Bruxelles, le 19 Mai 2021 - Aujourd’hui, le Comité Européen de la Protection des Données (CEPD), composé de l’ensemble des autorités européennes de protection des données, a rendu un avis favorable sur la conformité du Code de Conduite CISPE au Règlement Général sur la Protection des Données (RGPD). Soumis par la CNIL au CEPD, le Code CISPE est le premier code paneuropéen de fournisseurs d’infrastructures cloud à atteindre cette étape. 

Le code pionnier de CISPE aide les organisations de toute l’Europe à accélérer le développement de services basés sur le cloud conformes au RGPD destinés aux consommateurs, entreprises et institutions. En choisissant des services déclarés conformes au code CISPE, les clients IaaS sont assurés de disposer d’infrastructures cloud fiables pour le traitement et la conservation des données personnelles dans le strict respect du RGPD. 

« Le RGPD constitue un progrès notable en matière de protection des données personnelles et le code CISPE clarifie les exigences de cette règlementation pour les fournisseurs d’infrastructures cloud », a déclaré Alban Schmutz, président de CISPE (Cloud Infrastructure Service Providers in Europe), l’association professionnelle à l’origine du code. « Le Code de Conduite CISPE sur la Protection des Données donne aux fournisseurs de services cloud un cadre de contrôle approuvé par les régulateurs Européens pour démontrer que leurs services cloud sont conformes aux exigences de la loi, et fournit des exemples concrets sur la manière dont clients et fournisseurs doivent protéger les données en vertu des règles du RGPD ». 

Le Code de Conduite CISPE se distingue de trois manières importantes. C’est le premier code, et le seul à ce jour, à se concentrer exclusivement sur le secteur des infrastructures cloud (Infrastructure-as-a-Service [IaaS]) et à couvrir les rôles et responsabilités spécifiques des fournisseurs IaaS. Le code CISPE crée la confiance pour les clients et leurs utilisateurs qu'un service IaaS déclaré est conforme au RGPD. Il garantit également que les fournisseurs de services d'infrastructure cloud procéderont à un traitement des données limité uniquement à ce qui est nécessaire pour maintenir ou fournir le service et qu’ils n'utiliseront pas les données personnelles de leurs clients à des fins de marketing ou de publicité. 

Bien que le RGPD ne l’exige pas, de nombreuses entreprises européennes veulent conserver la maîtrise de leurs données en s’assurant que celles-ci ne quittent pas l’UE. Le Code de Conduite CISPE propose aux clients IaaS des options claires de sélection des services qui permettent que les données soient traitées entièrement au sein de l’Espace Économique Européen. À ce titre, il défend aussi les meilleures pratiques en matière de protection des données qui appuient l’initiative européenne GAIA-X de développement des services européens de données sur le cloud. 

La conformité au Code de Conduite CISPE est vérifiée par des auditeurs indépendants externes agréés par l’Autorité de Protection des Données compétente. Agissant en tant qu’« Organismes de Contrôle », ceux-ci renforcent le niveau de fiabilité des services certifiés en vertu du code. Le Code de Conduite CISPE propose une gamme diversifiée d’organismes de contrôle indépendants, permettant un large choix de services et de niveaux de prix, pour répondre à la diversité des entreprises d’infrastructure cloud, des PMEs aux grands acteurs. 

« CISPE a été la première organisation tous secteurs confondus à travailler main dans la main avec le régulateur et les institutions européennes pour définir un code qui dépasse les exigences du RGPD pour protéger les intérêts des fournisseurs d’infrastructures, leurs clients et les utilisateurs finaux », ajoute Schmutz. 

« L’utilisation d’infrastructure cloud est devenu clé pour toute entreprise ou administration publique qui entreprend sa transformation digitale. Il est crucial que leurs données soient gérées de manière sécurisée et en conformité avec le RGPD » a commenté Eva Maydell, députée européenne. « C’est pourquoi, depuis le premier jour, j’ai soutenu le Code de Conduite CISPE sur la protection des données, et je suis particulièrement fière de voir aujourd’hui que leurs efforts constants on payé ».

Les fournisseurs d’infrastructure cloud qui déclarent des services en conformité avec le Code de Conduite CISPE bénéficient de l’appui pratique et opérationnel du Code CISPE tout en étant. tenus de respecter des règles exécutoires pour veiller à la conformité RGPD de leurs services. 

Des citations supplémentaires des Fournisseurs de Structures Cloud, de leurs clients et d’autres parties prenantes, y compris les Organes de Contrôle éventuels, sont disponibles dans une annexe. 

Le Code de Conduite CISPE relatif à la protection des données appuie l’application du Règlement Général de Protection des Données (RGPD) de l’Union européenne, notamment en ce qui concerne la protection des données. Le Code CISPE décrit les meilleurs pratiques en la matière et énonce des orientations pratiques de sorte que les fournisseurs de services d’infrastructure cloud peuvent élever le niveau de la protection des données et, de manière cruciale, assurer à leurs clients la transparence de leurs pratiques en définissant clairement le rôle et les responsabilités des fournisseurs et des clients et leurs domaines respectifs. Pour en savoir plus : https://cispe.cloud/code-of-conduct/ 

Les codes de conduite constituent des lignes directrices réglementées spécifiques à un secteur rédigées par des associations professionnelles ou des organismes représentatifs ; ils prennent en compte les caractéristiques spécifiques aux différents secteurs et activités concernés, ainsi que les besoins particuliers d’entreprises de tailles différentes, y compris les micro entrepreneurs et les petites et moyennes entreprises. Le fait d’appliquer un Code de Conduite permet aux organisations de toute l’Europe de mieux opérationnaliser la protection des données et de démontrer leur conformité au RGPD. Les codes de conduite sont approuvés par une autorité de protection des données agissant au nom des 27 autres autorités sur l’avis formel de l’EDPB.