Code de conduite : la CNIL délivre un premier agrément à un organisme de contrôle
L’agrément d’un organisme en charge du contrôle du code de conduite est essentiel pour que ce dernier soit opérationnel. À la suite de son approbation du code de conduite dédié aux fournisseurs de services d’infrastructure cloud (CISPE), la CNIL a agréé, le 17 juin 2021, EY CERTIFYPOINT B.V., qui s’assurera de la conformité des adhérents au code.
Les codes de conduite permettent aux professionnels d’un secteur d’activité de démontrer leur conformité au RGPD en justifiant des bonnes pratiques mises en place. L’adhésion à un code résulte d’une démarche volontaire mais elle implique un contrôle de sa bonne application par des organismes tiers. Pour exercer cette mission, ces organismes doivent être agréés par l’autorité de contrôle compétente sur la base d’un référentiel d’agrément.
La CNIL a approuvé le premier code de conduite européen dédié aux fournisseurs de services d’infrastructure cloud (Iaas) le 3 juin 2021. Ce code, porté par Cloud Infrastructure Service Providers Europe (CISPE), identifie plusieurs organismes qui seront chargés de veiller à sa bonne application par les adhérents, dont l’organisme EY CERTIFYPOINT B.V.
EY CERTIFYPOINT B.V. a soumis une demande d’agrément sur la base du référentiel de la CNIL. Après une phase d’instruction et d’échanges, la CNIL a décidé de délivrer l’agrément pour une durée de 5 ans à compter du 17 juin 2021 et veillera au respect, par l’organisme agréé, du référentiel de la CNIL.
Le code de conduite porté par CISPE est désormais opérationnel et EY CERTIFYPOINT B.V., en tant qu’organisme de contrôle, aura pour mission de s’assurer que les adhérents à ce code se conforment aux exigences de celui-ci.
D’autres demandes d’agrément relatives au code de conduite CISPE sont actuellement en cours d’instruction.
Les textes de référence
- Délibération n°2021-076 du 17 juin 2021 portant agrément de EY CERTIFYPOINT B.V. en tant qu’organisme de contrôle du code de conduite européen porté par CISPE (Cloud Infrastructure Service Providers Europe) - Légifrance
- Lignes directrices du Comite européen de la protection des données relatives au code de conduite - CEPD
- Articles 40 et 41 du règlement général sur la protection des données (code de conduite)