Consultation relative au Cloud computing

Dimension: px
Commencer à balayer dès la page:

Download "Consultation relative au Cloud computing"

Transcription

1 Consultation relative au Cloud computing Observations et commentaires de l AFDIT et de l ITECHLAW 17 novembre 2011 Consultation ouverte du 17 octobre au 17 novembre 2011 Consultation Cloud Computing 1

2 Fiche de présentation de la partie prenante à la consultation (toutes les informations sont facultatives) Nom de la société 1. Association Française du Droit de l Informatique et de la Télécommunication (AFDIT), Commission «données personnelles» André Meillassoux - Président de l AFDIT Claire Bernier Responsable de la Commission 2. International Technology Law Association (ITechLaw), Data Protection Law committee Alexander Blumrosen Président de l ITechLaw Claire Bernier co-président du Committee, co-représentant de l ITechLaw en France André Meillassoux - co-représentant de l ITechLaw en France Me André Meillassoux Cabinet ATM Avocats, 10 boulevard Suchet Paris Me Alexander Blumrosen Cabinet Bernard-Hertz-Béjot, 8 rue Murillo Paris Me Claire Bernier Cabinet ALTANA, 45 rue de Tocqueville Paris Secteur d activité : Juridique spécialisation dans les nouvelles technologies Pays dans lequel se trouve l établissement principal : Pour le Cloud computing, vous êtes : Un prestataire Un Client L AFDIT et l ITechLaw sont des associations reconnues tant au niveau national qu au niveau international, regroupant les acteurs majeurs du droit des technologies qui s intéressent aux problématiques juridiques uniques qui en découlent. Consultation Cloud Computing 2

3 1. L'AFDIT (Association Française du Droit de l Informatique et de la Télécommunication) Fondée en 1985 par des personnalités du monde du droit des nouvelles technologies, l'afdit est l'une des associations au service de la communauté du droit des technologies parmi les plus largement établies en France. L'AFDIT est fondatrice de l'international Federation of Computer Law Associations (IFCLA). Ces associations couvrent un large éventail d'expertises dans le domaine du droit des technologies et regroupent en leurs seins avocats, juristes d'entreprise, universitaires, magistrats, ingénieurs et experts. L'AFDIT est un forum unique en France pour l'échange d'idées et l'examen en profondeur des technologies de l'information et de la télécommunication, et pour débattre des questions de droit que ces matières soulèvent. 2. L ITechLaw (International Technology Law Association - anciennement dénommée Computer Law Association) Créée dès 1971 aux États-Unis, l ITechLaw est une O.N.G. accréditée auprès de plusieurs organisations internationales dont la CNUDCI, l OMPI et la Conférence de La Haye de Droit International Privé, aux travaux desquelles elle contribue activement. Présente sur tous les continents et couvrant plus de 60 pays, ses membres et ses responsables possèdent l ensemble des expertises propres au droit des technologies de l'information et de la télécommunication. L ITechLaw est un lieu d'échange d'idées et d études en profondeur des problématiques juridiques liées aux technologies de l'information et de la télécommunication. Ces échanges ont lieu dans différents contextes permettant, d une part, une participation mondiale lors de conférences internationales et une contribution plus régionale voire nationale lors de comités réduits et, d autre part, une information et une sensibilisation des professionnels aux implications juridiques des technologies de l'information et de la télécommunication. Merci de renvoyer ce document par voie électronique à ou par courrier papier à Commission Nationale Informatique et Libertés CNIL Service des affaires européennes et internationales 8 Rue Vivienne PARIS. Consultation Cloud Computing 3

4 Terminologie / abréviations : Dans le cadre de cette consultation, la société offrant des services de Cloud computing sera dénommée «prestataire», les entreprises et administrations clientes de prestataires de Cloud seront appelées «client». I. Définition du Cloud computing A. Le Constat de la CNIL Le terme Cloud computing étant à la fois récent et recouvrant de nombreuses notions, il n y a pas encore de consensus pour en donner une définition précise. B. Solution proposée Une approchée fondée sur les éléments caractéristiques du Cloud computing nous semble ici plus appropriée. La CNIL propose donc de retenir le faisceau d indices suivant afin de caractériser l existence d une prestation de Cloud computing : simplicité d un service à la demande : un utilisateur peut de manière unilatérale, immédiatement et généralement sans intervention humaine, avoir à disposition les ressources informatiques dont il a besoin (temps de calcul de serveurs, capacité de stockage, etc.). extrême flexibilité : les ressources mises à disposition ont une capacité d adaptation forte et rapide à une demande d évolution, généralement de manière transparente pour l utilisateur. accès «léger» : l accès aux ressources ne nécessite pas d équipement ou de logiciel propriétaire. Il se fait au travers d applications facilement disponibles (parfois libres 1 ), généralement depuis un simple navigateur Internet. virtualisation des ressources : les ressources informatiques du prestataire sont configurées pour être utilisées par une multitude de machines et sont souvent réparties dans différents centres d hébergements (éventuellement dans différents endroits de la planète). paiement «à l usage» : le paiement de la prestation de Cloud computing peut s effectuer proportionnellement à l usage. 1 Une application / logiciel libre est une application/logiciel dont la licence donne à chacun (et sans contrepartie) le droit d'utiliser, d'étudier, de modifier, de dupliquer, et de diffuser le dit logiciel. Il existe également des systèmes d exploitation libres comme LINUX. 4

