Code de conduite CISPE relatif à la protection des données
Présentation
CISPE (Cloud Infrastructure Services Providers in Europe) est une coalition de leaders dans le domaine du cloud computing au service de millions de clients européens. Le code de conduite de la protection des données du CISPE (code CISPE) est le premier code de conduite paneuropéen sur la protection des données pour les fournisseurs de services d'infrastructure cloud, conformément à l'article 40 au Règlement européen général sur la protection des données (RGPD). Il a été approuvé par le Comité européen de la protection des données (CEPD) en mai 2021, et formellement adopté par l'autorité française de la protection des données (la CNIL), agissant en tant qu'autorité principale de contrôle, en juin 2021.
Le code CISPE garantit aux organisations que leur fournisseur de services d’infrastructure cloud répond aux exigences applicables au sous-traitant des données en vertu du RGPD. Cela donne plus de confiance aux clients cloud, qui savent qu’ils peuvent choisir des services ayant fait l’objet d’une vérification indépendante et qui sont bien conformes au RGPD.
Le code CISPE fait plus que de respecter la conformité au RGPD en obligeant les fournisseurs de services d’infrastructure cloud à donner aux clients le choix de sélectionner des services qui stockent et traitent les données des clients exclusivement dans l’Espace économique européen. Les fournisseurs de services d’infrastructure cloud doivent également s’engager à ne pas consulter ni utiliser les données de leurs clients pour leurs propres besoins, sauf si cela est nécessaire à la prestation et au maintien des services déclarés. Les fournisseurs de services d’infrastructure cloud doivent en particulier s’engager à ne pas utiliser les données de leurs clients pour leurs propres besoins, notamment à des fins d’exploration de données, de profilage ou de marketing direct. EY CertifyPoint (EYCP) a certifié de manière indépendante des services AWS comme étant conformes au code CISPE. L’EYCP fut le premier « organisme de surveillance » accrédité par la CNIL à vérifier la conformité au code CISPE du fournisseur d’infrastructure cloud.
AWS prend en charge plus de normes de sécurité et de certifications de conformité que n'importe quel autre fournisseur cloud, et nous réexaminons en permanence les besoins de nos clients au fur et à mesure que l'environnement réglementaire évolue. Le code CISPE offre un niveau d’assurance plus élevé à nos clients, ce qui permet de garantir que les services Cloud AWS peuvent être utilisés en conformité au RGPD et répondre aux exigences de conformité actuelles de nos clients.
Questions fréquentes (FAQ)
-
Qu’est-ce que le code de conduite CISPE relatif à la protection des données du RGPD (code CISPE) ?
Le code de conduite de la protection des données du CISPE (code CISPE) en Europe est le premier code de conduite paneuropéen sur la protection des données pour les fournisseurs de services d'infrastructure cloud, conformément à l'article 40 au Règlement européen général sur la protection des données (RGPD). Il a été approuvé par le Comité européen de la protection des données (CEPD) en mai 2021, et formellement adopté par l'autorité française de la protection des données (la CNIL) en juin 2021.
-
En quoi cela est-il important pour nos clients ?
Le code CISPE garantit aux organisations que leur fournisseur de services d’infrastructure cloud répond aux exigences applicables au sous-traitant des données en vertu du RGPD. Cela donne plus de confiance aux clients cloud, qui savent qu'ils peuvent choisir des services qui ont fait l'objet d'une vérification indépendante et qui sont bien conformes au RGPD.
-
Comment le code de conduite CISPE relatif à la protection des données aide-t-il les clients à se mettre en conformité avec le RGPD ?
L'adhésion d'AWS au code CISPE donne aux clients des garanties supplémentaires comme quoi AWS a implémenté des mesures contractuelles et opérationnelles qui répondent aux exigences applicables à un sous-traitant, conformément à l'article 28 du RGPD. La conformité d'AWS au code CISPE a été vérifiée par EY CertifyPoint, un auditeur externe accrédité par la CNIL en tant qu'organisme de surveillance.
-
Comment la certification AWS, conformément au code CISPE, aide-t-elle les clients à avoir plus de contrôle et de transparence sur l'endroit où leurs données sont stockées et traitées ?
