EDSA : rap­port sur les acti­vi­tés coor­don­nées d’en­quête sur l’uti­li­sa­ti­on des ser­vices d’in­for­ma­tique en nuage dans le sec­teur public

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

Ven­te à emporter (AI)
  • Le rap­port de l’ED­SA (17 janv. 2023) docu­men­te les recher­ches coor­don­nées de 22 auto­ri­tés de sur­veil­lan­ce sur l’uti­li­sa­ti­on des ser­vices en nuage dans le sec­teur public.
  • Le CEF et le Sup­port Pool of Experts ont été cré­és pour ren­forcer l’ap­pli­ca­ti­on et la coopé­ra­ti­on ent­re les auto­ri­tés de sur­veil­lan­ce dans l’EEE.
  • Les sta­ti­sti­ques mont­rent dif­fé­ren­tes mesu­res de con­for­mi­té : Éva­lua­tions d’im­pact sur la pro­tec­tion des don­nées, audits de pays tiers, sur­veil­lan­ce des TOM et éva­lua­tions régu­liè­res des risques.

Le 17 jan­vier 2023, l’ED­SA, le Comi­té euro­pé­en de la pro­tec­tion des don­nées, a publié un rap­port sur les acti­vi­tés d’en­quête coor­don­nées au sein de l’UE con­cer­nant l’uti­li­sa­ti­on de ser­vices en nuage dans le sec­teur public (“2022 Coor­di­na­ted Enforce­ment Action – Uti­li­sa­ti­on de ser­vices basés sur le cloud par le sec­teur public, Adop­tée le 17 jan­vier 2023„).

Au cours de l’an­née 2022, 22 auto­ri­tés de con­trô­le de la zone EEE avai­ent lan­cé des enquêtes coor­don­nées sur l’uti­li­sa­ti­on des ser­vices d’in­for­ma­tique en nuage dans le sec­teur public, qui sont tou­jours en cours. Fin 2020, l’ED­SA avait déci­dé de mett­re en place un cad­re coor­don­né pour l’ap­pli­ca­ti­on de la légis­la­ti­on à cet effet, un “CEF” :

En octobre 2020, le Con­seil euro­pé­en de la pro­tec­tion des don­nées (CEPD) a déci­dé de mett­re en place un cad­re d’ap­pli­ca­ti­on coor­don­né (CEF). Le CEF est une action clé du CEPD dans le cad­re du deu­xiè­me pilier de sa stra­té­gie 2021 – 2023, avec la créa­ti­on d’un grou­pe de sou­ti­en d’ex­perts (SPE), visa­nt à ratio­na­li­ser l’ap­pli­ca­ti­on et la coopé­ra­ti­on ent­re les auto­ri­tés de con­trô­le (AS).

Il s’a­gis­sait sur­tout des four­nis­seurs les plus fré­quents, Micro­soft, Ama­zon, Citrix, IBM, OVH, Fuji­tsu, Ora­cle, Ado­be et Google.

Le rap­port con­ti­ent une pré­sen­ta­ti­on chro­no­lo­gi­que des actions d’en­quête en Euro­pe en rap­port avec les ser­vices d’in­for­ma­tique en nuage et des recom­man­da­ti­ons à l’at­ten­ti­on des auto­ri­tés. Cer­tai­nes don­nées sta­ti­sti­ques sont inté­res­s­an­tes, même si elles ne signi­fi­ent pas grand-cho­se sans aut­re contexte :

  • 32 des 87 auto­ri­tés avai­ent réa­li­sé une ana­ly­se d’im­pact rela­ti­ve à la pro­tec­tion des données ;
  • 21 avai­ent par­ti­cu­liè­re­ment ana­ly­sé les trans­ferts vers des pays tiers (par­fois appelés “DTIA” pour Data “Trans­fer Impact Assessment”) ;
  • 36 sur­veil­lent les TOM des four­nis­seurs d’accès ;
  • 25 avai­ent indi­qué qu’ils avai­ent mis en place des MTD et qu’ils sur­veil­lai­ent les chan­ge­ments de la situa­ti­on juridique ;
  • 35 ont pro­cé­dé à des éva­lua­tions régu­liè­res des risques.