5 C. Question posée Ce faisceau d indices permet-il selon vous de caractériser une prestation de Cloud computing? Selon vous, faut-il compléter ce faisceau d indices? Afin de faciliter la lecture et la compréhension de nos remarques et suggestions, nous nous sommes permis de reprendre les éléments constituant le faisceau d'indices proposés par la CNIL et d'intégrer celles-ci en modifications apparentes dans le corps même des définitions proposées. simplicité d un service fourniture simplifiée pour le client d'une SOLUTION informatique à la demande immédiate dans un cadre technique prédéterminé par le prestataire : un utilisateur peut de manière unilatérale, immédiatement et généralement sans intervention humaine, avoir à disposition les ressources informatiques dont il a besoin (que ce soit logicielles ou d infrastructure tel que temps de calcul de serveurs, capacité de stockage, etc.) dans la limite du cadre technique proposé par le prestataire. extrême flexibilité solution informatique sur-mesure et personnalisée dans la limite du cadre technique prédéterminé par le prestataire : les ressources mises à disposition la solution informatique proposée au client a ont une capacité d adaptation forte et rapide aux besoins présents du client dans la limite des ressources mises à disposition par le prestataire. élasticité permanente de la solution informatique : la solution informatique proposée au client a une capacité évolutive importante (extension ou réduction) selon les besoins du client dans la limite des moyens techniques et des ressources dédiées à cette fin par le prestataire dans le cadre de la solution informatique fournieà une demande d évolution, généralement de manière transparente pour l utilisateur. accès «léger»à distance et facile à une solution informatique externalisée : l accès aux ressources ne nécessite pas d équipement ou de logiciel propriétaire. Il se fait au travers d applications facilement disponibles (parfois libres), généralement depuis un simple navigateurà travers le réseau Internet. dématérialisation et mutualisation virtualisation des ressources : les ressources informatiques du prestataire sont configurées conçues pour être utilisées par une multitude de machines terminaux et sont souvent réparties dans différents centres d hébergements (éventuellement généralement dans différents endroits de la planète). paiement «à l usage» rationalisation des coûts grâce à une faculté deune facturation en fonction de la consommation réelle du client ou par forfait : le paiement montant de la prestation de Cloud computing peut s effectuer être calculé proportionnellement à l exploitation qui en est faite par le clientl usage. 5

6 accès unique à un espace dédié mais non individualisé de stockage de données : les données d un même client sont réparties/dispersées dans différentes unités de stockage et chaque unité de stockage contient des données de différents clients. organisation des données déterminée par le client avec une mise en adéquation technique opaque par le prestataire : l arborescence pour le classement des données est établie par le client mais les moyens techniques mis en œuvre pour l enregistrement, la localisation, la récupération et la sécurisation des données demeurent inconnus de celui-ci. absence d identification de chaque propriétaire des données : l identification des clients propriétaires des données n est pas possible au niveau des unités de stockage. II. La qualification des parties : vers une présomption de soustraitance? A. Le principe Aux termes de l article 3 de la loi de 1978, le responsable de traitement est défini comme la personne physique ou morale qui détermine les finalités et les moyens du traitement de données à caractère personnel. Le sous-traitant quant à lui, traite les données à caractère personnel pour le compte du responsable de traitement et selon ses instructions. B. Solution proposée 1. Le client Le client sera toujours responsable de traitement. En effet, en collectant des données et en décidant d en externaliser le traitement auprès d un prestataire, il est responsable de traitement en ce qu il détermine les finalités et les moyens de traitement des données. 2. Le prestataire En principe, le prestataire agit pour le compte et sur les instructions du client responsable de traitement. Dès lors, il semble possible d établir une présomption de sous-traitance dans la relation qu entretiennent le client et le prestataire. Une telle présomption sera particulièrement effective lorsque le client aura recours à un Cloud privé 2 qui implique une grande maîtrise de la réalisation de la prestation du Cloud. 2 Dans le Cloud privé, les ressources informatiques (infrastructure, applications, etc.) sont mises à disposition d une seule et même organisation client. Ces ressources peuvent être détenues, gérées et administrées par 6

