Concrètement sur ce point, les CHATONS européens sont soumis au RGPD, de ce fait, les transferts de données personnelles (donc, dès qu’on trouve même que l’IP de l’utilisateur) hors-UE (pas seulement le lieu d’hébergement/stockage, mais la juridiction à laquelle est soumise le sous-traitant/destinataire) doivent être encadrés :
- soit par une décision d’adéquation avec l’UE : actuellement, tout l’EEE, la Suisse, l’Israël, le Japon, l’Angleterre, … (liste complète ici : Adequacy decisions)
- soit par des clauses contractuelles types signées entre le CHATONS et son sous-traitant… attention, certains modèles ne correspondent pas à ceux proposés par le CEPD (Transfert de données : les clauses contractuelles types (CCT) de la Commission européenne)
- soit une adéquation partielle : à ma connaissance, aujourd’hui, le Canada si un contrat commercial existe entre le CHATONS et le sous-traitant canadien
Le reste n’est pas encadré, il demande un consentement exceptionnel (donc, difficile d’avoir une « exception » pour un compte utilisateur d’un service SaaS d’un CHATONS qui héberge sur Google Cloud par exemple… l’exception, c’est vraiment un transfert unique). Ceci signifie clairement que sans cadre juridique valide, le transfert est illégal et il expose le CHATONS à des sanctions par la CNIL. La question de fond est quid de l’image de l’ensemble du collectif si un jour un CHATONS se fait épingler ?
Pour la question évoquée avec AWS et le SMTP, il faudrait dans ce cas que, outre la justification déjà exposée sur Git soit clairement exposée (démontrant le côté « nécessaire » à ce jour) et que les documents légaux (CCT notamment, contrat de sous-traitance « DPA »…) soient mis à disposition avec la candidature.
Les mentions d’informations publiques doivent elles-aussi préciser ces transferts hors Union européenne.