Délibération 2021-065 du 3 juin 2021

Délibération n°2021-065 du 3 juin 2021 portant approbation du code de conduite européen porté par Cloud Infrastructure Service Providers Europe (CISPE)

La Commission nationale de l'informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (notamment ses articles 40, 41 et 57) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu les lignes directrices sur les codes de conduites et les organismes de contrôle de ces codes au sens du règlement (UE) 2016/679 adoptées le 4 juin 2019 par le Comité européen de la protection des données ;

Vu l'avis 17/2021 du Comité européen de la protection des données relatif à au code de conduite européen porté par Cloud Infrastructure Service Providers Europe au titre des articles 63 et 64 du RGPD, adopté le 19 mai 2021 ;

Sur la proposition de M. François PELLEGRINI, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Fait les observations suivantes :

L’article 40.5 du règlement général relatif à la protection des données (RGPD) prévoit que les associations et autres organismes représentatifs d’un secteur d’activité qui ont l'intention d'élaborer un code de conduite soumettent le projet de code à l'autorité de contrôle qui est compétente en vertu de l'article 55 du RGPD. L'autorité de contrôle rend un avis sur la question de savoir si le projet de code respecte le présent règlement et approuve ce projet de code si elle estime qu'il offre des garanties appropriées suffisantes.

L'article 40.7 du RGPD prévoit que lorsque le projet de code de conduite concerne des activités de traitement menées dans plusieurs Etats membres, l'autorité de contrôle compétente soumet le projet de code, avant approbation, au Comité européen de la protection des données (CEPD), conformément au mécanisme de contrôle de la cohérence .

Le 13 mai 2019, la Commission a été saisie par Cloud Infrastructure Service Providers Europe (CISPE) d’une demande d’approbation portant sur un projet de code conduite transnational et ce conformément aux dispositions de l’article 40.5 du RGPD.

Le 25 février 2021, la Commission a soumis le projet de code porté par CISPE à l’avis du CEPD. Le Comité a adopté un avis favorable relatif à ce projet le 19 mai 2021, qui a été notifié à la Commission le 20 mai 2021.

Le projet de code de conduite répond aux exigences de forme prévues par l’article 40.2 du RGPD. En effet, il démontre la représentativité du porteur du code et précise son champ d’application matériel ainsi que son champ d’application géographique. De plus, il identifie la CNIL comme autorité de contrôle compétente conformément aux dispositions de l’article 40.5 du RGPD. Enfin, il détaille les modalités de consultation des professionnels du secteur et développe une procédure de contrôle de la bonne application du code par les adhérents.

Le code de conduite précise les modalités d’application du RGPD et prend en compte les besoins des professionnels du secteur de l’informatique en nuage ( cloud ) en tant que fournisseurs de services d’infrastructure ( Infrastructure as a Service ou IaaS ), conformément aux dispositions de l’article 40.1 du RGPD.

Il donne également des exemples concrets facilitant l’application effective du RGPD par ses adhérents. Il rappelle en outre l’obligation pour les professionnels adhérents de se conformer aux exigences du code de conduite, qui sont juridiquement contraignantes. A cet effet, une matrice des exigences recensant les exigences à respecter est fournie par le code de conduite.

Le code de conduite prévoit un processus d’adhésion divisé en trois étapes de contrôle a priori, a posteriori et ad hoc par l’organisme de contrôle.

Le code de conduite comprend un mécanisme permettant à l’organisme de contrôle de veiller à la bonne application du code par les professionnels adhérents, conformément aux dispositions de l’article 40.4 du RGPD. Il inclut également une matrice de mesures coercitives dont la mise en œuvre incombe à l’organisme de contrôle.

Le code de conduite identifie plusieurs organismes qui seront chargés de cette mission de contrôle après avoir obtenu un agrément de la CNIL et ce conformément aux dispositions de l’article 41.1 du RGPD. Le code de conduite sera opérationnel dès que l’un de ces organismes de contrôle sera agréé par la Commission.

Le code de conduite comprend une procédure permettant de le mettre à jour, conformément aux dispositions de l’article 40.2 du RGPD.

Le code de conduite respecte le RGPD et contribue à sa bonne application, conformément aux dispositions de l’article 40.1 de ce texte. Il apporte ainsi une réelle valeur ajoutée aux futurs adhérents dans leur démarche de redevabilité.

Décide :

Le code de conduite européen des fournisseurs d'infrastructures cloud relatif à la protection des données porté par Cloud Infrastructure Service Providers Europe (CISPE) et annexé à la présente délibération, est approuvé.

En cas de modification du code, la Commission, après en avoir été informée par le porteur du code, évaluera si une nouvelle procédure d’approbation est nécessaire, conformément aux dispositions de l’article 40.5 du RGPD.

La présente décision sera publiée sur Légifrance.

La Présidente

Marie Laure DENIS

Retourner en haut de la page