7 En revanche, lorsqu un client a recours à un Cloud public 3, les rôles respectifs du client et du prestataire peuvent s avérer difficiles à déterminer, et dépendront également du type de services souscrit par le client. La Commission propose que la présomption de sous-traitance puisse tomber en application d un faisceau d indices qui doit permettre de déterminer la marge de manœuvre dont dispose le prestataire pour réaliser la prestation de services. Critère Niveau d instruction Degré de contrôle de l exécution de la prestation. Expertise du prestataire Degré de transparence du responsable de traitement au niveau de la prestation de services. Signification Evaluer dans quelle mesure le prestataire est tenu par les instructions du client et par les finalités poursuivies. Evaluer le niveau de contraintes que le client peut imposer au prestataire. Ce critère ne devrait pas influer sur la détermination de la qualité de responsable de traitement ou de soustraitant au sens de la loi Informatique et libertés. Evaluer le niveau d expertise du prestataire afin de savoir dans quelle mesure il maîtrise le traitement des données. Ce critère ne devrait pas influer sur la détermination de la qualité de responsable de traitement ou de sous-traitant au sens de la loi Informatique et libertés. Savoir dans quelle mesure l identité du prestataire est connue des personnes concernées. En effet, si l identité du prestataire est connue par les personnes concernées qui utilisent les services du client, le prestataire pourra être présumé comme agissant également comme responsable de traitement. Ce critère ne devrait pas influer sur la détermination de la qualité de responsable de traitement ou de sous- l organisation elle-même le client lui-même ou par un tiers. Dans tous les cas, l organisation le client a généralement une maîtrise sur l infrastructure associée et la localisation des données. Lorsque l infrastructure est partagée entre plusieurs organisations clients supportant une communauté précise et ayant des préoccupations communes, on parle alors de «Clouds communautaires». 3 Dans le Cloud public, les ressources informatiques sont exploitées par des tiers et font coexister les tâches soumises par un grand nombre de clients sur les mêmes serveurs, systèmes de stockage et autres composants de l'infrastructure. L'utilisateur final n'a généralement aucun moyen de savoir quels autres usagers sont présents sur le serveur, le réseau ou le disque sur lequel ses tâches sont exécutées. Il existe également des Clouds hybrides, une partie publique, une partie privée. 7

8 traitant au sens de la loi Informatique et libertés. L application de ce faisceau d indices permettra notamment de prendre en compte la nature particulièrement standardisée des offres de Cloud computing dont il résulte généralement une très grande maîtrise de la prestation par le prestataire. La CNIL soumet donc à consultation l analyse suivante : - le client est nécessairement responsable de traitement -le prestataire est présumé sous-traitant à moins que le faisceau d indices ne fasse tomber cette présomption démontrant alors que le prestataire agit comme responsable de traitement. Dans le cadre de la réflexion menée sur la révision de la directive, il serait intéressant de réfléchir à la création d un statut légal pour le sous-traitant afin de faire peser sur ce dernier un certain nombre d obligations spécifiques. C. Question posée L analyse présentée ci-dessus reflète-t-elle selon vous la spécificité du Cloud computing? Pourquoi? Observation préliminaire : Il est à noter que la notion de «sous-traitance» telle qu exprimée dans la loi Informatique et libertés correspond à la notion juridique de «prestataire» à qui il est confié l exécution d une prestation. Cette notion de «sous-traitance» ne correspond pas à la notion juridique générale notamment commerciale de «sous-traitance» telle que définie par les textes législatifs en France, notamment la Loi n du 31 décembre 1975 modifiée relative à la sous-traitance. La qualification de «sous-traitant» du prestataire au sens de la loi Informatique et libertés exonère ledit prestataire de toute responsabilité relevant des obligations incombant au Responsable de traitement. En conséquence, les termes «sous-traitance» ou «sous-traitant» dans nos commentaires, pour l intégralité de ce document, devront être compris au seul sens de la loi Informatique et libertés. 8

9 La question est de savoir si la spécificité du Cloud computing, qui réside notamment dans l obligation de recourir aux moyens imposés par le sous-traitant, doit impliquer la création d un régime spécifique aux sous-traitants entrainant la non-application des dispositions actuelles de la loi Informatique et libertés? : Non. Les différentes dispositions existantes en droit français, tant au regard des dispositions spécifiques de la loi Informatique et libertés qu au regard du droit pénal et du droit civil (contractuel et délictuel), permettent de couvrir les différentes situations envisageables dans le cadre des prestations de Cloud computing. Aux termes de l article 35 de la loi Informatique et libertés : «Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement. Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi. Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.» Il ressort de l article 35 susvisé que le client est responsable de traitement et que le prestataire bénéficie d une présomption de sous-traitance au sens de la loi Informatique et libertés, exonératoire de responsabilité dès lors qu il agit sur instruction du client, peu importe que le prestataire impose ou non les moyens au client. Dans la mise en œuvre d un Cloud (public ou privé), le client définit la finalité du traitement et le prestataire impose les moyens. La présomption ci-dessus rappelée de sous-traitant devrait donc être retenue. Celle-ci est d autant plus nécessaire en matière de Cloud public que de telles prestations sont généralement fournies par le prestataire dans le cadre d un contrat d adhésion. Aux termes de l article 34, alinéa 1 de la loi Informatique et libertés, «le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.» 9

