La CNIL approuve le premier code de conduite européen dédié aux fournisseurs de services d’infrastructure cloud (IaaS)

11 juin 2021

Ce code, porté par Cloud Infrastructure Service Providers Europe (CISPE), s’adresse aux fournisseurs de services d’infrastructure cloud situés sur le territoire de l’Union européenne. Il apporte une dimension opérationnelle aux principes européens et nationaux de la protection des données.

Qu’est-ce qu’un code de conduite ?

Un code de conduite est un outil prévu par le règlement général sur la protection des données (RGPD) qui permet de répondre aux besoins opérationnels de professionnels dans leur mise en conformité. Il permet notamment de construire un socle commun de bonnes pratiques, de contribuer à démontrer sa conformité au RGPD et d’envoyer un signal positif aux clients et aux professionnels du secteur d’activité concerné.

Tel que prévu par le RGPD, le code de conduite s’impose à ceux qui y adhèrent. En effet, il oblige les adhérents à se conformer aux règles écrites au sein du code et à accepter qu’un organisme tiers contrôle sa bonne application (à l’exception des codes de conduite concernant des organismes publics).

Afin d’accompagner les professionnels dans leurs démarches, la CNIL propose de nombreuses fiches pratiques pour comprendre et déposer une demande de code national ou européen.

► En savoir plus : le code de conduite.

Le premier code de conduite européen approuvé par la CNIL

Cloud Infrastructure Service Providers Europe est l’association européenne de fournisseurs de services d’infrastructure Cloud qui a pris l’initiative d’élaborer ce premier code de conduite européen spécifiquement dédié à cette catégorie de sous-traitants (« Infrastructure as a Service » ou « IaaS »).

Le recours à l’outil de conformité que constitue un code de conduite est particulièrement adapté : il aidera les  adhérents à démontrer à leurs clients qu’ils répondent aux exigences de l’article 28 du RGPD, qui impose aux responsables de traitement de faire appel uniquement à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Une adhésion à ce code de conduite pourra servir d’élément pour démontrer l’existence de ces garanties.

De plus, le code de conduite porté par CISPE facilitera la mise en conformité de ce secteur d’activité : il apporte à la fois une méthode de mise en conformité et des solutions pratiques aux problèmes recensés par les professionnels concernés. Il donne ainsi une dimension opérationnelle aux principes de la protection des données énoncés dans le droit national et européen. Il fournit également une description détaillée de l’ensemble des bonnes pratiques du secteur.

Vecteur de sécurité juridique, le code de conduite permet de créer un climat de confiance.

Le rôle de la CNIL

L’approbation du code de conduite porté par CISPE résulte d’une démarche d’accompagnement mise en œuvre par la CNIL. Tout au long de l’élaboration de son projet, le porteur a bénéficié de conseils et d’une analyse approfondie tant sur les conditions de recevabilité que sur la conformité du contenu du code aux exigences du RGPD. 

La CNIL a également eu un rôle d’intermédiaire entre les homologues et le porteur du code lors de la phase de coopération européenne.

 

Le code de conduite est un nouvel outil du RGPD. Il permet d’apporter des réponses simples et concrètes aux « non-experts » du droit, en vue d’harmoniser les pratiques sectorielles et de gagner collectivement en maturité. Les organisations souhaitant élaborer un tel projet peuvent compter sur le soutien de la CNIL, qui a mis en place un service dédié à leur accompagnement.

Marie-Laure DENIS, présidente de la CNIL

Que contient ce code de conduite ?

Le code de conduite se divise en cinq parties :

  • une première partie qui précise notamment le champ d’application géographique et matériel du code de conduite (c’est-à-dire dans quels pays il s’applique et ce qu’il concerne) ;
  • une deuxième partie qui développe les exigences en matière de protection des données ;
  • une troisième partie qui aborde les exigences en matière de transparence des mesures de sécurité ;
  • une quatrième partie qui précise les modalités d’adhésion au code de conduite ;
  • une cinquième partie qui établit le projet de gouvernance du code de conduite.

Chaque partie apporte des explications pratiques aux problèmes rencontrés par les professionnels du secteur et fournit des exemples concrets permettant aux futurs adhérents d’appréhender leur obligation en matière de protection des données.

Par ailleurs, le code de conduite comprend de nombreuses annexes parmi lesquelles figurent :

  • une annexe recensant les bonnes pratiques techniques et organisationnelles en matière de sécurité ;
  • une annexe listant les points de contrôle de la conformité au code de conduite avec de nombreuses recommandations sur la documentation à mettre en place ;
  • un modèle de déclaration d’adhésion ;
  • un modèle de notification de violation de sécurité.

Ce code de conduite n’a pas pour objet d’encadrer les transferts de données hors Union européenne. Il contient d’ailleurs un rappel des obligations des organismes sur ce point. De plus, il prévoit que les adhérents au code doivent offrir à leurs clients la possibilité de stocker et traiter leurs données exclusivement sur le territoire de l'Espace économique européen.

En savoir plus : transfert de données hors de l’Union européenne et invalidation du « Privacy shield » : les premières questions-réponses du CEPD

Comment est contrôlée la bonne application de ce code de conduite ?

L’effectivité du code de conduite tel que conçu par le RGPD est assurée par l’intervention d’un organisme, en charge du contrôle de la bonne application du code par les adhérents et qui sera agréé par l’autorité de contrôle compétente. Il s’agit d’un mécanisme de contrôle conçu par CISPE et qui est lié à la gouvernance du code. Il ne se confond pas avec les missions de contrôle de la CNIL.

Le code de conduite porté par CISPE identifie plusieurs organismes en charge du contrôle de la bonne application du code de conduite par les adhérents.  Tous ces organismes pourront mener leur mission de contrôle uniquement après avoir soumis une demande d’agrément à la CNIL. Si les exigences du référentiel d’agrément sont respectées, un agrément leur sera alors délivré par la CNIL.

En pratique, le code de conduite porté par CISPE sera opérationnel dès que l’un de ces organismes de contrôle sera agréé par la CNIL.

Attention

L’adhésion à un code de conduite ne vaut pas conformité au RGPD. En effet, l’approbation du contenu du code de conduite par la CNIL ne préjuge pas de l’application qui en sera faite en pratique par les adhérents.