Quelles sont les recommandations du CEPD dans l’utilisation de services cloud par les autorités publiques ?
Ce message est destiné aux responsables publics de traitement de données utilisant un cloud.
Le Comité Européen de la Protection des Données (CEPD ou en anglais : European Data Protection Board / EDPB) a récemment publié un rapport concernant l'utilisation des services cloud par les autorités publiques auprès de 22 entités nationales de supervision. Concrètement, ce rapport conseille de suivre 11 recommandations aux responsables de traitement faisant usage de services cloud.
Quelles sont ces recommandations ?
- Réaliser l’Analyse d'impact relative à la protection des données (AIPD) pour identifier des mesures de sécurité supplémentaires nécessaires afin d’assurer la conformité avec les lois et règlements applicables. Seuls les fournisseurs de services cloud offrant des garanties suffisantes doivent être sélectionnés.
- S’assurer que les rôles des parties concernées soient déterminés clairement et sans ambiguïté. Les autorités publiques doivent clairement définir leurs rôles en ce qui concerne l'utilisation des services cloud par le biais d'une évaluation interne ou dans le cadre d'une AIPD.
- Le fournisseur de service cloud ne doit agir que pour le compte et selon les instructions de l’autorité publique. L'autorité publique doit vérifier qu'il y a toujours une base juridique valide pour toute transmission de données personnelles à un fournisseur de services cloud agissant en tant que responsable de traitement, que ce soit seul ou conjointement.
- Contrôler les sous-traitants actuels et ultérieurs du fournisseur cloud. Il convient en effet de veiller à ce qu'une procédure appropriée soit convenue pour pouvoir s'opposer aux nouveaux sous-traitants ultérieurs.
- Minimiser les données traitées pour des finalités claires et explicites. Il faut s’assurer que les données à caractère personnel ne soient pas traitées ultérieurement pour des finalités incompatibles avec les finalités initiales.
- Réévaluer les traitements conforme à l’analyse d’impact pour l’actualiser si nécessaire.
- Veiller à ce que la procédure de marché public inclut toutes les exigences nécessaires. Cela permet notamment de garantir la conformité au RGPD.
- Les transferts internationaux de données effectués par le fournisseur doivent être conformes au RGPD et peuvent être limités par l'autorité publique. Les autorités publiques doivent demander au fournisseur d'utiliser un outil de transfert approprié et, si nécessaire, de prendre des mesures supplémentaires appropriées.
- Examiner en détail le contrat conclu avec le fournisseur et le cas échéant, le renégocier pour garantir la conformité au RGPD.
- Vérifier les conditions possibles d’audit du fournisseur, qu’il soit effectué en interne ou par un auditeur externe mandaté.
- Impliquer le DPO dès la conception d’un projet notamment dans l’analyse des contrats et dans toutes les démarches exposées dans cette liste.
Le rapport complet du CEPD est accessible sur le site web du CEPD (en anglais).