GDPR and cloud tools: what SMBs need to know

GDPR applies in the cloud too

Le Règlement Général sur la Protection des Données s’applique à toute entreprise qui traite des personal data de résidents européens, quel que soit l’outil utilisé. Utiliser Google Workspace, AWS ou Shopify ne vous exonère pas de vos obligations. Ces fournisseurs agissent en tant que subcontractors de vos données, mais vous restez responsable du traitement. Ce guide clarifie vos obligations et les bonnes pratiques à mettre en place.

Your role and your cloud provider’s role

Le RGPD distingue le data controller (vous) et le subcontractor (votre fournisseur cloud). Vous décidez quelles données collecter, pourquoi et comment les traiter. Votre fournisseur cloud traite les données selon vos instructions et s’engage contractuellement sur les mesures de protection.

Each cloud provider offers an amendment de traitement des données (DPA) qui formalise ces engagements. Google Workspace, AWS et Shopify ont tous un DPA conforme au RGPD. Verify que vous avez accepté le DPA de chaque fournisseur que vous utilisez.

Concrete obligations for SMBs

Processing register

Document chaque traitement de personal data : quelles données, pour quelle finalité, quelle base légale, quelle durée de conservation et quels subcontractors. Ce registre est obligatoire pour toutes les entreprises, quelle que soit leur taille.

Informing individuals

Inform the individuals whose data you process : clients, prospects, employés. Votre politique de confidentialité doit être claire, accessible et complète. Elle doit mentionner les subcontractors cloud que vous utilisez et les transferts de données hors UE.

Individual rights

Set up des procédures pour répondre aux demandes d’exercice de droits : accès, rectification, suppression, portabilité. Vous avez un mois pour répondre. Google Workspace et Shopify fournissent des outils pour exporter et supprimer les données d’un utilisateur.

Data security

Set up des mesures de sécurité adaptées aux risques : chiffrement, contrôle d’accès, sauvegardes, monitoring. Les fournisseurs cloud sécurisent l’infrastructure, mais la configuration et les usages relèvent de votre responsabilité.

Best practices by tool

Google Workspace

Enable la 2FA pour tous les utilisateurs, configurez les régions de données pour stocker les données en Europe, limitez le partage externe de fichiers et mettez en place une politique de rétention des données avec Google Vault.

AWS

Chiffrez les data at rest et en transit, utilisez IAM avec le principe du least privilege, activez CloudTrail pour l’audit et configurez AWS Config pour surveiller la conformité de votre infrastructure.

Shopify

Configure votre politique de confidentialité et votre bandeau de consentement cookies, limitez la collecte de données au strict nécessaire, mettez en place des procédures de suppression des données clients sur demande.

LCMH accompagne les PME in GDPR compliance for their cloud tools.

Pour approfondir la sécurité Google Workspace, consultez notre article sur la protection des données dans Google Workspace.

Sources

1. CNIL, RGPD : par où commencer. cnil.fr/fr/rgpd-par-ou-commencer
2. CNIL, Sous-traitance. cnil.fr/fr/sous-traitance
3. Google, GDPR and Google Workspace. cloud.google.com/privacy/gdpr