Certification de la protection des données : des fournisseurs d’infrastructures cloud opérant en Europe déclarent leur conformité au code de conduite relatif à la protection des données

Roubaix, le 14 février 2017

Certification de la protection des données : des fournisseurs d’infrastructures cloud opérant en Europe déclarent leur conformité au code de conduite relatif à la protection des données

Une nouvelle marque de conformité établit des normes et pratiques en matière de protection des données, afin de protéger les données personnelles des clients et de respecter la législation européenne.

CISPE (Cloud Infrastructure Services Providers in Europe), une coalition de leaders du cloud computing, comptant des millions de clients européens, a annoncé que plus de 30 services respectaient le code de conduite CISPE relatif à la protection des données. Les services d’infrastructures cloud déclarés aujourd’hui sont fournis depuis des centres de données situés dans les pays européens suivants : Bulgarie, Finlande, France, Allemagne, Irlande, Italie, Pays-Bas, Espagne et Royaume-Uni.

Le code de conduite CISPE vise à aider les clients à s’assurer que leur fournisseur d’infrastructures cloud se soumet à des normes de protection des données appropriées, conformes à la législation européenne actuelle : la directive sur la protection des données et le Règlement général sur la protection des données (le «  RGPD  ») entrant en vigueur en mai 2018. Les fournisseurs de cloud qui respectent les dispositions du code de conduite s’engagent à laisser aux clients le choix de stocker et de traiter intégralement leurs données au sein de l’Espace économique européen. Les fournisseurs doivent également s’engager à ne pas accéder ni recourir aux données personnelles de leurs clients pour leur propre compte, notamment à des fins de data mining, de profilage ou de marketing direct.

L’ensemble des services d’infrastructures cloud qui respectent le code de conduite CISPE sur la protection des données figurent dans le registre public CISPE : www.cispe.cloud/PublicRegister. Leur identification est facilitée par la marque de conformité ci-contre.

Les entreprises qui déclarent leur conformité aux exigences du code de conduite CISPE représentent un groupe de fournisseurs d’infrastructures cloud de référence opérant en Europe : Amazon Web Services (AWS), Aruba, DADA, Daticum, Gigas Hosting, Ikoula, LeaseWeb, Outscale, OVH, Seeweb, SolidHost et UpCloud. D’autres entreprises seront annoncées prochainement. L’association CISPE procède actuellement à l’étude des déclarations reçues et mettra le registre public CISPE à jour en temps utile.

Le code de conduite CISPE fournit un cadre de conformité en matière de protection des données. Celui-ci permet aux clients de déterminer plus facilement si les services d’infrastructures cloud proposés par un fournisseur donné répondent à leurs besoins en confidentialité et en sécurité. Il simplifie également le respect par les fournisseurs de leurs obligations actuelles et celles prévues par le RGPD. Il vise à faciliter la bonne application des nouvelles règles européennes en matière de protection des données établies par le RGPD. Les membres de CISPE ont pour objectif commun avec le RGPD de renforcer les droits fondamentaux des citoyens à l’ère numérique, et prennent donc l’initiative d’exposer dans leurs grandes lignes les bonnes pratiques, devançant l’entrée en vigueur du RGPD l’année prochaine.

D’après Alban Schmutz, Président de CISPE et Vice-président chargé du développement et des affaires publiques d’OVH : «  L’annonce d’aujourd’hui marque un grand pas en avant dans la protection des données en Europe. Chaque client sera assuré que son fournisseur d’infrastructures cloud, s’il se conforme au code de conduite CISPE, protègera ses données suivant des normes précises. Le code de conduite CISPE fournit aux Européens l’assurance que leurs informations ne seront pas utilisées pour une autre fin que celle stipulée. La marque de conformité CISPE répond précisément à cela, en assurant la cohérence au sein de l’Europe, réclamée par les Européens.  »

«  Le code de conduite CISPE est une initiative commune et responsable portée par des représentants de l’industrie des services d’infrastructures cloud, un moteur économique clé pour l’Europe, afin d’anticiper l’entrée en vigueur du RGPD  », déclare Michal Boni, membre du Parlement européen. «  Il est crucial que les services de cloud offrent une sécurité et une fiabilité proportionnelles aux risques accrus découlant de la concentration de données. L’Europe devrait agir en chef de file et promouvoir des normes et spécifications en faveur de services de cloud compatibles avec la confidentialité, fiables, hautement interopérables, sécurisés et économes en énergie, qui devraient faire partie intégrante de l’initiative de cloud européen. Fiabilité, sécurité et protection des données sont nécessaires pour la confiance des consommateurs et la compétitivité.  »

Le code se veut un moyen pour les clients européens de déterminer si un service d’infrastructure cloud particulier prévoit des garanties en adéquation avec leurs besoins en confidentialité et en sécurité.

