2022
L’APD participe à la première action coordonnée annuelle européenne sur l'utilisation du cloud par le secteur public
C'est aujourd'hui qu'est lancée la première action d'application coordonnée du Comité européen de la protection des données (EDPB, un organe européen indépendant composé de représentants des autorités nationales de protection des données de l'UE). Au cours des prochains mois, 22 autorités de contrôle nationales de l'EEE (incluant le Contrôleur européen de la protection des données) lanceront des enquêtes sur l'utilisation de services basés sur le cloud par le secteur public, un projet auquel participe l'Autorité belge de protection des données.
Cette série d'actions fait suite à une décision de l'EDPB de créer un cadre d’application coordonné (CEF, Coordinated Enforcement Framework) en octobre 2020. Le CEF est une action essentielle de la Stratégie 2021-2023 de l'EDPB, de même que la création d'un Support Pool of Experts (SPE, équipe d'experts de soutien). Les deux initiatives visent à rationaliser le contrôle de l'application des règles et la coopération entre autorités de contrôle.
Selon EuroStat, le recours au cloud par les entreprises a doublé dans l'UE au cours des 6 dernières années. La pandémie de COVID-19 a déclenché une transformation numérique des organisations, et celles du secteur public ont été nombreuses à se tourner vers les technologies de cloud. Ce faisant, les organisations publiques au niveau national et européen pourraient toutefois rencontrer des difficultés pour obtenir des produits et des services liés aux technologies de l'information et de la communication qui soient conformes aux règles européennes en matière de protection des données. Grâce à un accompagnement et à une action coordonnée, les autorités de contrôle entendent favoriser les bonnes pratiques et garantir ainsi une protection adéquate des données à caractère personnel.
Plus de 80 organisations publiques seront ainsi contactées dans l'EEE, dont des institutions européennes, couvrant un large éventail de secteurs (tels que la santé, la finance, la fiscalité, l'éducation, les centrales d'achats ou les fournisseurs de services informatiques). S'appuyant sur les travaux préparatoires communs de toutes les autorités participantes, le CEF sera déployé au niveau national selon une ou plusieurs des méthodes suivantes : exercice d'investigation ; questionnaire visant à identifier si une enquête formelle est justifiée ; lancement d'une enquête formelle ; suivi d'enquêtes formelles en cours. Les autorités analyseront en particulier les défis des organisations publiques au regard de la conformité au RGPD lorsqu'elles utilisent des services basés sur le cloud, en ce compris le processus et les garanties appliqués lors de l'acquisition de services cloud, les défis liés aux transferts internationaux et les clauses régissant la relation entre le responsable du traitement et le sous-traitant.
Pour sa part, l'APD a décidé de procéder en premier lieu à un exercice de récolte d’informations en envoyant un questionnaire à deux types d'organisations.
Afin d'avoir une vue d'ensemble de l'utilisation des services basés sur le cloud par le secteur public en Belgique, le questionnaire sera envoyé à deux importants fournisseurs ICT d'organisations publiques. Le questionnaire sera en outre envoyé à 6 organisations publiques qui traitent de grands volumes de données de santé et qui ont joué un rôle crucial dans le contexte de la crise du COVID-19.
Les résultats seront analysés de manière coordonnée et les autorités décideront d'éventuelles futures actions nationales de contrôle et de mise en application des règles. Les résultats seront en outre agrégés, permettant une compréhension approfondie du sujet ainsi qu'un suivi ciblé au niveau européen. L'EDPB publiera un rapport sur les résultats de cette analyse avant la fin de l'année 2022.