Cloud
Le Code de Conduite pour la Protection des Données est enfin mis en pratique
Par Laurent Delattre, publié le 08 février 2022
Le CISPE passe à la pratique et annonce les premiers services cloud conformes à son code de conduite qui va au-delà des exigences du RGPD.
Aruba, AWS, Elogic, LeaseWeb et les Français 3DS Outscale et OVHCloud officialisent les premiers services clouds certifiés conformes au Code de Conduite pour la Protection des Données (Code of Conduct for Data Protection in Cloud Infrastructure).
Officialisé par le CISPE (Cloud Infrastructure Service Provider in Europe), validé par l’EDPB (European Data Protection Board) et approuvé par la CNIL, est le premier « Code de Conduite » tel que défini par le RGPD spécifiquement conçu pour les opérateurs de cloud.
Ce code de conduite du CISPE constitue une assurance supplémentaire que les services cloud ainsi certifiés peuvent être utilisés en conformité avec le RGPD, autrement dit que ces services sont officiellement reconnus conformes par la CNIL et autres autorités de contrôle européennes.
Ce code va au-delà des exigences du RGPD. Il garantit l’absence de réutilisation des données des clients et donne aux entreprises la possibilité de stocker et traiter les données clients exclusivement dans l’Espace Economique Européen.
L’ensemble des services cloud déclarés « conformes au Code de Conduite CISPE » doivent avoir été vérifiés par l’un des trois organismes de contrôle indépendants accrédités par la CNIL (Bureau Veritas, LNE, EY CertifyPoint).
Pour les DSI, c’est donc une arme de plus dans l’arsenal de certifications pour assurer une souveraineté européenne des données et s’appuyer sur des services de confiance.
De façon plus originale, ce code de conduite illustre également en pratique comment les « Verifiable Credentials » seront utilisés par Gaia-X. En effet, le CISPE a utilisé son « Code de Conduite pour la Protection des Données » pour délivrer des certificats vérifiables respectant la norme du W3C.
Ces certificats permettent à Gaia-X de vérifier automatiquement les déclarations de conformité aux dispositions relatives à la protection et la localisation des données.
Pierre Gronlier, CTO de Gaia-X, explique que « pour accélérer la transformation numérique de l’Europe et déterminer nous-mêmes notre niveau d’autonomie, il est nécessaire d’instaurer de la transparence et une confiance dans les services numériques sur la base d’éléments objectifs. Pour cela, il faut établir des processus et des règles de conformité clairs. Le travail effectué avec le CISPE pour utiliser son code de conduite vérifiable est une illustration tangible de la manière dont cela peut être effectivement réalisé ».
En utilisant de tels certificats vérifiables (conformes W3C), Gaia-X peut ainsi automatiquement vérifier les affirmations des services cloud et leur conformité aux besoins de sécurité, portabilité et durabilité.
De tels mécanismes seront également utilisés pour les autres codes de conduite à commencer par celui sur l’éco-responsabilité des services cloud et celui sur les “principles of Fair Software”.
Source : https://www.codeofconduct.cloud