10 En raison de la dématérialisation des données et des flux transfrontaliers que le Cloud computing engendre, le sous-traitant peut être amené à réaliser un nombre plus vaste de prestations entrainant des risques notamment sécuritaires plus importants que lors de la mise en œuvre d une solution informatique plus traditionnelle. La diversification et l importance quantitative des prestations fournies par le sous-traitant ne sauraient entrainer pour le soustraitant une modification de sa qualité de sous-traitant au profit d une qualité de responsable de traitement. Que le sous-traitant propose directement ou indirectement les finalités de traitement et des moyens mis en œuvre non connus du client, il n en demeure pas moins que ces finalités et ces moyens sont acceptés par le client et mis en œuvre sur instruction et pour le compte du client. En revanche, compte-tenu de l absence de connaissance et/ou de contrôle des moyens techniques mis en œuvre par le sous-traitant dans le cadre de la réalisation de ses prestations, il devrait être étudié un renforcement des obligations mises à la charge dudit sous-traitant entrainant un élargissement de sa responsabilité au titre de sa qualité de sous-traitant. Les obligations a minima du sous-traitant pourraient être prévues dans le cadre d une norme (cf. ci-après 6). Il ne semble donc pas justifié au regard de la spécificité du Cloud à ce jour d établir un faisceau d indices qui ferait tomber la présomption de sous-traitance. Que pensez-vous d un régime juridique spécifique pour les prestataires? Compte-tenu : - du nombre de prestataires aux expertises techniques nécessairement distinctes impliqués dans la fourniture de solution de Cloud, - des évolutions inévitables dans les expertises requises dans la fourniture de solution de Cloud, - des législations d ores et déjà existantes en France pouvant s appliquer à ce type de prestations. En effet, le prestataire fournissant la solution de Cloud est lié par l ensemble des obligations incombant à un fournisseur de solution informatique dont notamment (i) une obligation d information, (ii) une obligation de conseil et de mise en garde, (iii) une obligation de sécurisation et confidentialité des données, à ce stade du développement des prestations de Cloud, la création d un régime juridique spécifique aux solutions de Cloud ne semble pas nécessaire, voire judicieux. Il ne paraît pas justifié d établir un régime spécifique notamment de présomption de responsabilité (en qualité de responsable de traitement) du sous-traitant de Cloud. 10

11 III. Le droit applicable Le Cloud computing étant basé sur l utilisation de multiples serveurs situés en divers points de la planète, les difficultés quant à la détermination du droit applicable sont évidentes. En effet, la flexibilité et la fluidité des transferts de données rendent potentiellement applicables autant de lois que de pays dans lesquels se trouvent des serveurs traitant les données. Il est pourtant particulièrement important d identifier la loi applicable, afin notamment de déterminer quelles obligations pèsent sur le responsable de traitement. A. Le principe Aux termes de l article 5 de la loi du 6 janvier 1978 modifiée, la loi s applique si le responsable de traitement : a son établissement sur le territoire français a recours à des moyens de traitement situés sur le territoire français (sans être établi sur le territoire d un autre Etat membre) B. Pistes de réflexion Alors que la CNIL est favorable à une extension de la notion de moyens de traitement, elle souhaite tout de même tempérer les conséquences excessives d une interprétation particulièrement large des moyens de traitement et une éventuelle application systématique de la loi française. Question posée : Selon vous quels critères pourraient permettre de déterminer la loi applicable aux acteurs du Cloud? La détermination de la loi applicable constitue une interrogation récurrente chez les acteurs du Cloud. En France, les violations des dispositions de la loi Informatique et libertés constituent des délits pénaux punis d emprisonnement. La loi pénale française est d Ordre Public dont les spécificités seront rappelées ci-dessous. A toutes fins utiles et compte-tenu de la question précédente relative à un éventuel statut légal du sous-traitant de Cloud computing, nous avons également évoqué la question de la loi applicable d un point de vue de droit civil. 11

12 1. Sur le plan pénal En matière d application de la loi pénale dans l espace, il convient de rappeler les principaux textes pouvant être pertinents dans le contexte de la fourniture d une solution de Cloud : L article du Code pénal énonce «l infraction est réputée commise sur le territoire de la République dès lors que l un de ses faits constitutifs a eu lieu sur ce territoire». L article du Code pénal énonce : [la loi pénale française- Ndlr] est applicable aux délits commis par des Français hors du territoire de la République si les faits sont punis par la législation du pays où ils ont été commis. L article du Code pénal énonce : «la loi pénale française est applicable à tout crime ainsi qu à tout délit puni d emprisonnement commis par un français ou par un étranger hors du territoire de la République lorsque la victime est de nationalité française au moment de l infraction». La loi pénale française est donc applicable tant à l égard des responsables de traitement que des sous-traitants dès lors que : - un des éléments constitutifs de l infraction est commis sur le territoire français (Cf. article du Code pénal) - la victime est française au moment de l infraction (Cf. article du Code pénal) - l infraction est commise hors du territoire français mais par un Français et que les faits sont punis par la législation du pays où ils ont été commis (Cf. article du Code pénal). En matière de Cloud, compte-tenu de l importance des acteurs impliqués dans la fourniture de la solution de Cloud et des services liés ainsi que des flux transfrontaliers inhérents à la fourniture de la solution de Cloud, la loi pénale française pourrait être applicable dans de nombreuses situations. 2. Sur le plan civil La fourniture d une solution entrant dans le cadre d un contrat entre le client et le soustraitant, les parties au contrat peuvent prévoir une clause d élection de la loi du for avec une clause attributive de compétence (cette dernière ne suffisant pas à elle seule à autoriser la juridiction désignée à appliquer la loi de son pays). 12

