RGPD et hébergement email : vos obligations légales expliquées

Le RGPD impose des règles strictes sur le traitement des données personnelles, y compris les emails. Utiliser Gmail ou Microsoft 365 pour vos communications professionnelles vous expose-t-il à des risques juridiques ? Décryptage.

Hébergement email conforme RGPD

Les emails contiennent des données personnelles

Un email professionnel contient généralement :

• Noms et prénoms (expéditeur, destinataire)
• Adresses email
• Contenu pouvant révéler des informations personnelles
• Pièces jointes (factures, contrats, documents d'identité...)
• Métadonnées (IP, horodatage, appareil utilisé)

Tout cela constitue des données à caractère personnel au sens du RGPD.

Vos obligations en tant que responsable de traitement

1. Base légale du traitement

Vous devez avoir une base légale pour traiter ces données (article 6 RGPD) :

• Exécution d'un contrat
• Intérêt légitime
• Obligation légale
• Consentement (rare pour les emails professionnels)

2. Information des personnes

Les personnes dont vous traitez les données doivent être informées (article 13 et 14 RGPD) :

• Qui est le responsable de traitement
• Finalités du traitement
• Durée de conservation
• Destinataires des données
• Transferts hors UE le cas échéant

3. Sécurité des données

Vous devez mettre en œuvre des mesures techniques et organisationnelles appropriées (article 32 RGPD) :

• Chiffrement des données
• Confidentialité, intégrité, disponibilité
• Capacité à restaurer les données
• Tests et évaluations réguliers

Le problème des transferts hors UE

Principe général

Le RGPD interdit par défaut les transferts de données personnelles vers des pays n'offrant pas un niveau de protection "adéquat" (article 44-49).

Les États-Unis : un cas particulier

Historique chaotique :

• 2015 – Invalidation du Safe Harbor (arrêt Schrems I)
• 2020 – Invalidation du Privacy Shield (arrêt Schrems II)
• 2023 – Nouveau cadre UE-US (Data Privacy Framework)

Le nouveau cadre est critiqué et pourrait être à nouveau invalidé. En attendant, la situation juridique reste incertaine.

Le Cloud Act : le vrai problème

Le Cloud Act américain (2018) permet aux autorités US d'exiger l'accès aux données détenues par des entreprises américaines, même si ces données sont stockées en Europe.

Cela crée un conflit direct avec le RGPD qui interdit de transmettre des données personnelles à une autorité étrangère sans base légale européenne.

Encadrer la sous-traitance (article 28)

Votre hébergeur email est un sous-traitant au sens du RGPD. Vous devez :

• Signer un contrat de sous-traitance (DPA - Data Processing Agreement)
• Vérifier les garanties de sécurité du sous-traitant
• Vous assurer qu'il ne fait pas appel à des sous-traitants non autorisés
• Pouvoir auditer ses pratiques

Ce que doit contenir le DPA

• Objet et durée du traitement
• Nature et finalité du traitement
• Types de données concernées
• Catégories de personnes concernées
• Obligations et droits du responsable
• Mesures de sécurité mises en œuvre

Les sanctions en cas de non-conformité

Le RGPD prévoit des sanctions dissuasives :

• Avertissements et mises en demeure de la CNIL
• Amendes jusqu'à 20 millions d'euros ou 4% du CA mondial
• Suspension des transferts de données
• Actions en justice des personnes concernées

Exemples de sanctions

• Google : 150 millions d'euros (CNIL, 2022) pour les cookies
• Meta : 1,2 milliard d'euros (DPC Irlande, 2023) pour transferts vers USA

La solution : héberger en Europe (ou mieux, en Suisse)

Pourquoi la Suisse ?

La Suisse bénéficie d'une décision d'adéquation de la Commission européenne. Les transferts vers la Suisse sont donc autorisés sans garanties supplémentaires.

De plus, la Suisse offre :

• Une législation de protection des données parmi les plus strictes (LPD)
• Pas de soumission au Cloud Act
• Une tradition de confidentialité reconnue mondialement
• Une stabilité juridique et politique

Pourquoi Infomaniak ?

• 100% des données en Suisse – Aucun transfert vers l'étranger
• Entreprise suisse indépendante – Pas de maison-mère américaine
• DPA conforme RGPD – Contrat de sous-traitance disponible
• Certifications ISO – 27001 (sécurité), 14001 (environnement)

Comment mettre votre messagerie en conformité

Étape 1 : Identifier les flux de données

Cartographiez où vont vos emails et les données qu'ils contiennent :

• Serveurs de messagerie (localisation)
• Sauvegardes (où sont-elles stockées ?)
• Applications tierces connectées
• Clients email utilisés

Étape 2 : Évaluer les risques

Pour chaque flux, posez-vous la question :

• Y a-t-il un transfert hors UE/EEE/Suisse ?
• Le sous-traitant est-il soumis au Cloud Act ?
• Les données sont-elles chiffrées ?

Étape 3 : Migrer si nécessaire

Si vos emails sont chez un hébergeur américain (Google, Microsoft), envisagez sérieusement une migration vers un hébergeur européen ou suisse.

Étape 4 : Documenter

Conservez la trace de vos choix et de vos analyses. En cas de contrôle, vous devez pouvoir justifier vos décisions.

FAQ juridique

Mon entreprise est petite, suis-je concerné ?

Oui. Le RGPD s'applique à toute organisation traitant des données personnelles, quelle que soit sa taille. Les obligations sont les mêmes.

Mes clients sont tous français, puis-je utiliser Gmail ?

Techniquement, leurs données sont transférées aux USA dès qu'elles sont sur les serveurs Google. Le lieu de résidence de vos clients n'y change rien.

Microsoft stocke mes données en Europe, c'est suffisant ?

Non. En tant qu'entreprise américaine, Microsoft reste soumise au Cloud Act, même pour les données stockées en Europe.

Conclusion

Le RGPD impose une vraie réflexion sur l'hébergement de vos emails professionnels. Les solutions américaines, malgré leur commodité, créent une zone grise juridique que beaucoup d'entreprises préfèrent éviter.

Choisir un hébergeur suisse comme Infomaniak, c'est la certitude d'une conformité RGPD sans ambiguïté. Vos données restent protégées par des lois respectueuses de la vie privée, hors d'atteinte des juridictions étrangères.

Choisir un hébergement conforme RGPD