Le recours au cloud RGPD soulève des questions juridiques que chaque organisation doit résoudre avant de migrer des données personnelles vers AWS, Azure ou Google Cloud. Les hyperscalers sont-ils sous-traitants ou responsables de traitement ? Leurs DPA sont-ils conformes à l’Art. 28 RGPD ? Où sont réellement hébergées les données ? Depuis l’arrêt Schrems II (CJUE, C-311/18, 16 juillet 2020) et l’adoption du Data Privacy Framework en juillet 2023, le cadre juridique des transferts vers les États-Unis a été clarifié, mais des zones de risque subsistent. Ce guide fait le point.
Points Clés
- Les fournisseurs cloud (AWS, Azure, GCP) agissent en qualité de sous-traitants au sens de l’Art. 28 RGPD pour les services d’infrastructure (IaaS) et de plateforme (PaaS).
- L’Art. 28 RGPD impose un contrat de sous-traitance avec des clauses obligatoires. Chaque hyperscaler propose un DPA standard qu’il convient de vérifier.
- Le Data Privacy Framework (DPF) UE-États-Unis permet les transferts vers les entreprises américaines certifiées, mais sa pérennité fait l’objet de recours (challenge possible devant la CJUE).
- Les certifications ISO 27001, SOC 2 et SecNumCloud offrent des niveaux de garantie différents : seul SecNumCloud exige l’immunité vis-à-vis des lois extraterritoriales.
Qualification des acteurs cloud : sous-traitant ou responsable ?
La qualification est déterminante pour les obligations respectives. L’Art. 4(8) RGPD définit le sous-traitant comme « la personne physique ou morale […] qui traite des données à caractère personnel pour le compte du responsable du traitement ».
IaaS/PaaS (infrastructure, stockage, bases de données) : AWS, Azure et GCP agissent en tant que sous-traitants. Ils traitent les données personnelles hébergées par le client exclusivement sur instruction de celui-ci. Le client reste responsable de traitement pour ses propres données.
SaaS (applications cloud) : la qualification dépend du service. Un éditeur SaaS peut être sous-traitant (il traite les données pour le compte du client) ou responsable conjoint (il détermine certaines finalités du traitement). Le CEPD (EDPB) a précisé dans ses lignes directrices 07/2020 que la qualification dépend du degré d’autonomie dans la détermination des finalités et des moyens essentiels du traitement.
Données de fonctionnement : pour les données collectées par le cloud provider lui-même (logs d’utilisation, données de facturation, télémétrie), celui-ci agit généralement en qualité de responsable de traitement. Ces traitements doivent être documentés dans le DPA.
Les obligations contractuelles de l’Art. 28
L’Art. 28(3) RGPD impose un contrat de sous-traitance contenant des clauses obligatoires. Voici comment les trois hyperscalers s’y conforment :
Clauses obligatoires et conformité des DPA
| Clause Art. 28(3) | AWS | Azure | GCP |
|---|---|---|---|
| Traitement sur instruction documentée (a) | Oui (DPA §2) | Oui (DPA §5) | Oui (DPA §5.2) |
| Confidentialité du personnel (b) | Oui | Oui | Oui |
| Mesures de sécurité © | ISO 27001, SOC 2 | ISO 27001, SOC 2 | ISO 27001, SOC 2 |
| Sous-traitants ultérieurs (d) | Liste publique + notification | Liste publique + 6 mois préavis | Liste publique + notification |
| Assistance droits des personnes (e) | Oui (fonctionnalités client) | Oui | Oui |
| Suppression/restitution (g) | Oui (à la résiliation) | Oui | Oui |
| Audit (h) | Via rapports SOC 2/ISO | Via rapports + audit sur site | Via rapports SOC 2 |
Point de vigilance : le droit d’audit (Art. 28(3)(h)) est le point de friction principal. Les hyperscalers proposent rarement un audit physique direct. Ils s’appuient sur les rapports de certification (ISO 27001, SOC 2) comme mécanisme de vérification. L’EDPB considère que cette approche est acceptable si le responsable de traitement conserve la possibilité d’un audit complémentaire en cas de besoin.
Localisation des données et choix de la région
Chaque hyperscaler propose des régions de data centers en Europe :
AWS : régions Paris (eu-west-3), Francfort (eu-central-1), Dublin (eu-west-1), Stockholm (eu-north-1), Milan (eu-south-1), Zurich (eu-central-2), Espagne (eu-south-2).
Azure : régions France Centre (Paris), France Sud, Allemagne West Central, Pays-Bas, Suède, Suisse.
GCP : régions europe-west1 (Belgique), europe-west3 (Francfort), europe-west9 (Paris), europe-north1 (Finlande).
Le choix d’une région UE garantit que les données au repos sont stockées dans l’UE. Cependant, certains services de support technique peuvent impliquer un accès depuis l’extérieur de l’UE. Les DPA prévoient généralement que ces accès sont encadrés par les clauses contractuelles types (CCT) ou le Data Privacy Framework.