Les dirigeants des entreprises témoignent de leur engagement derrière le code de conduite CISPE :

«  Dès le début, nous nous sommes fixé l’objectif de proposer des services de cloud pouvant garantir la sécurité et la protection des données que nous hébergeons. Nous étions parmi les premiers à concevoir un modèle permettant à nos clients de sélectionner le pays dans lequel activer des serveurs et héberger leurs données  », explique Stefano Cecconi, PDG d’Aruba S.p.A. «  Et aujourd’hui, ces garanties concernant la sécurité et la protection des données se voient certifiées par la conformité des services IaaS d’Aruba avec l’ensemble des exigences fixées par le CISPE.  »

«  Le code de conduite sur la protection des données constitue un nouvel outil puissant entre les mains de nos clients, qui leur permettra de satisfaire aux exigences européennes en matière de protection des données. Notre conformité au code vient s’ajouter à la longue liste de certifications et d’accréditations reconnues au niveau international que possède déjà AWS, y compris les accréditations ISO 27001, ISO 27018, ISO 9001, SOC 1, SOC 2, SOC 3, PCI DSS de niveau 1, etc.  », déclare Steve Schmidt, Responsable de la sécurité des systèmes d’information chez Amazon Web Service.

«  Avec l’adhésion à ce code, nous souhaitons montrer que nous sommes fin prêts pour prendre en compte tout le contexte règlementaire en la matière  », assure Georgi Tsekov, Directeur des ventes chez Daticum.

«  Chez Gigas, le premier représentant espagnol dans le domaine du cloud computing au sein de l’association européenne CISPE, nous renforçons notre engagement en matière de transparence et de confidentialité parfaite de nos données clients. Nous avons conscience du caractère crucial de cette confidentialité tant pour les administrations publiques que pour les entreprises privées, et nous anticipons les exigences du Règlement général européen sur la protection des données  », confirme Diego Cabezudo, PDG de Gigas.

«  Le code de conduite CISPE constitue un grand pas en avant vers la reconnaissance de l’ensemble des efforts réalisés par les institutions et les fournisseurs de cloud européens afin de soutenir les droits des citoyens européens et leur vie privée. EnterCloudSuite est l’un des principaux fournisseurs d’infrastructures cloud en Italie et en Europe et, depuis sa création en 2013, il tient compte du modèle réglementaire européen. Lorsque nous sommes devenus fournisseur public d’infrastructures cloud pour 52 institutions européennes en 2015, nous avons compris que soutenir le cadre règlementaire européen en matière de protection des données était la clé pour être compétitif sur ce marché  », affirme Mariano Cunietti, directeur technique d’Enter.eu.

Selon Jules-Henri Gavetti, PDG et fondateur d’Ikoula : «  Une base commune était nécessaire pour anticiper les évolutions de la législation relative à la protection des données. Grâce au code de conduite CISPE, les principaux fournisseurs d’infrastructures européens se sont regroupés pour défendre des normes élevées en matière de stockage et de traitement des données personnelles des clients. Nous sommes fiers de faire partie de cette association qui renforce les valeurs que nous défendons.  »

«  LeaseWeb, le plus important fournisseur de IaaS aux Pays-Bas et l’un des plus grands en Europe, souhaite que ses clients, ses partenaires commerciaux, ainsi que les autorités de protection de la vie privée soient assurés que ses rôles et responsabilités en matière de traitement des données sont conformes au RGPD. Nous assurons un niveau de sécurité exceptionnel et nous souhaitons le faire valoir en prenant part au code de conduite CISPE  », assure Con Zwinkels, PDG et fondateur de LeaseWeb Global.

«  En tant qu’acteur de référence en Europe et numéro 1 en France dans le domaine du cloud, nous nous efforçons d’assurer un degré élevé de sécurité des données, de sorte que nos clients aient confiance en nos solutions cloud. De nos jours, nous estimons que cela est indispensable pour être compétitif sur le marché du cloud. Nous nous appliquons à prendre part à l’initiative CISPE afin d’assurer un service d’excellence en matière de cloud computing  », explique Laurent Seror, fondateur et Président d’OUTSCALE.

