Un code de conduite pour les fournisseurs d’IaaS
Le CISPE (Cloud Infrastructure Services Providers in Europe) vient d’éditer le premier code de conduite relatif à la protection des données.
Ce code de conduite assure aux clients que les fournisseurs d’infrastructure (IaaS) ne traiteront pas leurs données personnelles, que ce soit pour leur propre compte ou en vue de la revente à des tiers (exploration des données à caractère personnel ou profilage, à des fins de marketing ou autre activité similaire). Les entreprises qui auront recours à de tels services d’infrastructures cloud pourront par ailleurs contrôler le lieu du traitement et du stockage physique de leurs données, tout en sachant que le fournisseur de IaaS ne réutilisera ni ne revendra ces données.
Ces services seront clairement identifiables au moyen d’une marque de confiance, que les fournisseurs d’infrastructures cloud pourront utiliser afin d’indiquer leur conformité au code de conduite. Les entreprises qui respectent le code apparaîtront également sur le site Internet de l’association CISPE.
Sorte de «label rouge» de la donnée, le code de conduite doit permettre une utilisation maîtrisée des données. Tout d’abord, il s’agit du traitement et du stockage, pour lesquels les fournisseurs du CISPE s’engagent à donner la possibilité de le faire en Europe uniquement. «Les services appropriés seront clairement identifiables au moyen d’une marque de confiance, que les fournisseurs d’infrastructures cloud pourront utiliser afin d’indiquer leur conformité au code de conduite», assurent les principaux concernés.
«Il s’agit du premier code de conduite de ce type lancé à l’échelle de l’industrie : il garantit aux clients qu’ils peuvent conserver le contrôle et la propriété de leurs données», déclare Alban Schmutz, président du CISPE et vice-président en charge des affaires publiques de l’hébergeur français OVH. Mais un code de conduite n’engage pas juridiquement les industriels. En revanche, il permet aux clients d’identifier des fournisseurs déclarant fournir en Europe des services cloud conformes à la réglementation européenne adoptée au printemps dernier pour une entrée en vigueur en mai 2018.
Pour le moment l’initiative du CISPE est aussi perçue comme un outil de conformité pour les entreprises, qui comble un manque actuel en aidant à l’identification des fournisseurs engagés. Elle remporte déjà de nombreux suffrages auprès des autorités.