13 En l absence de telles dispositions dans le contrat, la juridiction française saisie du litige fera application des dispositions de droit international privé en se fondant notamment sur l article 4 du Règlement Rome 1 : «1. Dans la mesure où la loi applicable au contrat n a pas été choisie conformément aux dispositions de l article 3, le contrat est régi par la loi du pays avec lequel il présente les liens les plus étroits. Toutefois, si une partie du contrat est séparable du reste du contrat et présente un lien plus étroit avec un autre pays, il pourra être fait application, à titre exceptionnel, à cette partie du contrat de la loi de cet autre pays.» Dans un contrat de fourniture d une solution de Cloud, la difficulté résidera dans la détermination des critères caractérisant les liens les plus étroits entre le contrat et les pays où seront exécutés une partie du contrat. Il est généralement présumé que le contrat présente les liens les plus étroits avec le pays où la partie qui doit fournir la «prestation caractéristique» a, au moment de la conclusion du contrat, sa résidence habituelle. La «prestation caractéristique» correspond, par exemple, à la livraison de marchandises dans le contrat de vente ou la prestation de services dans un contrat de fourniture de services. La plupart des prestataires de Cloud étant localisés à l étranger, une loi autre que la loi française serait donc la loi applicable. Certains prestataires proposent de considérer, à défaut d accord international, la «prestation caractéristique» d un Cloud comme le lieu de localisation géographique des serveurs et appliquer, dès lors, la loi du pays dans lequel les serveurs se situent. Ces solutions ne paraissent pas satisfaisantes en matière de Cloud : - les clients sont généralement liés par des contrats d adhésion dans lesquels il ne leur est pas possible de modifier les clauses attributives de loi applicable et de juridiction compétente imposées par le prestataire, - les clients seraient amenés à exposer des frais importants pour faire respecter leurs droits en raison de la grande incertitude juridique qui pèse sur la détermination de la loi applicable résultant, tant de la localisation indéterminée des données que dans le fait que la résidence habituelle des prestataires est généralement à l étranger, et ce, alors que la technologie même du Cloud les rend dépendants techniquement de leur prestataire et donc «vulnérables». En matière délictuelle, la question reste également entière puisqu en cas de conflits de loi, le Règlement Rome II prévoit qu est applicable «la loi du pays où le dommage survient; ou à défaut la loi du pays où la personne responsable et la personne lésée ont toutes les deux leur résidence habituelle au moment de la survenance du dommage ; ou à défaut la loi du pays avec lequel la situation présente des liens manifestement plus étroits que les pays précités». En conséquence, compte tenu de la multiplicité des acteurs du Cloud et de l enjeu stratégique et vital que constitue le Cloud pour un client qui externalise tout ou partie de son système informatique, ces questions en matière contractuelle et en matière délictuelle restent aujourd hui difficiles et nécessitent de plus amples analyses comme a pu le relever le G29 dans son avis WP 179 rendu le 16 décembre

14 II. Encadrement des transferts A. Le principe Aux termes de l article 68 de la loi de 1978, les données à caractère personnel ne peuvent faire l objet d un transfert que si l Etat dans lequel se situe le destinataire de données assure un niveau de protection adéquat. L article 69 de ladite loi prévoit expressément les outils permettant d encadrer ce type de transferts : clauses contractuelles types, règles internes d entreprises (ou BCR), Safe Harbor ou exceptions. Le recours à ces outils implique de connaître le ou les pays dans lesquels les données vont être communiquées, élément essentiel pour procéder aux déclarations/autorisations auprès de la CNIL et pour informer les personnes concernées des transferts vers ces pays. Or, le Cloud computing est le plus souvent fondé sur une absence de localisation stable des données. Le Client est donc rarement en mesure de savoir en temps réel où se trouve les données et où elles sont transférées et stockées. Dans ce contexte, les instruments juridiques permettent d encadrer les transferts de données vers des pays tiers n assurant pas un niveau de protection adéquat démontrent leurs limites. Il existe par ailleurs des exceptions au principe d interdiction de transferts B. Solutions proposées (i) Sur un plan juridique La multiplication des lieux potentiels de stockage des données rend difficile la mise en œuvre des instruments juridiques garantissant un niveau de protection adéquat. La CNIL propose d une part, d appeler les prestataires de services à intégrer les clauses contractuelles types dans leurs contrats de prestations de services, d autre part, de réfléchir à la faisabilité de BCR sous-traitants. Ces «BCR sous-traitants» permettraient à un client du prestataire de confier ses données personnelles à ce sous-traitant en étant assuré que les données transférées au sein du groupe du prestataire bénéficie d un niveau de protection adéquat. (ii) Sur un plan technique L encadrement des transferts pourrait également dépendre des solutions techniques utilisées. Certains prestataires évoquent par exemple le recours à des «métadonnées» 4 pour définir ou 4 Méthode permettant de lier des informations précises aux données et notamment permettrait de déterminer le périmètre géographique sur lequel les données pourront être transférées. 14

15 décrire une autre donnée quel que soit son support (papier ou électronique), ou encore les solutions de chiffrement homomorphe 5. Le recours au chiffrement pourrait également apparaître comme une solution satisfaisante pour garantir l envoi de données vers certains pays uniquement. Dans un tel cas, le client pourrait alors endosser véritablement son rôle de responsable de traitement en déterminant précisément avant même la réalisation de la prestation, les pays destinataires de données. En pratique : Le prestataire de Cloud, qu il soit responsable de traitement ou sous traitant, devra obtenir une approbation de ses BCR par les autorités européennes de protection des données, selon la procédure actuelle. Le client effectuera sa demande d autorisation de transferts auprès des autorités de protection sur la base des BCR du prestataire approuvés. C. Questions posées 1. Lequel des instruments existants vous semble le mieux adapté au Cloud computing? L absence de localisation préalablement et géographiquement déterminée des données caractérise le Cloud computing. Le client est donc rarement en mesure de savoir en temps réel -ou à tout moment- où se trouvent et où ont été localisées les données et où elles sont transférées et stockées. De plus, le client ne peut véritablement influer sur le choix des pays destinataires de données que dans le cadre d un Cloud privé ; à ce stade du développement des solutions de Cloud et compte-tenu de la volonté de rationalisation des coûts, le client ne peut choisir précisément les pays destinataires de données que de façon très limitée dans un Cloud public. En ce qui concerne la mise en place de BCR «sous-traitants», de tels instruments ne semblent être envisageables qu en cas de «groupe» de sous-traitants (entités liées entre elles d un point de vue capitalistique) ou éventuellement d un ensemble de sous-traitants agissant de concert aux fins de fourniture d un Cloud spécifique, ces sous-traitants («groupe» ou indépendants agissant de concert) ayant pour finalité la fourniture de prestations complémentaires dans le cadre de la création d un unique Cloud. 5 Moyen de chiffrement permettant au prestataire d agréger des messages bien qu ils soient chiffrés et sans qu il en est connaissance. 15

