Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

L'emplacement d'un serveur et son importance pour le RGPD

0
Server Farm weltweit
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Article au format PDF
📄 Article au format PDF (uniquement pour les abonnés à la newsletter)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Les entreprises américaines ou chinoises vantent en particulier l'utilisation de serveurs en Europe pour leurs plateformes en ligne. Cela doit émettre une image de sérieux et prévenir la crainte que les données puissent être volées ou interceptées par des services secrets étrangers. Qu'est-ce que le lieu d'un serveur signifie techniquement pour l'accès aux données ?

Introduction

L'accord de protection des données personnelles informel entre l'UE et les États-Unis appelé Privacy Shield était toujours invalide. L'UE avait donc mis en place avec les États-Unis le cadre de confidentialité des données (Data Privacy Framework, DPF). Rien n'a changé. Les droits des citoyens européens concernés sont encore à un niveau bas et non conforme à la RGPD. Cela peut déjà être lu dans l'ordonnance présidentielle des États-Unis. De plus, il convient de noter que ce type d'ordonnance peut être révoqué à tout moment, par le président actuel ou un futur président américain.

Le lieu d'un serveur ne peut être déterminé de manière juridiquement fiable que par une garantie contractuelle auprès de tiers.

Voir par exemple Google Analytics.

La problématique des services de renseignement est seulement un sujet. Mentalement, beaucoup semblent se sentir mieux lorsque les données sont stockées dans l'UE ou traitées d'une autre manière (temporairement). Cependant, cette attitude mentale est inappropriée, comme il sera montré brièvement ci-dessous.

Qu'est-ce qu'un serveur ?

Un serveur est un Nuit de calcul. Il fournit un service ou plusieurs services. Lorsque les services sont utilisés sur Internet, il est nécessaire que le serveur soit accessible au public. Cela se fait en affectant une adresse réseau publique. L'adresse réseau dans le contexte d'Internet est également appelée adresse IP.

Théoriquement, l'ensemble du logiciel d'un service tourne sur un serveur dédié qui se trouve par exemple physiquement à Cologne. En pratique, la situation est souvent différente. Nous en reparlerons plus tard.

L'emplacement d'un serveur

Le lieu d'un serveur résulte d'une seule et unique information. Cette information est le lieu physique actuel d'un serveur. Ce n'est pas l'adresse IP qui lui est attribuée. Une même adresse IP peut être attribuée à un serveur 4711 en Allemagne dans une seconde et à un serveur 0815 au Texas dans la suivante. Le propriétaire des serveurs et des adresses IP peut modifier cette affectation d'adresses réseau accessibles du public aux serveurs à tout moment de manière arbitraire.

Un serveur ne peut donc pas être identifié à l'extérieur. Le propriétaire du serveur doit communiquer et s'engager contractuellement sur son emplacement. Chez les fournisseurs allemands ou européens, qui sont suffisamment petits, il est souvent possible de visiter le centre de données pour voir le serveur. Une protection appropriée au niveau logiciel (peut-être avec un dongle) garantirait peut-être que le serveur sur place ne serait pas remplacé par un autre serveur en un autre endroit, en effectuant une sauvegarde et en redirigeant le trafic réseau.

En essayant de générer une image IA pour cet article, on a également obtenu ceci:

La réorganisation de la carte du monde selon une présentation d'un IA. La mission était de prendre en compte l'Allemagne. (l'image a été traduite automatiquement).

Le prompt de cette image contenait un lien avec l'Allemagne, car c'est ma nationalité et cet article a été rédigé dans la langue locale. On voit une délabellisation d'un pays plus grand, vers le positif, on pourrait dire.