Transferts hors UE : le cadre post-Schrems II
L’arrêt Schrems II (CJUE, C-311/18, 16 juillet 2020) avait invalidé le Privacy Shield, créant une insécurité juridique majeure pour les transferts internationaux vers les États-Unis. Depuis :
Data Privacy Framework (DPF) : adopté par décision d’adéquation de la Commission européenne le 10 juillet 2023, le DPF permet les transferts vers les entreprises américaines certifiées. AWS, Microsoft et Google sont tous trois certifiés DPF.
Risque résiduel : le DPF fait l’objet d’un recours devant la CJUE (affaire T-553/23). Si la CJUE l’invalide (« Schrems III »), les transferts devraient à nouveau reposer sur les CCT avec des mesures supplémentaires. Les organisations prudentes maintiennent un plan de contingence.
Mesures supplémentaires : indépendamment du DPF, l’EDPB recommande le chiffrement côté client (customer-managed encryption keys) pour les données sensibles hébergées chez un provider américain. Cette mesure empêche l’accès au contenu même en cas de réquisition judiciaire américaine.
Certifications et garanties de sécurité
ISO 27001 / ISO 27701
La certification ISO 27001 atteste d’un système de management de la sécurité de l’information conforme aux standards internationaux. L’ISO 27701, extension spécifique à la protection des données, est un signal de maturité supplémentaire. Les trois hyperscalers détiennent ces certifications pour leurs services principaux.
SOC 2 Type II
Les rapports SOC 2 Type II attestent de l’efficacité des contrôles de sécurité sur une période donnée (généralement 12 mois). Ils constituent l’outil principal pour satisfaire l’obligation d’audit de l’Art. 28(3)(h) RGPD sans audit physique.
SecNumCloud
La qualification SecNumCloud, délivrée par l’ANSSI, est le niveau de certification le plus exigeant. Elle garantit que le service cloud est opéré par une entité de droit européen, sans contrôle direct ou indirect d’une entité soumise à une législation extraterritoriale (FISA, CLOUD Act). En 2026, aucun hyperscaler américain n’est qualifié SecNumCloud. Des offres de cloud souverain (OVHcloud, Scaleway, 3DS Outscale) proposent ou visent cette qualification.
SecNumCloud est requis pour les données les plus sensibles : données de santé (HDS), données classifiées, certains traitements du secteur public.
Bonnes pratiques pour la conformité cloud RGPD
- Vérifier le DPA avant tout déploiement : s’assurer que les clauses de l’Art. 28(3) sont couvertes.
- Choisir une région UE et configurer les services pour maintenir les données en Europe.
- Activer le chiffrement côté client (customer-managed keys) pour les données sensibles.
- Documenter les sous-traitants ultérieurs : maintenir une liste à jour et activer les notifications de changement.
- Prévoir un plan de contingence en cas d’invalidation du Data Privacy Framework.
- Mettre à jour le registre : chaque service cloud utilisé doit figurer dans le registre des traitements avec sa qualification RGPD.
FAQ
AWS, Azure et Google Cloud sont-ils conformes au RGPD ?
Les trois hyperscalers proposent des services conformes au RGPD lorsqu’ils sont configurés correctement (région UE, DPA signé, mesures de sécurité activées). Cependant, la responsabilité de la conformité incombe au responsable de traitement (le client), pas au sous-traitant. Le provider fournit les outils ; le client doit les configurer correctement et documenter sa conformité.
Peut-on héberger des données de santé dans le cloud public ?
Oui, sous conditions strictes. En France, l’hébergement de données de santé est soumis à la certification HDS (Hébergeur de Données de Santé, Art. L.1111-8 du Code de la santé publique). AWS, Azure et GCP disposent de certifications HDS pour certaines de leurs régions françaises. Pour les données les plus sensibles, la doctrine de l’État recommande SecNumCloud.
Le Data Privacy Framework garantit-il la pérennité des transferts vers les États-Unis ?
Le DPF permet actuellement les transferts vers les entreprises américaines certifiées. Cependant, il fait l’objet d’un recours devant le Tribunal de l’UE (T-553/23). La prudence impose de ne pas dépendre exclusivement du DPF : maintenez des CCT en parallèle, activez le chiffrement côté client et ayez un plan de rapatriement des données en cas d’invalidation.
Faut-il auditer son fournisseur cloud ?
L’Art. 28(3)(h) RGPD impose au responsable de traitement de permettre et de contribuer à la réalisation d’audits. En pratique, les hyperscalers fournissent des rapports SOC 2 et ISO 27001 qui couvrent cette obligation. Un audit physique complémentaire peut être demandé dans des cas spécifiques (incident, données très sensibles) mais reste rarement praticable pour les services cloud globaux.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
