Code de conduite CISPE relatif à la protection des données

Le code de conduite de la protection des données du CISPE (code CISPE) en Europe est le premier code de conduite paneuropéen sur la protection des données pour les fournisseurs de services d’infrastructure cloud, conformément à l’article 40 au Règlement européen général sur la protection des données (RGPD). Il a été approuvé par le Comité européen de la protection des données (CEPD) en mai 2021, et formellement adopté par l'autorité française de la protection des données (la CNIL) en juin 2021.

Le code CISPE garantit aux organisations que leur fournisseur de services d’infrastructure cloud répond aux exigences applicables au sous-traitant des données en vertu du RGPD. Cela donne plus de confiance aux clients cloud, qui savent qu’ils peuvent choisir des services ayant fait l’objet d’une vérification indépendante et qui sont bien conformes au RGPD.

L’adhésion d’AWS au code CISPE donne aux clients des garanties supplémentaires comme quoi AWS a implémenté des mesures contractuelles et opérationnelles qui répondent aux exigences applicables à un sous-traitant, conformément à l’article 28 du RGPD. La conformité d'AWS au code CISPE a été vérifiée par EY CertifyPoint, un auditeur externe accrédité par la CNIL en tant qu'organisme de surveillance.

Le code CISPE fait plus que de respecter la conformité au RGPD en obligeant les fournisseurs de services d’infrastructure cloud à laisser aux clients la possibilité de stocker et de traiter leurs données dans l’Espace économique européen. Les fournisseurs de services d’infrastructure cloud doivent également s’engager à ne pas consulter ni utiliser les données de leurs clients pour leurs propres besoins, sauf si cela est nécessaire à la prestation et au maintien des services déclarés. Les fournisseurs de services d’infrastructure cloud doivent en particulier s’engager à ne pas utiliser les données de leurs clients pour leurs propres besoins, notamment à des fins d’exploration de données, de profilage ou de marketing direct.

Le code CISPE permet aux clients du cloud de sélectionner en toute confiance des services d’infrastructure cloud pouvant être utilisés conformément au RGPD. Le code CISPE garantit aux organisations que leur fournisseur de services d’infrastructure cloud répond aux exigences applicables au sous-traitant des données en vertu du RGPD. Cela donne plus de confiance aux clients, qui savent qu'ils peuvent choisir des services cloud qui ont fait l'objet d'une vérification indépendante et qui sont bien conformes au RGPD. AWS a déclaré ses services auprès du code CISPE, car ainsi les clients bénéficient de garanties supplémentaires. Le code CISPE est le premier code de conduite paneuropéen sur la protection des données centré sur les services d'infrastructure cloud, et est avalisé par le Comité européen de la protection des données et approuvé par l'autorité française de la protection des données (la CNIL), agissant en tant qu'autorité principale de protection des données.

Oui, AWS assure les contrôles rigoureux de protection des données et de contrôle de la confidentialité définis par le code CISPE pour le contenu de tous ses clients.

EY CertifyPoint (EYCP) a certifié de manière indépendante des services AWS comme étant conformes au code CISPE. L’EYCP fut le premier « organisme de surveillance » accrédité par la CNIL à vérifier la conformité au code CISPE du fournisseur d’infrastructure cloud. Depuis, la CNIL a accrédité plusieurs autres organismes de surveillance, dont Bureau Veritas et LNE. Toutes ces sociétés sont des organismes d’audit et de certification indépendants et reconnus dans le monde entier, qui possèdent une expérience avérée dans la vérification de la conformité des entreprises vis-à-vis des exigences de protection des données.

Les services déclarés conformes au code CISPE sont enregistrés dans le registre public du CISPE comme « Adhérence contrôlée ». Pour ces services, la conformité d’AWS aux exigences du code CISPE ont été vérifiées par l’EY CertifiedPoint, un organisme de surveillance indépendant accrédité par la CNIL. Les services AWS concernés par le code CISPE figurent également à la page Services AWS concernés par le programme de conformité.

AWS prend en charge plus de normes de sécurité et de certifications de conformité que n’importe quel autre fournisseur cloud, et nous réexaminons en permanence les besoins de nos clients au fur et à mesure que l’environnement réglementaire évolue. Le code CISPE permet à nos clients de sélectionner en toute confiance des services d'infrastructure cloud pouvant être utilisés conformément au RGPD et répondant aux exigences de conformité actuelles de nos clients.

Le code de conduite du cloud européen est une initiative différente, disposant toutefois de considérations et d’approches similaires au code CISPE. Bien qu'AWS estime que le code CISPE est un excellent outil pour démontrer la conformité d'AWS au RGPD et répondre aux attentes semblables de nos clients, nous continuerons de réexaminer en permanence les besoins de nos clients au fur et à mesure que l'environnement réglementaire évolue.