L’EU Cloud Code of Conduct (Code de conduite cloud de l’UE) compile les bonnes pratiques en matière de protection des données pour les fournisseurs de services de cloud afin de contribuer ainsi à une meilleure protection des données à caractère personnel traitées dans le cloud.
Le 21 mai 2021, l’Autorité de protection des données (APD) a approuvé le premier code de conduite transnational depuis que le RGPD est applicable au sein de l’Union européenne. Avec l’adoption du code de conduite, l’APD réalise l’un des objectifs stratégiques de son plan de gestion. Avant, l’APD avait déjà publié une procédure et des conseils pour présenter un tel code de conduite.
Des fournisseurs de services cloud et le Code de conduite cloud de l’UE
L’EU Cloud CoC (Code of Conduct) a pour but de clarifier les règles du RGPD et leur application, dans ce cas pour les fournisseurs de solutions cloud. De cette façon, le secteur des fournisseurs de services cloud peut démontrer qu’il applique correctement divers aspects du RGPD. Le CoC couvre toute la gamme des services cloud : logiciels (SaaS), plateformes (PaaS) et infrastructures (IaaS).
Les PME peuvent également adhérer à ce code de conduite en intégrant trois niveaux de conformité. Le premier niveau implique que le demandeur procède à une évaluation interne de sa propre conformité et soumette ensuite ces preuves à Scope Europe (l’organe qui contrôle la conformité au CoC) pour une évaluation plus approfondie. Le deuxième niveau permet aux fournisseurs de services cloud de soumettre des preuves supplémentaires de conformité partielle provenant de tiers indépendants. Le troisième niveau démontre la conformité totale avec le code par le biais de certificats et d’audits de tiers.
Avantages et critiques
Les codes de conduite ne sont pas seulement un moyen efficace de mettre le RGPD en œuvre dans un secteur donné, ils contribuent également à instaurer la confiance entre les responsables du traitement et les sous-traitants. Reste maintenant à voir si ce code de conduite s’imposera dans les différents secteurs.
Il y a toutefois quelques critiques ici et là. Par exemple, le CoC manque de règles concrètes concernant le traitement des métadonnées (telles que les données collectées via les cookies, le stockage des adresses IP, etc.). Ces données représentent pourtant un risque important pour la vie privée. Une autre critique est que ce code de conduite n’offre aucune solution pour les transferts internationaux de données. Toutefois, en théorie, un tel code de conduite pourrait être utilisé comme une garantie appropriée en cas de transfert de données à caractère personnel en dehors de l’Europe.
Conseils et liens intéressants
L’une des normes qui peuvent être utilisées pour se conformer à ce code de conduite est ISO 27701. Nous explorerons cette norme dans nos cours de formation, comme dans notre Analyses d’impact RGPD : DPIA & DTIA.
Nous aborderons certainement ces sujets ci-dessus lors de nos sessions Stay Tuned.
Pour en savoir plus, consultez le site About EU Cloud CoC: EU Cloud CoC (eucoc.cloud)
Vous pouvez en apprendre davantage sur les codes de conduite sur le site web de l’APD en suivant ce lien ici.