Premier code de conduite RGPD pour un cloud souverain européen

code de conduiteLe code de conduite simplifie la contractualisation de la sous-traitance RGPD et pose les bases d’un cloud souverain.

Face à des environnements hétérogènes et des politiques contractuelles parfois contradictoires, les parties peinent à trouver facilement un accord sur le « data processing agreement » ou « DPA ». L’initiative de prestataires du cloud au sein d’une association – le CISPE pour « Cloud Infrastructure Services Providers in Europe » – relayée par la Cnil pour l’adoption d’un code de conduite au sens de l’article 40 du RGPD, va permettre de surmonter ces difficultés et de simplifier la localisation des données personnelles au sein de l’espace économique européen.

Après un bref rappel de la notion de code de conduite au sens de l’article 40 du RGPD, il convient d’en mesurer les apports avant d’envisager les prochaines étapes.

Code de conduite : définition et genèse

Le code de conduite fixe les conditions de droit, comme les mesures techniques et organisationnelles propres à une industrie ou à une catégorie de traitements, nécessaires pour se mettre en conformité avec le RGPD, tant pour le sous-traitant que pour le responsable de traitement. Ces initiatives peuvent être prises par des associations ou organismes les représentant.

C’est à ce titre que le CISPE, créé en 2016, a pris la première initiative, conformément à l’article 40 du RGPD. ll a soumis son projet à la Cnil qui l’a examiné dès le mois de février 2021 (1). Le comité européen vient, lui aussi, de donner son feu vert (2). A noter, que l’Autorité belge de protection des données personnelles obtient également un avis favorable de l’EDPB (3), le même jour, sur l’initiative portée par l’association SCOPE Europe.

Le respect de l’adhésion à un tel code ne relève pas directement de la Cnil mais d’organismes qu’elle a habilités en application de l’article 41 du RGPD.

Notez que ces codes de conduite ne doivent pas être confondus avec ceux qui existent par ailleurs depuis quelques années en application du règlement 2018/1807, lequel a pour objet d’assurer la libre circulation des données à caractère non personnelles au sein de l’Union européenne. Des membres du CISPE ont aussi adhéré au code proposé par le SWIPO, groupement initié par la Commission européenne qui en a encouragé et facilité la création.

Les apports du code de conduite IaaS

A tous points de vue, le code de conduite détermine les modalités de mise en œuvre du traitement de sorte à fixer les standards de sécurité applicable et résoudre des questions sensibles telles que :

  • la pseudonymisation des données à caractère personnel ;
  • les informations communiquées au public et aux personnes concernées ;
  • l’exercice des droits des personnes concernées ;
  • les mesures et les procédures visées aux articles 24 et 25 et les mesures visant à assurer la sécurité du traitement visées à l’article 32 ;
  • la notification aux autorités de contrôle des violations de données à caractère personnel et la communication de ces violations aux personnes concernées ;
  • depuis l’abrogation, par l’arrêt Schrems II (4), de l’EU-US Privacy Shield, assurer l’encadrement du transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales ;
  • la gestion des procédures extrajudiciaires et autres procédures de règlement des litiges permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées en ce qui concerne le traitement, sans préjudice des droits des personnes concernées au titre des articles 77 et 79.

En l’occurrence, ce code de conduite va loin, puisque à la lumière des difficultés un temps rencontrées par Microsoft (5), il interdit toute forme d’exploitation commerciale des données des utilisateurs. La régionalisation des données au sein de l’espace économique européen permet également d’aller dans le sens d’un cloud souverain.

Concrètement, les parties dans le cadre de la conclusion d’un contrat SaaS n’ont plus qu’à :

  • faire référence au code de conduite,
  • procéder aux adaptations qui s’imposent notamment et, surtout,
  • bien prévoir les modalités de contrôle et de répartition des coûts par le prestataire agréé.

Les clauses et annexes qui donnaient lieu à des négociations sans fin, céderont la place à un référentiel unique clair et à des ajustements contractuels limités.

En outre, en termes d’exposition au risque de sanction pécuniaire en cas de manquement, il y a une prime à la souscription au code de conduite puisque l’article 83, 2, j) du RGPD prévoit une présomption de bonne foi avec effet modérateur sur la sanction à intervenir.

Prochaines étapes et perspectives

Le code de conduite IaaS n’est pas encore en vigueur, la validation finale par la Cnil après avis du CEPD ne devrait pas tarder, l’extension de ses effets par la Commission européen est espérée.

Si le code de conduite sur la gestion dans le SaaS des données personnelles avait donné lieu à un accueil plutôt réservé par le Cigref (6) qui estimait alors qu’il renforçait le lien de dépendance avec les éditeurs, nul doute que le nouveau référentiel pour la gestion des données nominatives dans le IaaS devrait être bien accueilli. Les conditions de réversibilité y sont en effet précisées.

La régionalisation des données est perçue par les premiers commentateurs (7) comme un accélérateur du cloud souverain notamment réuni au sein de l’initiative Gaia-X (8) dont font d’ailleurs partie également des membres du CISPE (9).

Quoi qu’il en soit, une nouvelle étape est franchie dans les mécanismes de conformité RGPD ce dont toutes les parties prenantes peuvent se réjouir.

Eric Le Quellenec
Lexing Informatique conseil

(1) Post CNIL, 25 février 2021
(2) Post CEPD-Comité, 20 mai 2021
(3) Post CEPD-Comité, 20 mai 2021
(4) CJUE 16-07-2020, Aff. C‑311/18, invalidation de la décision d’adéquation « EU–US Privacy Shield » (bouclier de protection des données)
(5) Post CEPD-Contrôleur, 8 avril 2019
(6) Interview du président du Cigref, le Monde informatique, 2019
(7) Post ZDNet, mai 2021
(8) Post Lexing, septembre 2020
(9) Post CISPE, mai 2021