Traitement des données sur un serveur

Prenez l'exemple de Google Analytics comme service qui fonctionne sur un serveur en Irlande et est proposé pour votre site web. Vous intégrez un script Google Analytics dans votre site web. Maintenant, voici ce qui se passe lors du déploiement standard du plugin Google Analytics:

  1. Quelqu'un accède à votre site web.
  2. Votre site web charge le script de Google Analytics.
  3. Ce script établit une connexion à un serveur de Google Analytics (qui se trouve par exemple en Irlande).
  4. Le serveur Google Analytics en Irlande renvoie le code à votre serveur, sur lequel vous exécutez votre site Web (ou un service!), afin que votre site Web puisse suivre les utilisateurs Tracking appelé.
  5. Le visiteur de votre site Web (voir 1) clique et scrolle sur votre site Web et effectue peut-être des saisies dans un formulaire.
  6. Le petit programme reçu plus de 4 fois envoie maintenant les événements de suivi du visiteur de votre site web au serveur Google Analytics, qui se trouve en Irlande. Dans ce processus, l'adresse IP du visiteur de votre site web est automatiquement transmise au serveur Google. Il n'est pas possible d'y faire une exception.
  7. Le serveur Google en Irlande traite ces événements de suivi.

Cela sonne plutôt bien, même si la base juridique pour les points 6 et 7 doit être clarifiée. Comme base juridique, il ne reste plus que l'accord (ou un contrat) d'agrément. La justification supplémentaire et le thème des cookies nous laisserons ici, par souci de clarté, pour l'instant. Il existe de nombreux articles sur Dr. RGPD.

Analyse détaillée pour Google Analytics

Il n'est pas aussi simple que cela pour Google Analytics et de nombreux autres services. Pour le point 3, par exemple, il faut déterminer grâce à un service de routage, quel serveur a l'honneur de répondre à votre site web. Puisque l'adresse du plugin est google-analytics.com. dans l'exemple, cette adresse peut être redirigée vers n'importe quel serveur dans le monde (ou même dans l'univers) et cela se fait en temps réel à chaque fois que nécessaire.

Il est donc possible que d'autres serveurs soient impliqués jusqu'à ce que le serveur qui fournit les services Google Analytics pour votre site web soit trouvé. Dans ce processus, des données personnelles sont également échangées (par exemple l'adresse IP ou la signature du navigateur).

Au point 7 mentionné ci-dessus, le serveur du service traite la demande de votre site web. Dans l'exemple, il s'agit de sauvegarder un événement de suivi Google Analytics. Google reconnaît d'ailleurs, que toutes les données d'analyse de Google Analytics sont toujours traitées aux États-Unis. Par conséquent, d'autres serveurs qui cette fois-ci ne semblent pas se trouver ni en Irlande ni en Europe participent au traitement des données pour votre site web.

Les serveurs Google aux États-Unis peuvent à leur tour envoyer les données à n'importe quel autre serveur. Les données peuvent également être envoyées à n'importe quel sous-traitant de Google. Ces sous-traitants sont situés dans des pays comme

  • Philippines
  • L'Algérie
  • L'Argentine
  • Singapour
  • États-Unis
  • Australie
  • Brésil
  • Le Canada
  • Colombie,
  • Émirats arabes unis,
  • Israël,
  • Kénie
  • Et d'autres pays.

Dans tous ces pays, des données pourraient être envoyées potentiellement si votre site Web est attribué un serveur Google Analytics en Irlande comme fournisseur de services. Le traitement des données par le sous-traitant du contrat n'est pas expliqué par Google ou avec une grande précision. La responsabilité de la personne responsable, telle que vous (si vous utilisez les services Google auprès d'autres), ne pourrait donc pas être remplie.

Les sous-traitants et les sous-sous-traitants de commandes doivent recevoir et traiter des données à caractère personnel conformément au RGPD, ce qui doit être vérifié juridiquement et le plus souvent possible sur place par l'organisme responsable.

La vérification sur place auprès des sous-traitants est une sécurité supplémentaire qui augmente la sécurité juridique et dont l'obligation peut être déduite de l'article 28 du RGPD.

Pour chaque entreprise figurant sur la liste précédente, il faut vérifier si les règles de protection des données sont respectées. Même chose pour tout sous-traitant, qu'il soit situé où qu'il soit dans le monde. Cela s'applique uniquement aux données personnelles, mais qui semblent toujours être présentes dans le cas d'Google Analytics. Google peut par exemple identifier exactement qui vous êtes (nom et adresse) en utilisant votre adresse Gmail ou votre utilisation de Google Maps (favoris ?) et relier ces informations à votre adresse IP actuelle. Toute donnée qui entre en contact avec des données personnelles devient automatiquement une donnée personnelle. Voir par exemple Cookies et adresses IP.

