CISPE, lobby européen du Cloud, publie un code de conduite data

OVH, Ikoula, Outscale… Des fournisseurs de services d’infrastructure Cloud créent la coalition CISPE et publient un code de conduite. Ils s’engagent à proposer la possibilité de traiter et stocker exclusivement les données de leurs clients dans l’UE ou l’Espace économique européen.

Des fournisseurs de services d’infrastructure Cloud (IaaS) réunis au sein de la toute jeune coalition d’industriels CISPE (Cloud Infrastructure Services Providers in Europe) publient un code de conduite. Leur objectif : s’engager à stocker et traiter les données personnelles de leurs clients conformément au Règlement général sur la protection des données (RGPD ou GDPR, en anglais) de l’Union européenne. Sans exploration, profilage marketing ou transfert à des tiers réalisé à l’insu des clients.

« Il s’agit du premier code de conduite de ce type lancé à l’échelle de l’industrie. Il garantit aux clients qu’ils peuvent conserver le contrôle et la propriété de leurs données », déclare Alban Schmutz, président du CISPE et vice-président en charge des affaires publiques de l’hébergeur français OVH. Mais un code de conduite n’engage pas juridiquement les industriels. En revanche, il permet aux clients d’identifier des fournisseurs déclarant fournir en Europe des services Cloud conformes à la réglementation européenne adoptée au printemps dernier, pour une entrée en vigueur en mai 2018.

S’approprier le règlement data européen

À ce jour, une vingtaine de fournisseurs de services d’infrastructure Cloud approuvent le code de conduite du CISPE de 40 pages mis en ligne le 26 septembre : Arsys, Art of Automation, Aruba, BIT, Daticum, Dominion, Fasthosts, FjordIT, Gigas, Hetzner Online, Home, Host Europe Group, IDS, Ikoula, LeaseWeb, Lomaco, Outscale, OVH, Seeweb, Solidhost, UpCloud, VTX, XXL Webhosting, 1&1 Internet.

Les fournisseurs certifiés « doivent proposer à leurs clients la possibilité de traiter et de stocker exclusivement leurs données sur les territoires de l’Union européenne (UE) ou l’Espace économique européen (EEE) ». Les clients pourront ainsi « contrôler le lieu du traitement et du stockage physique de leurs données, tout en sachant que leur fournisseur de IaaS ne réutilisera ni ne revendra ces données ».

Notons qu’en France, la disposition de la loi pour une République Numérique qui prévoyait d’imposer le stockage dans l’UE des données personnelles des Français a été supprimée lors de son passage en commission mixte paritaire. C’est un soulagement pour des organisations comme Tech In France, Syntec Numérique et l’Association des sites internet communautaires (Asic).

Sécurité : OVH lance son premier Bug Bounty

L’Etat français va certifier les Cloud de confiance

Jules-Henri Gavetti, Ikoula : « La localisation des données est un enjeu important »

Lire aussi : Le CISPE durcit le ton contre Broadcom