Le Comité Européen de la Protection des Données (CEPD), composé de l’ensemble des autorités européennes de protection des données, a rendu un avis favorable sur la conformité du Code de Conduite CISPE au Règlement Général sur la Protection des Données (RGPD).
Soumis par la CNIL au CEPD, le code CISPE est le premier code paneuropéen de fournisseurs d’infrastructures cloud à atteindre cette étape. Le code de CISPE aide les organisations de toute l’Europe à accélérer le développement de services basés sur le cloud conformes au RGPD destinés aux consommateurs, entreprises et institutions. En choisissant des services déclarés conformes au code CISPE, les clients IaaS sont assurés de disposer d’infrastructures cloud fiables pour le traitement et la conservation des données personnelles dans le strict respect du RGPD.
« Le RGPD constitue un progrès notable en matière de protection des données personnelles et le code CISPE clarifie les exigences de cette règlementation pour les fournisseurs d’infrastructures cloud », souligne Alban Schmutz, président de CISPE (Cloud Infrastructure Service Providers in Europe), l’association professionnelle à l’origine du code. « Le Code de Conduite CISPE sur la Protection des Données donne aux fournisseurs de services cloud un cadre de contrôle approuvé par les régulateurs Européens pour démontrer que leurs services cloud sont conformes aux exigeneces de la loi, et fournit des exemples concrets sur la manière dont clients et fournisseurs doivent protéger les données en vertu des règles du RGPD. »
Le Code de Conduite CISPE se distingue de trois manières. C’est le premier code, et le seul à ce jour, à se concentrer exclusivement sur le secteur des infrastructures cloud (Infrastructure-as-a-Service [IaaS]) et à couvrir les rôles et responsabilités spécifiques des fournisseurs IaaS. Le code garantit que les fournisseurs de services d’infrastructure cloud procéderont à un traitement des données limité uniquement à ce qui est nécessaire pour maintenir ou fournir le service et qu’ils n’utiliseront pas les données personnelles de leurs clients à des fins de marketing ou de publicité.
Bien que le RGPD ne l’exige pas, de nombreuses entreprises européennes veulent conserver la maîtrise de leurs données en s’assurant que celles-ci ne quittent pas l’UE. Le Code de Conduite CISPE propose aux clients IaaS des options de sélection des services qui permettent que les données soient traitées entièrement au sein de l’Espace Économique Européen. À ce titre, il défend aussi les meilleures pratiques en matière de protection des données qui appuient l’initiative européenne GAIA-X de développement des services européens de données sur le cloud.
La conformité au Code de Conduite CISPE est vérifiée par des auditeurs indépendants externes agréés par l’Autorité de Protection des Données compétente. Agissant en tant qu’« Organismes de Contrôle », ceux-ci renforcent le niveau de fiabilité des services certifiés en vertu du code.