16 En revanche, le recours aux BCR devrait être exclu en cas de «chaîne» de sous-traitants indépendants fournissant des prestations dans le cadre d un Cloud mais n agissant pas de concert. Dans cette hypothèse, des clauses contractuelles «imposées» pourraient s appliquer aux contrats liant les sous-traitants aux autres sous-traitants et aux responsables de traitement. En ce qui concerne les formalités à remplir par le client auprès des autorités de protection des données personnelles : en l'absence de connaissance précise par le client des pays destinataires des données, imposer au client d'obtenir des autorisations de transfert auprès des autorités de protection sur la base de BCR «sous-traitants» alourdirait gravement le processus de recours à une solution de Cloud. Il conviendrait d'examiner la possibilité de souscrire à une norme (telle qu'évoquée par la CNIL ci-après) afin d'éviter qu'un client ait à effectuer de telles démarches. En ce qui concerne le chiffrement, le recours à celui-ci apparaît comme une solution satisfaisante, d'une part, parce qu'il participerait à la confidentialité des données et, d'autre part, parce qu'il participerait à la sécurisation des données lors de leur envoi vers certains pays. 2. Comment avez-vous encadré les transferts réalisés dans le cadre de la prestation des Cloud que vous proposez ou auquel vous avez souscrit? N/A 3. Les BCR sous-traitants vous semblent-ils être une solution intéressante? Quel mécanisme envisageriez-vous pour ces BCR? Cf. commentaire ci-dessus. Si un modèle type de BCR «sous-traitant» devait être élaboré (sur le même principe que les clauses contractuelles modèles européennes), celui-ci devrait à tout le moins comprendre/décrire : - le détail de la fourniture stricte de la solution de Cloud proposée - le détail des services additionnels proposés - des clauses de garantie relative à la sécurité et à la confidentialité des données - le descriptif juridique et technique du niveau d engagement quant à l exécution des prestations 16

17 - le détail des localisations actuelles et, le cas échéant celles envisageables, pour la fourniture du Cloud ainsi qu un engagement quant à de leur niveau de sécurisation logique et physique - une obligation de cryptage/chiffrement 4. Avez-vous déjà réfléchi à des solutions techniques qui permettraient de mieux identifier et contrôler les flux de données dans le cadre des prestations de Cloud? N/A VI. Sécurité des données Les problèmes de sécurité et de confidentialité des données externalisées vers le Cloud, couverts par l article 34 de la loi «informatique et libertés», sont en général un des premiers sujets de préoccupation des utilisateurs 6. Dans le cas d un organisme ayant recours à une offre de Cloud computing, la gestion de la sécurité de ces données se trouve largement déléguée au prestataire, pour lequel il est souvent difficile d obtenir des garanties sur le niveau de sécurité réel. En application de l article 35 de la loi, le sous-traitant doit «présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées dans l article 34» 7, le responsable de traitement ayant quant à lui «une obligation de veiller au respect de ces mesures [de sécurité et de confidentialité]» 7. De plus, le même article prévoit que «Le contrat liant le sous-traitant au responsable de traitement comporte l indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable de traitement.» Il est donc nécessaire que ces exigences en termes de sécurité se trouvent matérialisées dans un contrat. Il est notamment essentiel que les responsabilités et rôles des parties soient clairement définis au préalable, afin de traiter efficacement les cas d incident pouvant aboutir à une perte ou une divulgation de données. 6 Dans une étude effectuée par IDC Enterprise Panel (Etats-Unis), à la question «Rate challenges/issues ascribed to the Cloud /on-demand model» la sécurité apparait en tête avec 74,6% (source : présentation du NIST sur le Cloud Computing et la sécurité, disponible à l URL : ). 7 Article 35 de la loi «informatique et libertés». 17

