Cette approbation formelle suit celle du Comité européen de la protection des données (EDPB). Rédigé à l’initiative du CISPE (Cloud Infrastructure Services Providers in Europe), coalition des grands noms du secteur, ce code contribue à la bonne application du règlement, en précisant plusieurs modalités. Il est encadré par l’article 40 du RGPD. 

Concrètement, explique la CNIL, « il aidera les  adhérents à démontrer à leurs clients qu’ils répondent aux exigences de l’article 28 du RGPD, qui impose aux responsables de traitement de faire appel uniquement à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées ». 

« Une adhésion à ce code de conduite pourra servir d’élément pour démontrer l’existence de ces garanties », ajoute l’autorité, qui prévient aussi que cette adhésion n’est pas un parapluie absolu. « En effet, l’approbation du contenu du code de conduite par la CNIL ne préjuge pas de l’application qui en sera faite en pratique par les adhérents ».

• Le code de conduite CISPE