«  Nos clients sont un atout : nous estimons que la préservation de leurs données est la partie la plus importante de notre mission industrielle. Nous devons veiller sur ces données, accorder de l’importance au moindre aspect relatif à leur sécurité, leur confidentialité et leur protection, etc., à travers des centres de données, du personnel et des process certifiés. Rejoindre le CISPE a représenté une étape importante pour nous. Notre adhésion au code de conduite CISPE apporte une grande valeur ajoutée, que nous mettons à disposition de nos clients et du marché  », indique Antonio Baldassarra, PDG de Seeweb.

«  Les acteurs du IaaS unissant leurs forces au sein du CISPE, ainsi que leur code de conduite, ont constitué une avancée majeure dans l’évolution de l’ensemble d’Internet. Nous estimons qu’il est très important de respecter les valeurs initiales d’Internet, qui était à l’origine le produit d’une collaboration ouverte  », déclare André van Vliet, PDG de SolidHost. «  En fin de compte, nous nous en remettons tous à la confiance et à la sécurité, et nous devons constamment chercher à aller dans ce sens. Le code CISPE va grandement faciliter cela.  »

«  UpCloud a toujours accordé beaucoup d’importance à la vie privée des clients. Cela nous semble donc naturel d’être parmi les premiers fournisseurs d’infrastructures en Europe à promouvoir le code de conduite CISPE, visant la bonne application du RGPD dans notre secteur  », explique Antti Vilpponen, PDG d’UpCloud.

«  Notre engagement à l’égard de la satisfaction de nos clients nous incite à proposer des solutions innovantes qui devancent les besoins du marché en matière de sécurité et de transparence de nos services. Notre objectif est de continuer à y répondre en tant que leader international proposant des services professionnels conçus pour accroître la confiance et l’efficacité sur Internet  », assure Claudio Corbetta, PDG de DADA Group.

À propos des infrastructures cloud

L’Infrastructure as a Service (ou IaaS) est au cœur de l’agenda numérique européen et de la nouvelle économie. Les infrastructures cloud permettent aux entreprises innovantes de déployer rapidement des solutions globales, sans avoir à effectuer de dépenses de capital, ou de déployer une infrastructure privée. La spécificité des fournisseurs d’infrastructures cloud est de posséder les infrastructures de stockage et de calcul qu’ils fournissent à leurs clients, sans avoir accès aux données stockées ou traitées. Les fournisseurs d’infrastructures permettent à leurs clients d’avoir une très grande flexibilité, tant technique que financière. Ce sont les fournisseurs sur lesquels d’autres acteurs du cloud computing construisent leurs propres services. Le déploiement d’infrastructures de cloud computing est la clé du succès du marché unique numérique, puisqu’il permet aux entreprises et aux administrations de se concentrer sur l’innovation et la fourniture de produits et services de haute qualité.

À propos de CISPE

CISPE est une coalition d’entreprises technologiques, axée sur la fourniture de services d’infrastructures de Cloud Computing à travers l’Europe. Basés dans 11 pays européens (Bulgarie, France, Allemagne, Espagne, Finlande, Italie, Pays-Bas, Norvège, Pologne, Suisse, Royaume-Uni) et opérant dans plus de 15 pays membres de l’Union européenne, les fournisseurs de services d'infrastructure de cloud computing suivants approuvent le code de conduite du CISPE : Arsys, Art of Automation, Aruba, BIT, Daticum, Dominion, Fasthosts, FjordIT, Gigas, Hetzner Online, Home, Host Europe Group, IDS, Ikoula, LeaseWeb, Lomaco, Outscale, OVH, Seeweb, Solidhost, UpCloud, VTX, XXL Webhosting, 1&1 Internet. Le CISPE est régi par une majorité de (a) organisations ayant leur siège social mondial en Europe ou dans l’espace économique européen, avec une représentation d’au moins trois États membres différents, et (b) une majorité de petites entreprises et de mid cap (moins d’un milliard d’euros de chiffre d’affaires). Tout fournisseur d’infrastructures de cloud dont les services répondent aux exigences de confidentialité et de sécurité dans le traitement des données du code CISPE peuvent devenir membres. Le CISPE veillera à ce que les fournisseurs d’infrastructures cloud, et particulièrement les petites et moyennes entreprises, soient au cœur du débat sur la politique publique européenne concernant le cloud computing. Les membres du CISPE partagent l’engagement de la Commission européenne à l’amélioration de l’accès aux biens et services numériques et à la création d’un environnement où les services numériques peuvent prospérer.