Des fournisseurs de services d’infrastructure Cloud (IaaS) réunis au sein de la toute jeune coalition d’industriels CISPE (Cloud Infrastructure Services Providers in Europe) publient un code de conduite. Leur objectif : s’engager à stocker et traiter les données personnelles de leurs clients conformément au Règlement général sur la protection des données (RGPD ou GDPR, en anglais) de l’Union européenne. Sans exploration, profilage marketing ou transfert à des tiers réalisé à l’insu des clients.
« Il s’agit du premier code de conduite de ce type lancé à l’échelle de l’industrie. Il garantit aux clients qu’ils peuvent conserver le contrôle et la propriété de leurs données », déclare Alban Schmutz, président du CISPE et vice-président en charge des affaires publiques de l’hébergeur français OVH. Mais un code de conduite n’engage pas juridiquement les industriels. En revanche, il permet aux clients d’identifier des fournisseurs déclarant fournir en Europe des services Cloud conformes à la réglementation européenne adoptée au printemps dernier, pour une entrée en vigueur en mai 2018.
À ce jour, une vingtaine de fournisseurs de services d’infrastructure Cloud approuvent le code de conduite du CISPE de 40 pages mis en ligne le 26 septembre : Arsys, Art of Automation, Aruba, BIT, Daticum, Dominion, Fasthosts, FjordIT, Gigas, Hetzner Online, Home, Host Europe Group, IDS, Ikoula, LeaseWeb, Lomaco, Outscale, OVH, Seeweb, Solidhost, UpCloud, VTX, XXL Webhosting, 1&1 Internet.
Les fournisseurs certifiés « doivent proposer à leurs clients la possibilité de traiter et de stocker exclusivement leurs données sur les territoires de l’Union européenne (UE) ou l’Espace économique européen (EEE) ». Les clients pourront ainsi « contrôler le lieu du traitement et du stockage physique de leurs données, tout en sachant que leur fournisseur de IaaS ne réutilisera ni ne revendra ces données ».
Notons qu’en France, la disposition de la loi pour une République Numérique qui prévoyait d’imposer le stockage dans l’UE des données personnelles des Français a été supprimée lors de son passage en commission mixte paritaire. C’est un soulagement pour des organisations comme Tech In France, Syntec Numérique et l’Association des sites internet communautaires (Asic).
Lire aussi :
Cyberattaques : des entreprises trop confiantes face au risque
Sécurité : OVH lance son premier Bug Bounty
L’Etat français va certifier les Cloud de confiance
Jules-Henri Gavetti, Ikoula : « La localisation des données est un enjeu important »
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…