@jeeynet @bortzmeyer @lanodan C'est une bonne question et je n'ai pas de réponse simple. Avant toute chose, je précise qu'il ne s'agit que de mon avis personnel, qu'il n'engage que moi, que malgré mon expérience dans le domaine je n'ai pas de véritable formation juridique et que je suis susceptible de me tromper. Ce qu'il faudrait c'est de la jurisprudence dans le domaine. Peut-être que ça existe, mais je n'en connais pas (et je n'ai pas beaucoup cherché). Bref, je vais axer mon raisonnement autours de ce que je connais le mieux, c'est à dire le RGPD, en supposant que dans un cadre pénal un raisonnement similaire sera tenu.

Je pense donc que la réponse va beaucoup dépendre de la situation et nécessite d'apprécier plusieurs éléments. Tout d'abord : est-ce que le RGPD est applicable ou non ? Autrement formulé : est-ce que confier à un hébergeur des données personnelles que l'on détient pour un usage strictement personnel ou domestique est ou non à un usage autre qui, si c'était le cas, constituerait un traitement soumis au RGPD.

Sur le plan purement technique, il y a bien transmission à un tiers (l'hébergeur), donc l'argument du traitement soumis au RGPD peut se défendre. Cependant, sur le plan juridique j'en suis beaucoup moins certain et je pense donc que la réponse peut varier en fonction de la nature exacte de la prestation d'hébergement. Je propose de se poser trois questions afin d'y répondre :
1. Est-ce que l'hébergeur a mis en place des mesures techniques et organisationnelles de protection de la vie privée et ces dernières sont-elles suffisantes ?
2. Est-ce que l'offre d'hébergement est générique ou bien est-elle spécifiquement dédiée aux nudes ou similaire ?
3. Est-ce que l'hébergeur se contente de l'hébergement technique de manière neutre ? Ceci appel deux sous-questions :
a. Est-ce que l'hébergeur scan les données hébergées ?
b. Est-ce que l'hébergeur réutilise les données à ses propres fins ?

Ainsi, dans le cas d'un hébergeur générique ayant mis en oeuvre des mesures techniques et organisationnelles de protection de la vie privée efficace, qui ne réutilise pas les données à ses propres fins et ne scan pas les données ou bien les scan exclusivement pour la recherches de virus/malwares, je pense qu'on pourrait retenir un usage strictement personnel ou domestique non soumis au RGPD. À l'inverse, dans le cas d'un hébergeur n'ayant pris aucune mesure de protection des données personnelles et réutilisant les données pour ses propres fins, je pense que l'on peut considérer qu'il y a un traitement soumis au RGPD, surtout si le service est dédié aux nudes.

Ceci mis au point, que dire du statut de l'hébergeur ? Dans le cas où le traitement n'est pas soumis au RGPD, je trouve que ça n'a pas de sens de lui attribuer un statut défini par le RGPD. Je propose donc de le voir comme un simple intermédiaire technique qui n'a pas de responsabilité spéciale dans l'affaire.
En revanche, dans le cas où il y aurait un traitement soumis au RGPD, il faut se poser la question de s'il est sous-traitant ou bien coresponsable de traitement voir, dans certains cas, responsable à part entière. Et c'est là que tout se complexifie encore plus.

Parce que oui, s'agissant des services cloud, la détermination des roles de chaque partie dépends de beaucoup de choses. L'analyse peut être longue et complexe mais, en règle générale, on tend à considérer qu'un prestataire SaaS est un sous-traitant. Cependant, ceci n'est pas automatique. En particulier, un hébergeur peut être considéré comme sous-traitant certaines parties propres à l'hébergement des données, mais aussi comme responsable de traitement à part entière pour les traitement découlant de la réutilisation des données de ses clients à ses propres fins (spoiler alert : chers hébergeurs, ne faites pas ça sans en parler à un avocat spécialisé avant).
Bref, c'est très complexe et il y a beaucoup d'éléments à prendre en compte. Afin d'avoir plus d'informations, je te propose de lire la section 3.2 du rapport (en anglais) de l'EDPB traitant de l'utilisation des services cloud par le secteur public.
https://edpb.europa.eu/news/news/2023/edpb-determines-privacy-recommendations-use-cloud-services-public-sector-adopts_en
https://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf
(nota : pour bien lire ce rapport, je recommande d'ouvrir les versions françaises et anglaises de l'article 4 du RGPD afin de bien identifier la signification des termes employés)

[…]
(suite dans le pouet suivant)