sur la protection des données dans Google Workspace.
Sources
- CNIL, RGPD : par où commencer. cnil.fr/fr/rgpd-par-ou-commencer
- CNIL, Sous-traitance. cnil.fr/fr/sous-traitance
- Google, GDPR and Google Workspace. cloud.google.com/privacy/gdpr
Questions fréquentes
- Les outils cloud américains sont-ils conformes au RGPD ?
- Les principaux fournisseurs cloud (AWS, Google, Microsoft) ont adapté leurs services au RGPD avec des avenants de traitement des données (DPA), des clauses contractuelles types et des options de stockage en Europe. La conformité dépend aussi de votre configuration et de vos pratiques internes.
- Faut-il un DPO pour utiliser des outils cloud ?
- La désignation d'un DPO (Délégué à la Protection des Données) est obligatoire pour les organismes publics et les entreprises dont l'activité principale implique un suivi régulier et systématique des personnes à grande échelle. Pour la plupart des PME, un référent RGPD interne suffit.
- Que faire en cas de violation de données dans le cloud ?
- Vous devez notifier la CNIL dans les 72 heures suivant la découverte de la violation si elle présente un risque pour les droits des personnes. Si le risque est élevé, vous devez aussi informer les personnes concernées. Documentez l'incident, les mesures prises et les conséquences.
Articles similaires
Sécuriser vos données d'entreprise avec Google Workspace
Comment Google Workspace protège les données de votre entreprise : chiffrement, authentification, conformité RGPD et bonnes pratiques de sécurité.
Sécuriser vos buckets S3 : les bonnes pratiques essentielles
Guide des bonnes pratiques de sécurité pour Amazon S3 : chiffrement, contrôle d'accès, versioning et monitoring pour protéger vos données.
AWS pour les startups : par où commencer
Guide pratique pour les startups qui démarrent sur AWS : compte, budget, services essentiels et pièges à éviter.
Pénurie de RAM 2026 : pourquoi vos serveurs vont coûter plus cher (et pourquoi migrer vers le cloud)
Les prix de la RAM ont doublé en 2026 à cause de l'IA. Analyse de la pénurie historique et pourquoi le cloud devient la seule option viable pour les PME.
Cybersécurité pour les PME : les 10 mesures essentielles
Les 10 mesures de cybersécurité que chaque PME devrait mettre en place pour se protéger contre les menaces les plus courantes.
Un datacenter consomme-t-il vraiment trop d'eau ? La comparaison avec un burger
Le débat sur la consommation d'eau des datacenters manque de perspective. Comparaison chiffrée entre Colossus 2 et l'industrie alimentaire.