Lorsqu'un exploitant de site Web souhaite consulter ou analyser les données (enregistrées par exemple avec Google Analytics) stockées à un moment ultérieur, les emplacements des données sont pertinents. Ces derniers sont souvent géographiquement répartis dans des applications techniques distribuées. D'un serveur en Irlande qui reçoit les données, il devient soudainement des serveurs du monde entier qui reçoivent les données. Qu'il s'agisse de stockage ou non, c'est sans rapport avec le concept de traitement des données (voir Art. 4, n° 2 RGPD). Même une simple prise en compte temporaire des données dans la mémoire d'œuvre pour un très court laps de temps peut poser problème, comme l'a constaté même la commission irlandaise des droits de l'homme jusqu'alors relativement libérale dans le WhatsApp-Fall.

L'accès à un serveur

Depuis la crise de Covid, tout le monde sait que l'on parle du concept d'home-office. Certains appellent cette forme de travail "travail à distance". On peut s'y connecter via Internet et accéder au réseau de l'entreprise.

Il est tout aussi possible d'accéder à un serveur comme le sait chaque propriétaire d'un site web ou utilisateur d'un service cloud. Il suffit de s'ouvrir une connexion sécurisée et on peut accéder au serveur. L'emplacement du serveur n'a pas la moindre importance. Evidemment, tout le monde qui a les informations d'accès pour un serveur peut y accéder depuis n'importe où dans le monde. Les messageries en ligne gratuites ou payantes sont des exemples de connexions à distance dont l'emplacement du serveur est complètement indifférent.

Avec des protocoles comme FTP et SCP, il est possible de récupérer des données d'un serveur ou de les y transférer. Ainsi, on peut modifier des services ou aspirer leurs données élevées.

Avec un accès SSH, on peut envoyer n'importe quelles commandes à un serveur en fonction des droits. SSH signifie Secure Shell. Avec un accès SSH sur un serveur, l'utilisateur travaille dans un terminal virtuel. Quel que soit le fait que ce terminal se trouve physiquement là où se trouve aussi l'utilisateur ou non, cela ne semble pas avoir d'importance.

L'accès à un serveur est potentiellement possible de n'importe quel endroit du monde. Les droits nationaux permettent également aux services secrets d'accéder à des serveurs en Europe.

La situation juridique est à examiner par nation.

Le seul véritable différence entre accès à distance et présence de l'utilisateur sur le site du serveur concerne la possibilité de modifier les composants matériels du serveur. C'est souvent nécessaire lorsque des composants défectueux ou obsolètes doivent être remplacés par de nouveaux éléments.

Conclusion

Le lieu d'un serveur ne dit rien sur les pays dans lesquels les données qui lui sont envoyées sont réellement traitées. L'emplacement du serveur peut rarement être déterminé avec certitude et doit être garanti contractuellement. Les serveurs des fournisseurs de services populaires changent souvent constamment.

Vers qui un serveur envoie les données qu'il reçoit, seul le prestataire de service, par exemple Google dans le cas d'Analytics Google, le sait. Qui sont les destinataires des données, seul le prestataire de service le sait également.

En raison de réglementations juridiques dans des États tiers, les services de renseignement ou d'autres autorités nationales peuvent accéder à n'importe quel serveur partout dans le monde. Avec un accès à distance, on peut accéder à tout serveur, qu'il se trouve où il se trouve physiquement.

Le responsable doit s'assurer que tous les destinataires de données respectent la DGSV et que tous les pays des destinataires de données disposent d'un niveau de protection approprié en vertu de la DGSV.

Computer-generiertes Bild
Alle Bilder in diesem Beitrag wurden von einem Computer-Programm erzeugt. Verwendet wurde das selbst entwickelte KI-System von Dr. DSGVO, ähnlich zu Midjourney. Die Bilder dürfen auf Webseiten frei verwendet werden, mit der Bitte, eine Verlinkung auf diesen Blog zu setzen.
About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

La formation de modèles d'intelligence artificielle: Qu'est-ce que cela signifie ?