Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Parmin Cloud est un hébergeur et fournisseur cloud iranien basé à Téhéran qui propose hébergement mutualisé, VPS, serveurs dédiés et CDN. Toute la puissance de calcul et le stockage se trouvent en Iran. Il n'existe aucune décision d'adéquation de la Commission européenne pour l'Iran, et les sanctions de l'Union compliquent fortement l'exécution des Clauses Contractuelles Types. Héberger des données personnelles d'Européens sur Parmin Cloud est donc difficilement justifiable sous Schrems II et exige en général un consentement explicite ou une dérogation contractuelle de l'Art. 49 RGPD.
Parmin Cloud (parmin.cloud) est un fournisseur cloud et d''hébergement basé à Téhéran. Il propose hébergement mutualisé, VPS, serveurs dédiés, stockage objet, bases de données managées et un CDN exploité depuis des centres de données situés en Iran. Le prestataire sert principalement des entreprises et organisations iraniennes qui ont besoin d''une infrastructure résiliente aux perturbations réseau extérieures. Le calcul, le stockage et le portail client sont opérés sous juridiction iranienne par une entité de droit iranien, sans implantation annoncée dans l''Espace économique européen.
En tant qu''hébergeur, Parmin Cloud traite adresses IP, identifiants d''authentification, données de facturation et l''ensemble des contenus uploadés par le client, qui peuvent contenir des données personnelles d''Européens, de salariés ou de visiteurs. Le portail client et les sites hébergés posent généralement des cookies de session de première partie, un jeton CSRF et des cookies d''affinité de load balancer. Les journaux d''audit et d''exploitation (logs HTTP, logs applicatifs) sont stockés en Iran. Les sauvegardes restent en Iran sauf si le client les exporte manuellement.
L''Iran ne bénéficie d''aucune décision d''adéquation au sens de l''Art. 45 RGPD. Les transferts relèvent donc du chapitre V. Après Schrems II (CJUE C 311/18) le responsable de traitement doit vérifier que le pays tiers offre un niveau de protection essentiellement équivalent à celui de l''UE, en tenant compte des lois locales de surveillance. L''Iran fait également l''objet de mesures restrictives de l''UE (règlements 359/2011 sur les violations graves des droits humains et 267/2012 sur les sanctions nucléaires), ce qui rend la conclusion et l''exécution des Clauses Contractuelles Types difficiles, voire interdites pour certaines relations commerciales.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Pour les sites hébergés qui s''adressent à des visiteurs européens, le responsable de traitement doit recueillir un consentement Art. 6(1)(a) RGPD pour tout cookie non essentiel servi via Parmin Cloud, et l''Art. 5(3) ePrivacy s''applique. Pour le transfert substantiel des données personnelles vers l''Iran, une base de l''Art. 6 ne suffit pas seule : le chapitre V doit être satisfait. En pratique, étant donné la difficulté d''opérer des CCT avec un sous traitant iranien, la seule voie réaliste pour des transferts continus est le consentement explicite de l''Art. 49(1)(a), après information claire de la personne sur l''absence d''adéquation et les risques.
Héberger sur Parmin Cloud signifie que les données européennes quittent physiquement l''EEE et tombent sous juridiction iranienne. La loi iranienne sur les crimes informatiques et la réglementation des télécommunications confèrent aux services de sécurité des pouvoirs d''accès étendus, sans contrôle indépendant équivalent à celui de l''UE. Des mesures supplémentaires comme le chiffrement de bout en bout avec clés détenues exclusivement par le client en UE, la pseudonymisation et le partitionnement peuvent, dans des scénarios étroits, mitiger le risque, mais les Recommandations 01/2020 du CEPD précisent que cela ne fonctionne que si le prestataire n''a aucun accès aux données en clair, condition rarement remplie.
Si vous devez utiliser Parmin Cloud, menez une AIPD complète et une analyse d''impact des transferts, documentez l''absence d''alternative EEE viable, signez des CCT (modules deux ou trois selon le rôle) dans la mesure permise par les sanctions, chiffrez toutes les données au repos et en transit avec des clés gérées par le client en UE et minimisez les données personnelles. Informez clairement les visiteurs dans la politique de confidentialité que les données sont hébergées en Iran sans adéquation, obtenez un consentement explicite Art. 49(1)(a) lorsque le transfert est l''objet principal et tenez vous prêt à rapatrier ou migrer les données en cas de durcissement des sanctions ou des autorités.
Les sites web utilisant Parmin Cloud doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est obligatoire avant tout traitement de données personnelles d'Européens sur Parmin Cloud. L'analyse doit acter l'absence de décision d'adéquation, évaluer l'impact des lois iraniennes de surveillance sur l'essence des droits du RGPD, examiner si les Clauses Contractuelles Types peuvent être effectivement opposées à un prestataire iranien sous les sanctions de l'UE (règlements 359/2011 et 267/2012) et envisager des mesures supplémentaires (chiffrement de bout en bout avec clés conservées en UE, pseudonymisation, fragmentation) pour atteindre un niveau de protection essentiellement équivalent. Dans la majorité des cas, la conclusion sera que les déploiements commerciaux ordinaires ne peuvent pas transférer licitement et doivent se limiter à des flux occasionnels couverts par l'Art. 49(1).
Exemple de texte de consentement
Ce site est hébergé sur Parmin Cloud, un fournisseur d'infrastructure basé en Iran. En poursuivant votre navigation vous acceptez que vos données personnelles soient stockées et traitées en Iran, pays sans décision d'adéquation et situé hors de l'Espace économique européen. Le transfert repose sur votre consentement explicite au sens de l'Art. 49(1)(a) RGPD et vous pouvez le retirer à tout moment. Nous ne pouvons pas garantir un niveau de protection essentiellement équivalent à celui de l'UE.
