CNIL & code de conduite européen pour les IaaS

La CNIL approuve le premier code de conduite européen dédié aux fournisseurs de services d’infrastructure cloud (IaaS)

Ce code, porté par Cloud Infrastructure Service Providers Europe (CISPE), s’adresse aux fournisseurs de services d’infrastructure cloud situés sur le territoire de l’Union européenne. Il apporte une dimension opérationnelle aux principes européens et nationaux de la protection des données.

QU’EST-CE QU’UN CODE DE CONDUITE ?

Un code de conduite est un outil prévu par le règlement général sur la protection des données (RGPD) qui permet de répondre aux besoins opérationnels de professionnels dans leur mise en conformité. Il permet notamment de construire un socle commun de bonnes pratiques, de contribuer à démontrer sa conformité au RGPD et d’envoyer un signal positif aux clients et aux professionnels du secteur d’activité concerné.

Tel que prévu par le RGPD, le code de conduite s’impose à ceux qui y adhèrent. En effet, il oblige les adhérents à se conformer aux règles écrites au sein du code et à accepter qu’un organisme tiers contrôle sa bonne application (à l’exception des codes de conduite concernant des organismes publics).

Afin d’accompagner les professionnels dans leurs démarches, la CNIL propose de nombreuses fiches pratiques pour comprendre et déposer une demande de code national ou européen.

Le premier code de conduite européen approuvé par la CNIL

Cloud Infrastructure Service Providers Europe est l’association européenne de fournisseurs de services d’infrastructure Cloud qui a pris l’initiative d’élaborer ce premier code de conduite européen spécifiquement dédié à cette catégorie de sous-traitants (« Infrastructure as a Service » ou « IaaS »).

Le recours à l’outil de conformité que constitue un code de conduite est particulièrement adapté : il aidera les adhérents à démontrer à leurs clients qu’ils répondent aux exigences de l’article 28 du RGPD, qui impose aux responsables de traitement de faire appel uniquement à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Une adhésion à ce code de conduite pourra servir d’élément pour démontrer l’existence de ces garanties.

De plus, le code de conduite porté par CISPE facilitera la mise en conformité de ce secteur d’activité : il apporte à la fois une méthode de mise en conformité et des solutions pratiques aux problèmes recensés par les professionnels concernés. Il donne ainsi une dimension opérationnelle aux principes de la protection des données énoncés dans le droit national et européen. Il fournit également une description détaillée de l’ensemble des bonnes pratiques du secteur.

Vecteur de sécurité juridique, le code de conduite permet de créer un climat de confiance.

Que contient ce code de conduite ?

Le code de conduite se divise en cinq parties :

• une première partie qui précise notamment le champ d’application géographique et matériel du code de conduite (c’est-à-dire dans quels pays il s’applique et ce qu’il concerne) ;
• une deuxième partie qui développe les exigences en matière de protection des données ;
• une troisième partie qui aborde les exigences en matière de transparence des mesures de sécurité ;
• une quatrième partie qui précise les modalités d’adhésion au code de conduite ;
• une cinquième partie qui établit le projet de gouvernance du code de conduite.

Chaque partie apporte des explications pratiques aux problèmes rencontrés par les professionnels du secteur et fournit des exemples concrets permettant aux futurs adhérents d’appréhender leur obligation en matière de protection des données.

Par ailleurs, le code de conduite comprend de nombreuses annexes parmi lesquelles figurent :

• une annexe recensant les bonnes pratiques techniques et organisationnelles en matière de sécurité ;
• une annexe listant les points de contrôle de la conformité au code de conduite avec de nombreuses recommandations sur la documentation à mettre en place ;
• un modèle de déclaration d’adhésion ;
• un modèle de notification de violation de sécurité.

Ce code de conduite n’a pas pour objet d’encadrer les transferts de données hors Union européenne. Il contient d’ailleurs un rappel des obligations des organismes sur ce point. De plus, il prévoit que les adhérents au code doivent offrir à leurs clients la possibilité de stocker et traiter leurs données exclusivement sur le territoire de l'Espace économique européen.

Comment est contrôlée la bonne application de ce code de conduite ?

L’effectivité du code de conduite tel que conçu par le RGPD est assurée par l’intervention d’un organisme, en charge du contrôle de la bonne application du code par les adhérents et qui sera agréé par l’autorité de contrôle compétente. Il s’agit d’un mécanisme de contrôle conçu par CISPE et qui est lié à la gouvernance du code. Il ne se confond pas avec les missions de contrôle de la CNIL.

Le code de conduite porté par CISPE identifie plusieurs organismes en charge du contrôle de la bonne application du code de conduite par les adhérents. Tous ces organismes pourront mener leur mission de contrôle uniquement après avoir soumis une demande d’agrément à la CNIL. Si les exigences du référentiel d’agrément sont respectées, un agrément leur sera alors délivré par la CNIL.

En pratique, le code de conduite porté par CISPE sera opérationnel dès que l’un de ces organismes de contrôle sera agréé par la CNIL.

p/o Virginie Gastine Menou

RISQUES ET VOUS

✍🏼 Proposer une offre de job : 

💈 Consulter les offres qui vous correspondent :