Gdpr-readiness of EU Cloud Code of Conduct obtient le soutien des autorités européennes de protection des données

Un effort soutenu par l’UE pour créer un cadre réglementaire qui permettrait aux acheteurs informatiques d’identifier et d’acheter plus facilement des services cloud conformes au Règlement général sur la protection des données (GDPR) a été favorable à l’Office européen de protection des données.

Le Code de conduite cloud de l’UE vise à aider les acheteurs informatiques à s’approvisionner en services cloud auprès de fournisseurs compatibles GDPR et, à leur tour, à accélérer l’adoption de services hors site à travers le continent en apaise les préoccupations des utilisateurs en matière de protection des données concernant l’utilisation du cloud.

Le code comporte un ensemble d’exigences et de caractéristiques que les fournisseurs de services cloud doivent satisfaire pour démontrer leur capacité à se conformer au GDPR, les participants devant auto-évaluer leurs services pour assurer le respect de son contenu.

Il existe également un organe de surveillance indépendant, connu sous le nom de Scope Europe, pour assurer le respect continu par les participants du contenu du code, qui est une exigence du GDPR.

Le code a été créé en collaboration avec la Commission européenne et la communauté de l’informatique en nuage, y compris ibm, Salesforce, Oracle et Alibaba Cloud, avec des entrées supplémentaires sur son contenu obtenues à partir du Groupe de travail sur l’article 29.

Lors d’un discours liminaire prononcé aujourd’hui (20 mai 2021) lors du sommet virtuel de l’UE sur la conformité au cloud, Agnieszka Bruyere, vice-présidente d’IBM Cloud pour l’Europe, le Moyen-Orient et l’Afrique (EMEA), a confirmé que le code et son modèle de gouvernance avaient obtenu le soutien de 26 autorités de surveillance du Conseil européen de protection des données.

Ce développement le marque comme le premier code de conduite transnational qui couvre toutes les catégories d’offres cloud – couvrant les logiciels, les plates-forme et les services d’infrastructure – à être approuvé comme conforme au GDPR par les autorités de protection des données de cette manière.

« C’est un moment très important car c’est le premier outil en Europe qui peut non seulement démontrer la conformité, mais aussi apporter la preuve de la conformité pour les utilisateurs de cloud et les fournisseurs de cloud dans toute l’Europe.

« C’est aussi très important parce que c’est la première fois qu’un organisme de surveillance indépendant est accrédité – c’est absolument unique. Ces deux facteurs combinés font du Code de conduite cloud un outil unique et robuste pour tous les utilisateurs et fournisseurs de cloud en Europe.

Le géant de la technologie Microsoft fait partie des fournisseurs qui ont déjà pris des mesures pour s’assurer que leurs offres sont conformes au Code de conduite, la société confirmant que 140 des services qui relèvent de sa marque azure cloud public sont désormais classés comme conformes.

Pour Neelie Kroes, ancienne vice-présidente de la Commission européenne, qui a commencé à jeter les bases du Code de conduite sur le cloud en 2012 au Forum économique mondial de Davos, en Suisse, elle a évoqué les obstacles à la réglementation des données qui entravent l’utilisation des technologies cloud à travers l’Europe.

Dans un discours d’ouverture distinct au Sommet de l’UE sur la conformité au cloud, où les détails du Code de conduite obtenant l’approbation de l’Autorité belge de protection des données (DPA) ont été annoncés, Mme Kroes a déclaré qu’elle ne s’attendait pas à ce qu’il prenne autant de temps que le Code de conduite pour obtenir l’approbation des autorités européennes de protection des données, mais elle se réjouit qu’il l’ait fait.

« Cette retard s’est en partie la raison de ces nombreux développements que nous avons constatés au cours des dernières années en matière de protection de la vie privée et de sécurité. Nous avons vu le GDPR entrer en vigueur, de nouveaux cadres de cybersécurité, des certifications… et le code a réussi à intégrer avec succès tous ces éléments », a-t-elle déclaré.

« Le code est le premier outil approuvé par les autorités de protection des données pour assurer et améliorer la conformité gdpr pour tous les types de services cloud. Il répond avec succès aux préoccupations… [of] utilisateurs et autorités du cloud, tout en protégeant les droits de centaines de millions de citoyens européens. Et il est en train d’établir une base de référence de haute qualité pour les développements futurs dans le domaine de la régulation du cloud.

Mme Kroes a également appelé les membres des communautés de logiciels, d’infrastructures et de plates-forme cloud qui doivent encore s’assurer que leurs propres offres sont conformes au Code de conduite à s’impliquer, dans le but de créer un « écosystème large et fiable » de fournisseurs pour les acheteurs informatiques.

« Mon souhait est de voir plus de confiance dans la technologie », a-t-elle déclaré. « Ainsi, les entreprises européennes [can] innover, ils peuvent se reconstruire après la pandémie, et ils peuvent créer de nouveaux modèles d’affaires et construire de nouvelles startups.

Le Code de conduite cloud de l’UE n’est pas la seule initiative conçue pour aider les acheteurs informatiques à s’assurer que les technologies du cloud qu’ils fondent leur transformation numérique stsont conformes au GDPR, et il n’est pas le premier à avoir trouvé une faveur auprès de l’Office européen de protection des données.

En effet, le conseil d’administration a également donné ces derniers jours un « avis favorable » concernant le Code de conduite de la CISPE sur la protection des données, qui vise exclusivement à garantir que les services fournis par les entreprises d’infrastructure cloud opérant en Europe sont conformes au GDPR.

Dans un autre discours lors du sommet de l’UE sur la conformité au cloud, David Stevens, président de la DPA belge, a déclaré que l’un des éléments les plus positifs du Code de conduite cloud de l’UE était que la participation ne se limite pas aux logiciels cloud ou aux acteurs de l’infrastructure – tous sont les bienvenus.

« C’est un très bon code [and] l’un des principaux arguments [for that] le fait qu’il a une portée très large. Il ne s’agit pas seulement d’un type spécifique de services cloud, mais il couvre l’infrastructure en tant que service, plate-forme comme un service et un logiciel comme un service », at-il dit.

« Il couvre … une grande partie de la chaîne de valeur de tout ce qui se rapporte au cloud. Il s’agit d’une caractéristique très importante – nous avons besoin d’une vision ouverte, d’une vaste portée lorsque nous pensons au droit et à la technologie. C’est un point très important.