La préparation au RGPD du code de conduite cloud de l’UE remporte le soutien des autorités européennes de protection des données
5 min read
Un effort soutenu par l’UE pour créer un cadre réglementaire qui permettrait aux acheteurs informatiques d’identifier et d’acheter plus facilement des services cloud conformes à la Règlement général sur la protection des données (RGPD) a trouvé grâce auprès du Comité européen de la protection des données.
Le code de conduite du cloud de l’UE vise à aider les acheteurs informatiques à s’approvisionner en services cloud auprès de fournisseurs conformes au RGPD et, à son tour, à accélérer l’adoption de services hors site à travers le continent en apaisant les préoccupations des utilisateurs en matière de protection des données concernant l’utilisation du cloud.
Le code présente un ensemble d’exigences et de caractéristiques que les fournisseurs de services cloud doivent respecter pour démontrer leur capacité à se conformer au RGPD, les participants étant censés auto-évaluer leurs services pour garantir la conformité avec son contenu.
Il existe également un organe de surveillance indépendant, connu sous le nom de Scope Europe, pour garantir la conformité continue des participants avec le contenu du code, ce qui est une exigence du RGPD.
Le code a été créé en collaboration avec la Commission européenne et la communauté du cloud computing, y compris IBM, Salesforce, Oracle et Alibaba Cloud, avec des informations supplémentaires sur son contenu sécurisé à partir du Groupe de travail Article 29.
Lors d’un discours d’ouverture au virtuel Sommet européen sur la conformité du cloud aujourd’hui (20 mai 2021), Agnieszka Bruyere, vice-présidente d’IBM Cloud pour l’Europe, le Moyen-Orient et l’Afrique (EMEA), a confirmé que le code et son modèle de gouvernance ont obtenu le soutien de 26 autorités de contrôle du comité européen de la protection des données.
Ce développement en fait le premier code de conduite transnational couvrant toutes les catégories d’offres cloud – couvrant les logiciels, les plates-formes et les services d’infrastructure – à être approuvé comme conforme au RGPD par les autorités de protection des données de cette manière.
«C’est un moment très important car c’est le premier outil en Europe qui peut non seulement démontrer la conformité, mais aussi apporter la preuve de la conformité pour les utilisateurs de cloud et les fournisseurs de cloud dans toute l’Europe.
«C’est également très important car c’est la première fois qu’un organisme de contrôle indépendant est accrédité – c’est absolument unique. Ces deux facteurs combinés font du Cloud Code of Conduct un outil unique et robuste pour tous les utilisateurs et fournisseurs de cloud en Europe. »
Le géant de la technologie Microsoft fait partie des fournisseurs qui ont déjà pris des mesures pour s’assurer que leurs offres sont conformes au code de conduite, la société confirmant que 140 des services qui relèvent de sa marque de cloud public Azure sont désormais classés comme conformes.
Obtenir le code à ce stade n’a pas été sans défis, a déclaré Neelie Kroes, ancienne vice-présidente de la Commission européenne, qui a commencé à jeter les bases du code de conduite du cloud en 2012 lors du Forum économique mondial de Davos, en Suisse, lorsqu’elle a parlé de les barrières de régulation des données empêchant l’adoption des technologies cloud dans toute l’Europe.
Dans un discours distinct lors du sommet de l’UE sur la conformité du cloud, où les détails du code de conduite ayant obtenu l’approbation de l’Autorité belge de protection des données (DPA) ont été annoncés, Kroes a déclaré qu’elle ne s’attendait pas à ce que cela prenne autant de temps que pour le Code de conduite pour gagner l’approbation des autorités européennes de protection des données, mais elle s’en réjouit.
«Ce retard s’explique en partie par les nombreux développements que nous avons constatés ces dernières années en matière de confidentialité et de sécurité. Nous avons vu le RGPD entrer en vigueur, de nouveaux cadres de cybersécurité, des certifications… et le code a réussi à intégrer avec succès tous ces éléments », a-t-elle déclaré.
«Le code est le premier outil approuvé par les autorités de protection des données pour garantir et améliorer la conformité au RGPD pour tous les types de services cloud. Il répond avec succès aux préoccupations… [of] utilisateurs et autorités du cloud, tout en protégeant les droits de centaines de millions de citoyens européens. Et il établit une base de référence de haute qualité pour les développements futurs dans le domaine de la régulation du cloud. »
Kroes a également appelé les membres des communautés de logiciels, d’infrastructures et de plates-formes cloud qui n’ont pas encore veillé à ce que leurs propres offres soient conformes au code de conduite à s’impliquer, dans l’intérêt de créer un «écosystème large et fiable» de fournisseurs pour les acheteurs informatiques. de puiser dans.
«Mon souhait est de voir plus de confiance dans la technologie», a-t-elle déclaré. «Les entreprises européennes [can] innover, ils peuvent se reconstruire après la pandémie, et ils peuvent créer de nouveaux modèles commerciaux et créer de nouvelles startups. »
Le code de conduite cloud de l’UE n’est pas la seule initiative conçue pour aider les acheteurs informatiques à s’assurer que les technologies cloud sur lesquelles ils fondent leurs stratégies de transformation numérique sont conformes au RGPD, et il n’est pas non plus la première à avoir trouvé grâce auprès du comité européen de la protection des données.
En effet, le conseil a également émis un «avis favorable» concernant le code de conduite du CISPE en matière de protection des données ces derniers jours, qui vise exclusivement à garantir que les services fournis par les entreprises d’infrastructure cloud opérant en Europe sont conformes au RGPD.
Dans une autre allocution lors du sommet de l’UE sur la conformité du cloud, David Stevens, président de la DPA belge, a déclaré que l’un des éléments les plus positifs du code de conduite du cloud de l’UE était que la participation ne se limitait pas aux logiciels ou aux infrastructures du cloud – tous sont les bienvenus.
«C’est un très bon code [and] l’un des principaux arguments [for that] se rapporte au fait qu’il a une portée très large. Il ne s’agit pas simplement d’un type spécifique de services cloud, mais il couvre l’infrastructure en tant que service, la plate-forme en tant que service et le logiciel en tant que service », a-t-il déclaré.
«Il couvre… une grande partie de la chaîne de valeur de tout ce qui concerne le cloud. C’est une caractéristique très importante – nous avons besoin d’une vision ouverte, d’une large portée lorsque nous pensons au droit et à la technologie. C’est un point très important. »
