Dans une lettre datée du 22 juillet envoyée à l'Agence de l’UE pour la cybersécurité (Enisa), le Comité européen de la protection des données demande une clarification des liens entre les niveaux de sécurité de l'EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) et le Règlement européen sur la protection des données (RGPD).
L'EDPB « constate que plusieurs questions importantes relatives aux liens entre l'évaluation des risques de cybersécurité et l'évaluation des risques en matière de protection des données à caractère personnel doivent être abordées » et pose la question de savoir si les détails du schéma sont suffisants pour assurer la sécurité du traitement des données personnelles.
Pour s'en assurer, l'EDPB propose d'établir un groupe de travail commun avec l'Enisa pour aider à l'articulation entre les obligations du RGPD et le schéma européen de cybersécurité.
Ce groupe pourrait contribuer à « élaborer des orientations sur la protection des données à destination des fournisseurs et clients de 'cloud' » et vérifier si les exigences intégrées dans l'EUCS prennent en compte les risques liés au partage des données.
L'EDPB propose également de développer une méthodologie d'évaluation des risques commune aux différents acteurs concernés.
À ce stade, l'adoption de l'EUCS est toujours en suspens (EUROPE 13451/10) alors que les derniers détails du texte ont fait l'objet de critiques de la part de la France, attachée à la sauvegarde de son propre système national.
Voir la lettre de l'EDPB : https://aeur.eu/f/d6k (Isalia Stieffatre)