18 Question posée Quel commentaire pouvez-vous formuler sur les relations contractuelles entre client et prestataire concernant les mesures de sécurité et le respect des articles 34 et 35 de loi informatique et libertés? A tout le moins, le sous-traitant doit : - respecter les règles de l art, les normes ISO, AFNOR (pour l archivage, par exemple) et autres, - mettre en œuvre les conditions d authentification stricte des clients - mettre en œuvre les procédures de sauvegarde des données (serveurs distants) - utiliser des systèmes de connexions sécurisées - mettre en place le chiffrement des données En cas de suspicion raisonnable et motivée d un client quant à un manquement d un soustraitant à ses obligations de sécurité dans le cadre d un transfert notamment, ledit client devrait avoir la possibilité de solliciter d une autorité administrative indépendante la réalisation d un audit de contrôle de sécurité. Pour éviter une multiplicité d audits nuisibles à la sécurité des centres de données (datacenter), il appartiendrait à cette autorité administrative indépendante (la CNIL pour la France) de déterminer la pertinence d une telle demande sur la base des éléments présentés par le client demandeur à l audit. Les modalités d un tel audit restent à définir. De même, cette autorité administrative indépendante (la CNIL pour la France) devrait avoir la possibilité ex officio de vérifier les mesures de sécurité physique et logique des soustraitants du Cloud assistée par tout expert agréé spécialement pour les contrôles de Cloud. 18

19 5. Des risques spécifiques au Cloud Il est recommandé d effectuer une analyse de risques 8 préalablement à la rédaction de toute politique de sécurité, en particulier pour les systèmes d information de taille importante. Cette recommandation a déjà été formulée par l ENISA 9 dans son rapport paru en novembre 2009 et intitulé «Cloud computing: benefits, risks and recommendations for information security» 10 et par l ANSSI dans son rapport plus général sur «L externalisation des systèmes d information Maîtriser les risques» publié le 19 mars Cette analyse de risques doit notamment prendre en compte la nature de l organisme qui utilise le Cloud et le type de données traitées dans le Cloud. La CNIL considère donc qu adopter une démarche d analyse de risques pour évaluer l impact du passage au Cloud devrait être adopté par les responsables de traitement qui souhaitent utiliser le Cloud computing pour certains de leurs traitements de données personnelles. Question posée : Quels commentaires pouvez-vous formuler sur la recommandation de mener une analyse de risques avant le passage au Cloud? En pratique, imposer une obligation légale d analyse des risques aux responsables de traitement pour évaluer l impact du passage au Cloud risque de faire supporter auxdits responsables de traitement un coût important qui serait contraire au but premier du Cloud de rationalisation des coûts (cf. nos remarques au 6.c). Une telle obligation ne semble pas non plus judicieuse sur le plan juridique. 8 La méthode d analyse de risque la plus utilisé en France est celle développée par l Agence Nationale de la Sécurité des Systèmes d Information (ANSSI, anciennement DCSSI), dénommée EBIOS (voir à l url : 9 European Network and Information Security Agency 10 Ce rapport identifie notamment 35 risques spécifiques au Cloud computing. L ENISA a précisé l analyse à réaliser dans le cas de l utilisation du Cloud par les services publics dans un second rapport, publié en janvier 2011 et intitulé «Security & Resilience in the Governmental Clouds». Dans ce rapport, l ENISA fournit un guide d analyse à destination des services publics et recommande, globalement, l utilisation de Clouds privés, dont le rapport bénéfice/risques en matière de sécurité semble positif 11 Notamment les risques liés à la localisation et à l hébergement mutualisé. 19

20 En effet, en cas d'incident, le sous-traitant pourrait opposer cette analyse des risques et mettre en cause la société tiers l ayant réalisée, aux fins de s exonérer de ses obligations de conseil et de mise en garde qui sont renforcées en matière de prestations informatiques et ainsi tenter de s exempter de sa responsabilité. Si cette obligation est mise à la charge du sous-traitant dans le cadre de son obligation de conseil ou de mise en garde, il existerait alors une possibilité de minimisation par le prestataire des risques réels encourus qui ne serait révélée qu en cas de litige et serait difficilement contestable hors le cadre d un contentieux et sauf à engager des coûts très importants (expertise etc.). 6. Constats et propositions en matière de sécurité a) Les points de sécurité à renforcer Lors de l utilisation du Cloud computing, la CNIL recommande d examiner particulièrement certains aspects de la sécurité : - la protection externe du réseau (pare-feu, serveur proxy avec analyse de contenu, détection d intrusion, etc.) - la protection du terminal (PC portable, assistant personnel, téléphone portable) : antivirus, système d exploitation et des logiciels mis à jour régulièrement, firewall le chiffrement des liaisons 13 de manière à garantir la confidentialité des échanges - la traçabilité : conserver un historique des connexions et des opérations effectuées 14 sur les données (en effet, dans de nombreuses offres, y compris de grandes sociétés, les évènements de type «administration» qui permettent par exemple la création/suppression de compte ou les accès aux données ne sont pas enregistrés). Pour les prestataires proposant des offres à destination d organismes publics ou de sociétés, on peut rajouter : - la gestion des habilitations par exemple le compte d une personne ayant quitté l organisme doit être immédiatement désactivé car le fait qu elle n a plus accès aux locaux ne l empêche pas d accéder aux systèmes d information. - l authentification : de même, l authentification doit être renforcée. Le recours à une authentification forte s avèrera nécessaire dès lors que les données accédées sont sensibles et/ou volumineuses. 12 Ou «pare-feu» servant à filtrer les connexions entrantes et sortantes. Ici, il se présentera sous forme d un logiciel, ou à défaut de la fonctionnalité fournie par le système d exploitation du terminal. 13 Par exemple en ayant recours à https (HyperText Transfer Protocol Secure) pour sécuriser la navigation. 14 Sil s agit d une offre de type IaaS, il sera important d activer les journaux au niveau du système d exploitation (sécurité, système, application), et au niveau des équipements contribuant à la sécurité du réseau (firewall, IDS). S il y a en plus des prestations de type SaaS, il faudra journaliser les évènements (création de compte, exports, accès en écriture/lecture) au niveau de la base de données et/ou de l applicatif associé. De plus, l accès aux journaux devrait être protégé en écriture et limité au minimum de personnes. Bien que généralement gérés par la société offrant le service de Cloud computing, ils devraient être accessibles (éventuellement sur demande) au client. 20

