Pour gérer vos consentements :
Categories: CloudIAAS

IaaS : le code de conduite du CISPE passe la case CNIL

Le code de conduite du CISPE, bientôt un instrument juridiquement valable pour transférer des données hors de l’Espace économique européen ? Maintenant que la CNIL l’a approuvé, c’est envisageable*. Mais l’association, qui réunit 27 fournisseurs d’infrastructure cloud, n’entend pas suivre cette voie. Le document restera, explique-t-elle, un moyen, pour qui y adhèrera, de démontrer la conformité de ses services avec le RGPD. Plus particulièrement avec l’article 28.

Les « mesures techniques et organisationnelles » dont il est question dans cet article font l’objet de précisions en annexe du code de conduite. Le CISPE a défini les 9 catégories suivantes :

  • Gestion de la sécurité des informations
  • Sécurité des ressources humaines
  • Gestion de l’accès des utilisateurs (exemples dans le premier tableau ci-dessous)
  • Sécurité physique et environnementale (deuxième tableau)
  • Serveurs et équipements physiques
  • Gestion de la protection des logiciels malveillants
  • Gestion de vulnérabilités
  • Journalisation et monitoring
  • Équipements en fin de vie

Le code de conduite ne s’applique pas aux cas dans lesquels le fournisseur est responsable de traitement. Par exemple lorsqu’il manipule des informations pour administrer le compte d’un client.

Pour déclarer un service comme étant conforme aux dispositions du code, deux procédures : soit une autoévaluation, soit une « adhésion contrôlée ». Celle-ci reposera sur des organismes de contrôle que les autorités nationales compétences (en France, la CNIL) auront agréés au préalable.

Le client n’oubliera pas que certains éléments restent de sa responsabilité. En l’occurrence, comme le spécifie le code :

  • La gestion du système d’exploitation invité et de tout logiciel applicatif et/ou tout équipement qu’il aurait installé(s)
  • La configuration des mesures de sécurité du fournisseur
  • La protection de ses données en transit et de ses identifiants de connexion

* À ce jour, aucun code de conduite approuvé n’est utilisé comme outil de transfert.

Illustration principale © imgix – Unsplash

Share
Published by
Clément Bohic
Tags: CISPECNIL
3 années ago

Recent Posts

Ce que Llama 3 dit de l’évolution des LLM

Diverses tendances animant l'univers des LLM transparaissent en filigrane du discours de Meta sur Llama…

5 heures ago

APT44, bras armé cyber de la Russie

Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…

24 heures ago

Cybersécurité : HarfangLab et Filigran connectent EDR et CTI

Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…

1 jour ago

Le hacking autonome, capacité émergente de GPT-4 ?

Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…

1 jour ago

Les applications de messagerie se mettent au chiffrement post-quantique

Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.

1 jour ago

Infrastructures LAN : une photo du marché avant la fusion HPE-Juniper

Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.

2 jours ago