Le 9 février 2021, le Cloud Infrastructure Service Providers Europe (CISPE) a publié le tout premier code de conduite européen dédié aux fournisseurs de services d’infrastructures cloud, sous-traitants de données à caractère personnel.
Par une délibération n° 2021-065 du 3 juin 2021, la CNIL a approuvé ce code de conduite.
Le code de conduite, prévu à l’article 40 du RGPD, est un document qui peut être élaboré par des associations ou organismes représentant des catégories de responsables du traitement ou de sous-traitants.
L’objet d’un code de conduite est de « préciser les modalités d’application du RGPD » et de « contribuer à la bonne application du […] règlement » en définissant des règles spécifiques en matière de protection des données applicables à certaines catégories de responsables de traitement et de sous-traitants.
Le CISPE a publié le 9 février 2021 le tout premier code de conduite, outil de conformité à destination des fournisseurs d’infrastructures cloud. Son adhésion n’est pas obligatoire et ne vaut pas, de facto, conformité au RGPD. Il sera d’ailleurs effectif seulement lorsqu’un organisme de contrôle aura été institué par le CISPE et agréé par la CNIL.
Ce code a pour objet de fournir une meilleure compréhension des infrastructures cloud tout en aidant les fournisseurs desdites infrastructures à s’assurer du respect du RGPD et aider leurs clients à déterminer si les services proposés sont adaptés au traitement des données à caractère personnel qu’ils souhaitent effectuer. Pour y parvenir, le code permet de :
- Regrouper les bonnes pratiques
- Contribuer à démontrer la conformité au RGPD de l’adhérent (article 28 RGPD) et
- Envoyer un signal positif aux clients des fournisseurs Cloud.
Plus en détail, le code contient 5 parties relatives : au champ d’application, aux exigences en matière de protection des données et en matière de transparence des mesures de sécurité, aux modalités d’adhésion et au projet de gouvernance de ce code.
En somme, le code propose un « ensemble d’exigences » applicables aux fournisseurs cloud précisant la manière dont ils respecteront les obligations prévues par le RGPD.
Pour finir, les différentes annexes apportent des explications pratiques, exemples concrets, des bonnes pratiques et recommandations sur la documentation à mettre en place. Surtout, elles incluent des pratiques et des obligations techniques et organisationnelles en matière de sécurité, ainsi qu’une check-list de conformité, ce qui leur permettra d’adopter les mesures des sécurité pertinentes.
Lien vers la délibération : https://bit.ly/3yQV6dI
Lien vers le code de conduite : https://bit.ly/3e6dqHt
