La CNIL a approuvé le premier code de conduite européen dédié aux fournisseurs de services d’infrastructure cloud (IaaS). Ce code, porté par Cloud Infrastructure Service Providers Europe (CISPE), s’adresse aux fournisseurs de services d’infrastructure cloud situés sur le territoire de l’Union européenne. Il apporte une dimension opérationnelle aux principes européens et nationaux de la protection des données.
Sommaire
Un code de conduite RGDP comme outil de conformité
Un code de conduite est un outil prévu par le règlement général sur la protection des données (RGPD) qui permet de répondre aux besoins opérationnels de professionnels dans leur mise en conformité.
Il permet notamment de construire un socle commun de bonnes pratiques, de contribuer à démontrer sa conformité au RGPD et d’envoyer un signal positif aux clients et aux professionnels du secteur d’activité concerné.
Tel que prévu par le RGPD, le code de conduite s’impose à ceux qui y adhèrent. En effet, il oblige les adhérents à se conformer aux règles écrites au sein du code et à accepter qu’un organisme tiers contrôle sa bonne application (à l’exception des codes de conduite concernant des organismes publics).
Le code de conduite est un nouvel outil du RGPD. Il permet d’apporter des réponses simples et concrètes aux « non-experts » du droit, en vue d’harmoniser les pratiques sectorielles et de gagner collectivement en maturité. Les organisations souhaitant élaborer un tel projet peuvent demander le soutien de la CNIL, qui a mis en place un service dédié à leur accompagnement.
L’Association Cloud Infrastructure Service Providers Europe
Cloud Infrastructure Service Providers Europe est l’association européenne de fournisseurs de services d’infrastructure Cloud qui a pris l’initiative d’élaborer ce premier code de conduite européen spécifiquement dédié à cette catégorie de sous-traitants (« Infrastructure as a Service » ou « IaaS »).
Le recours à l’outil de conformité que constitue un code de conduite est particulièrement adapté : il aide les adhérents à démontrer à leurs clients qu’ils répondent aux exigences de l’article 28 du RGPD, qui impose aux responsables de traitement de faire appel uniquement à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Une adhésion à ce code de conduite pourra servir d’élément pour démontrer l’existence de ces garanties.
Le code de conduite CISPE facilite la mise en conformité de ce secteur d’activité : il apporte à la fois une méthode de mise en conformité et des solutions pratiques aux problèmes recensés par les professionnels concernés. Il donne ainsi une dimension opérationnelle aux principes de la protection des données énoncés dans le droit national et européen. Il fournit également une description détaillée de l’ensemble des bonnes pratiques du secteur.
Un accompagnement de la CNIL
L’approbation du code de conduite porté par CISPE résulte d’une démarche d’accompagnement mise en œuvre par la CNIL. Tout au long de l’élaboration de son projet, le porteur a bénéficié de conseils et d’une analyse approfondie tant sur les conditions de recevabilité que sur la conformité du contenu du code aux exigences du RGPD. La CNIL a également eu un rôle d’intermédiaire entre les homologues et le porteur du code lors de la phase de coopération européenne.
_________________________________________________________________________________________________________
Délibération n° 2021-117 du 7 octobre 2021 portant agrément de Bureau Veritas Italia Spa en tant qu’organisme de contrôle du code de conduite européen porté par CISPE (Cloud Infrastructure Service Providers Europe)
La Commission nationale de l’informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (notamment ses articles 40, 41 et 57) ;
Vu la délibération n° 2020-050 du 30 avril 2020 portant adoption d’un référentiel relatif à l’agrément des organismes chargés de contrôler le respect des codes de conduite ;
Vu la délibération n° 2021-065 portant approbation du code de conduite européen porté par Cloud Infrastructure Service Providers Europe (CISPE) ;
Sur la proposition de Mme Anne DEBET, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Formule les observations suivantes :
L’article 41 du règlement général relatif à la protection des données (RGPD) prévoit que l’organisme chargé de contrôler le respect d’un code de conduite par les responsables de traitements ou les sous-traitants doit être agréé par l’autorité de contrôle compétente au titre de l’article 57.1 (q) du RGPD.
Le code de conduite européen porté par Cloud Infrastructure Service Providers Europe (CISPE) a été approuvé par la Commission le 3 juin 2021. Il identifie la CNIL comme autorité de contrôle compétente conformément aux dispositions de l’article 40.5 du RGPD. En conséquence, la CNIL est compétente pour l’instruction et la délivrance de l’agrément aux organismes de contrôle désignés par le code de conduite porté par CISPE.
Ce code de conduite a désigné en tant qu’organisme de contrôle la société Bureau Veritas Italia Spa.
Le 21 septembre 2021, la Commission a été saisie par Bureau Veritas Italia Spa d’une demande d’agrément en tant qu’organisme de contrôle du code de conduite porté par CISPE, conformément à la délibération n° 2020-050 du 30 avril 2020 portant adoption d’un référentiel relatif à l’agrément des organismes chargés de contrôler le respect des codes de conduite.
La demande d’agrément a fait l’objet d’une évaluation par les services de la CNIL.
La Commission reconnaît que la demande d’agrément présentée est conforme au référentiel d’agrément adopté le 30 avril 2020.
Décide :
De la délivrance de l’agrément à Bureau Veritas Italia Spa en tant qu’organisme de contrôle du code de conduite européen porté par Cloud Infrastructure Service Providers Europe (CISPE).
Cet agrément est délivré pour une durée de cinq ans à compter de la présente délibération.
Si les exigences relatives à l’agrément ne sont pas ou plus respectées, l’agrément peut être révoqué conformément aux dispositions de l’article 41.5 du RGPD et de l’article 23 de la loi n° 78-17 du 6 janvier 1978 modifiée.
La Présidente
Marie-Laure DENIS