Le code CISPE fait plus que de respecter la conformité au RGPD en obligeant les fournisseurs de services d'infrastructure cloud à laisser aux clients la possibilité de stocker et de traiter leurs données dans l'Espace économique européen. Les fournisseurs de services d'infrastructure cloud doivent également s'engager à ne pas consulter ni à utiliser les données de leurs clients pour leurs propres besoins, sauf si cela est nécessaire pour fournir et maintenir les services déclarés. Les fournisseurs de services d'infrastructure cloud doivent en particulier s'engager à ne pas utiliser les données de leurs clients pour leurs propres besoins, notamment à des fins d'exploration de données, de profilage ou de marketing direct. -
Pourquoi AWS a déclaré ses services comme étant conformes au code CISPE ?
Le code CISPE permet aux clients du cloud de sélectionner en toute confiance des services d'infrastructure cloud pouvant être utilisés conformément au RGPD. Le code CISPE garantit aux organisations que leur fournisseur de services d’infrastructure cloud répond aux exigences applicables au sous-traitant des données en vertu du RGPD. Cela donne plus de confiance aux clients, qui savent qu'ils peuvent choisir des services cloud qui ont fait l'objet d'une vérification indépendante et qui sont bien conformes au RGPD. AWS a déclaré ses services auprès du code CISPE, car ainsi les clients bénéficient de garanties supplémentaires. Le code CISPE est le premier code de conduite paneuropéen sur la protection des données centré sur les services d'infrastructure cloud, et est avalisé par le Comité européen de la protection des données et approuvé par l'autorité française de la protection des données (la CNIL), agissant en tant qu'autorité principale de protection des données. -
En tant que client, suis-je concerné par le code CISPE si je ne traite pas de données d'identification personnelle (PII) / d'informations personnelles ?
Oui, AWS assure les contrôles rigoureux de protection des données et de contrôle de la confidentialité définis par le code CISPE pour le contenu de tous ses clients. -
Qui est l'organisme de surveillance indépendant ?
EY CertifyPoint (EYCP) a certifié de manière indépendante des services AWS comme étant conformes au code CISPE. L’EYCP fut le premier « organisme de surveillance » accrédité par la CNIL à vérifier la conformité au code CISPE du fournisseur d’infrastructure cloud. Depuis, la CNIL a accrédité plusieurs autres organismes de surveillance, dont Bureau Veritas et LNE. Toutes ces sociétés sont des organismes d’audit et de certification indépendants et reconnus dans le monde entier, qui possèdent une expérience avérée dans la vérification de la conformité des entreprises vis-à-vis des exigences de protection des données.
-
Combien de services AWS a déclaré comme étant conformes au code CISPE ?
Les services déclarés conformes au code CISPE sont enregistrés dans le registre public du CISPE comme « Adhérence contrôlée ». Pour ces services, la conformité d’AWS aux exigences du code CISPE ont été vérifiées par l’EY CertifiedPoint, un organisme de surveillance indépendant accrédité par la CNIL. Les services AWS concernés par le code CISPE figurent également à la page Services AWS concernés par le programme de conformité.
-
Prévoyez-vous de déclarer les services auprès du code de conduite du cloud européen ?
AWS prend en charge plus de normes de sécurité et de certifications de conformité que n’importe quel autre fournisseur cloud, et nous réexaminons en permanence les besoins de nos clients au fur et à mesure que l’environnement réglementaire évolue. Le code CISPE permet à nos clients de sélectionner en toute confiance des services d'infrastructure cloud pouvant être utilisés conformément au RGPD et répondant aux exigences de conformité actuelles de nos clients.Le code de conduite du cloud européen est une initiative différente, disposant toutefois de considérations et d'approches similaires au code CISPE. Bien qu'AWS estime que le code CISPE est un excellent outil pour démontrer la conformité d'AWS au RGPD et répondre aux attentes semblables de nos clients, nous continuerons de réexaminer en permanence les besoins de nos clients au fur et à mesure que l'environnement réglementaire évolue.