Domaines tiers contactes
parmin.cloudmy.parmin.cloudcdn.parmin.cloudapi.parmin.cloudCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| parmin_session | Session | Session | Customer portal authentication session cookie used to maintain a logged in state in my.parmin.cloud. Strictly necessary for service operation. |
| XSRF-TOKEN | Session | Session | Cross site request forgery protection token for portal and API requests. Strictly necessary security cookie. |
| parmin_lb | Session | Session | Load balancer affinity cookie that pins the visitor to a specific backend server. Strictly necessary for stable session handling. |
| parmin_locale | Persistent | 12 months | Stores the preferred user interface language (Persian or English) for the customer portal. Functional cookie subject to user information requirements. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
En tant qu'hébergeur et fournisseur cloud, Parmin Cloud traite tout ce que le client pousse sur la plateforme : adresses IP des visiteurs, identifiants d'authentification, cookies de session, données applicatives, fichiers uploadés, contenus de bases de données et sauvegardes. Le portail client dépose des cookies de session de première partie et un jeton CSRF pour l'authentification, et les sites hébergés héritent du comportement cookies configuré par le client. Les journaux d'exploitation (HTTP, système, audit) sont conservés sur des infrastructures situées en Iran à des fins de sécurité et de réponse à incident.
Oui, et il est plus exigeant que pour un hébergeur européen. Le site hébergé nécessite déjà un consentement Art. 6(1)(a) RGPD et Art. 5(3) ePrivacy pour tout cookie non essentiel. Surtout, chaque visite déclenche un transfert vers l'Iran, pays tiers sans adéquation : il faut donc en règle générale un consentement explicite au sens de l'Art. 49(1)(a) RGPD pour le transfert lui même. La politique de confidentialité doit indiquer clairement que les données sont hébergées en Iran, qu'aucune adéquation n'existe et que le niveau de protection ne peut être garanti équivalent à celui de l'UE.
Deux couches doivent être satisfaites. Couche un : une base de l'Art. 6 (souvent Art. 6(1)(b) pour la relation contractuelle et Art. 6(1)(a) pour les cookies et l'analyse côté visiteur). Couche deux : un mécanisme du chapitre V pour le transfert. Les CCT sont techniquement possibles mais leur exécution face à un sous traitant iranien est incertaine sous le régime des sanctions. En pratique, la plupart des responsables s'appuient sur le consentement explicite Art. 49(1)(a) ou sur la nécessité contractuelle Art. 49(1)(b) pour des flux occasionnels initiés par la personne concernée.
Héberger sur Parmin Cloud constitue en soi un transfert vers un pays tiers, toute l'infrastructure se trouvant en Iran. L'Iran n'a pas de décision d'adéquation, fait l'objet de mesures restrictives de l'UE (règlements 359/2011 et 267/2012) et applique des lois de surveillance accordant aux services de sécurité des pouvoirs étendus. Schrems II impose au responsable de traitement de vérifier que le pays tiers offre un niveau de protection essentiellement équivalent et de prévoir des mesures supplémentaires sinon. Pour l'Iran, la conclusion est généralement que les transferts commerciaux ordinaires ne satisfont pas cette exigence.
Oui. Le traitement implique un transfert vers un pays tiers non adéquat avec un risque élevé de surveillance, indicateur de risque élevé selon le CEPD. L'AIPD doit décrire les catégories de données, le volume, la conservation, les mesures techniques et organisationnelles ainsi qu'une analyse d'impact des transferts détaillée sous Schrems II. Elle doit aussi évaluer si des mesures supplémentaires (clés détenues par le client, pseudonymisation, fragmentation) peuvent ramener le transfert à un niveau essentiellement équivalent et prévoir un plan de sortie et de rapatriement clair.
Minimisez les données européennes stockées, chiffrez chaque jeu de données au repos et en transit avec des clés générées et conservées sur une infrastructure UE en dehors de Parmin Cloud, hachez côté client les identifiants et désactivez la télémétrie susceptible d'exfiltrer du texte clair. Signez le module CCT le plus opérant, journalisez chaque accès du prestataire, recueillez le consentement explicite Art. 49(1)(a) lorsque le transfert est la finalité principale et documentez l'ensemble dans l'AIPD, le registre des activités et l'analyse d'impact des transferts. Préparez la migration vers un hébergeur EEE comme état cible.
Oui et changer est souvent le choix le plus sûr. Des fournisseurs européens comme OVHcloud (France), Scaleway (France), Hetzner (Allemagne), IONOS (Allemagne), Aruba (Italie) ou UpCloud (Finlande) offrent VPS, serveurs dédiés et services managés équivalents, résidence des données dans l'EEE, DPA signés et CCT testées. Les offres de cloud souverain (Bleu, S3NS, Delos) ciblent des charges sensibles sous SecNumCloud (FR) ou C5 (DE). Ces options suppriment l'exposition aux sanctions iraniennes et au risque Schrems II tout en préservant la latence pour les visiteurs européens.
Traitez ce transfert comme à haut risque et nécessitant un suivi continu. Réexaminez AIPD, analyse d'impact des transferts et politique de confidentialité au moins tous les six mois et immédiatement en cas d'évolution des sanctions de l'UE contre l'Iran, de jurisprudence pertinente ou de modification de l'infrastructure ou des sous traitants de Parmin Cloud. Redemandez le consentement quand la base légale, la conservation ou les catégories de données changent. Tenez un plan de sortie écrit avec RTO et RPO concrets pour rapatrier rapidement les charges vers un hébergeur EEE.