La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (notamment ses articles 40, 41 et 57) ;

Vu la délibération n° 2020-050 du 30 avril 2020 portant adoption d’un référentiel relatif à l’agrément des organismes chargés de contrôler le respect des codes de conduite ;

Vu la délibération n° 2021-065 du 3 juin 2021 portant approbation du code de conduite européen porté par CISPE (Cloud Infrastructure Service Providers Europe) ;

Vu la délibération n° 2021-076 du 17 juin 2021 portant agrément de EY CERTIFYPOINT B.V. en tant qu’organisme de contrôle du code de conduite européen porté par CISPE (Cloud Infrastructure Service Providers Europe) ;

Sur la proposition de Madame Anne Debet, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

L’article 41 du règlement général relatif à la protection des données (RGPD) prévoit que l’organisme chargé de contrôler le respect d’un code de conduite par les responsables de traitements ou les sous-traitants qui y adhèrent doit être agréé par l’autorité de contrôle compétente au titre de l’article 57.1 (q) du RGPD.

Le code de conduite européen porté par CISPE (Cloud Infrastructure Service Providers Europe) a été approuvé par la Commission le 3 juin 2021. Il identifie la CNIL comme autorité de contrôle compétente conformément aux dispositions de l’article 40.5 du RGPD. En conséquence, la CNIL est compétente pour l’instruction et la délivrance de l’agrément aux organismes de contrôle désignés le cas échéant par le code de conduite porté par CISPE.

Ce code de conduite a désigné en tant qu’organisme de contrôle la société EY CERTIFYPOINT B.V., à laquelle la CNIL a délivré le 17 juin 2021 un agrément d’une durée de cinq ans.

Le 19 mai 2026, la CNIL a été saisie par EY CERTIFYPOINT B.V. d’une demande de renouvellement d’agrément en tant qu’organisme de contrôle du code de conduite porté par CISPE, conformément à la délibération n° 2020-050 du 30 avril 2020 portant adoption d’un référentiel relatif à l’agrément des organismes chargés de contrôler le respect des codes de conduite qui prévoit que la procédure de renouvellement d’un agrément entraîne un réexamen de l’éligibilité de l’organisme de contrôle, qui peut donner lieu à une décision favorable ou à un refus.

La demande d’agrément a fait l’objet d’une évaluation par la CNIL.

Au regard des éléments transmis, la CNIL relève que la demande d’agrément présentée est conforme au référentiel d’agrément précité adopté le 30 avril 2020.

Décide :

De la délivrance d’un nouvel agrément à EY CERTIFYPOINT B.V. en tant qu’organisme de contrôle du code de conduite européen porté par Cloud Infrastructure Service Providers Europe (CISPE).

Cet agrément est délivré pour une durée de cinq ans à compter de la présente délibération.

Si les exigences relatives à l’agrément ne sont pas ou plus respectées, l’agrément peut être révoqué conformément aux dispositions de l’article 41.5 du RGPD et de l’article 23 de la loi n° 78-17 du 6 janvier 1978 modifiée.

La présidente,

M.-L. Denis