Conditions générales d hébergement de l application La-Vie-Scolaire.fr

Conditions générales d hébergement de l application La-Vie-Scolaire.fr de l application La-Vie-Scolaire.fr Référence :.. Date : Définitions «Contrat d accès au Service» : désigne le bon de commande, les conditions générales de vente et les éventuels annexes ou avenants conclus

Plus en détail

Le contrat Cloud : plus simple et plus dangereux

Le contrat Cloud : plus simple et plus dangereux 11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin

Plus en détail

CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE

CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE Définitions : Dernière version en date du 21 Avril 2011 Activation du Service : L activation du Service intervient à compter de la

Plus en détail

Vu la Loi n 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Vu la Loi n 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ; DELIBERATION N 2012-118 DU 16 JUILLET 2012 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT RECOMMANDATION SUR LES DISPOSITIFS D ENREGISTREMENT DES CONVERSATIONS TELEPHONIQUES MIS EN ŒUVRE

Plus en détail

BIG DATA Jeudi 22 mars 2012

BIG DATA Jeudi 22 mars 2012 BIG DATA Jeudi 22 mars 2012 87 boulevard de Courcelles 75008 PARIS Tel :01.56.43.68.80 Fax : 01.40.75.01.96 contact@haas-avocats.com www.haas-avocats.com www.jurilexblog.com 1 2012 Haas société d Avocats

Plus en détail

Préambule CHARTE DEONTOLOGIQUE

Préambule CHARTE DEONTOLOGIQUE Préambule Le secteur des Technologies de l Information et de la Communication (T.I.C.) est souvent mal connu par les entreprises et les organisations susceptibles de les utiliser. Cette méconnaissance

Plus en détail

Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL

Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL 1. Définition du Cloud computing Dans la consultation publique,

Plus en détail

AFDIT I Les contrats Cloud : des contrats clés en main? 15 octobre 2015

AFDIT I Les contrats Cloud : des contrats clés en main? 15 octobre 2015 AFDIT I Les contrats Cloud : des contrats clés en main? 15 octobre 2015 Déroulement Rappel : qu est-ce que Syntec Numérique? Une définition du Cloud Computing Les caractéristiques du Cloud Computing Les

Plus en détail

BANQUE CENTRALE EUROPÉENNE

BANQUE CENTRALE EUROPÉENNE 22.2.2014 Journal officiel de l Union européenne C 51/3 III (Actes préparatoires) BANQUE CENTRALE EUROPÉENNE AVIS DE LA BANQUE CENTRALE EUROPÉENNE du 19 novembre 2013 sur une proposition de directive du

Plus en détail

Cloud Computing*: questions juridiques

Cloud Computing*: questions juridiques 07 Juin 2011 CERT Ist - Forum 2011 Cloud Computing*: questions juridiques Jean-Marie Job Avocat associé de Gaulle Fleurance & Associés jmjob@dgfla.com * Informatique en nuage Ateliers ADIJ Solutions aux

Plus en détail

2. Les droits des salariés en matière de données personnelles

2. Les droits des salariés en matière de données personnelles QUESTIONS/ REPONSES PROTECTION DES DONNEES PERSONNELLES Ce FAQ contient les trois parties suivantes : La première partie traite des notions générales en matière de protection des données personnelles,

Plus en détail

Conditions Générales de Vente

Conditions Générales de Vente Conditions Générales de Vente PREAMBULE Le client souhaite se doter d un site internet Il a lancé une consultation préalable, qui a été communiquée à Nexus Création et a permis d élaborer une proposition

Plus en détail

DELIBERATION N 2011-52 DU 6 JUIN 2011 PORTANT AUTORISATION DE TRANSFERT

DELIBERATION N 2011-52 DU 6 JUIN 2011 PORTANT AUTORISATION DE TRANSFERT DELIBERATION N 2011-52 DU 6 JUIN 2011 PORTANT AUTORISATION DE TRANSFERT D INFORMATIONS NOMINATIVES VERS LES ETATS UNIS D AMERIQUE SUR LA DEMANDE PRESENTEE PAR LA SOCIETE GOOGLE INC AYANT POUR FINALITE

Plus en détail

Vu la Loi n 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Vu la Loi n 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ; DELIBERATION N 2012-60 DU 16 AVRIL 2012 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION SUR LA DEMANDE PRESENTEE PAR LE MINISTRE D ETAT, RELATIVE AU TRANSFERT D INFORMATIONS

Plus en détail

Décision de dispense de déclaration n 3

Décision de dispense de déclaration n 3 Délibération n 2005-003 du 13 janvier 2005 décidant la dispense de déclaration des traitements mis en œuvre par les organismes publics dans le cadre de la dématérialisation des marchés publics Décision

Plus en détail

A cet effet, un exemplaire des présentes Conditions est annexé à toute Offre Commerciale émise par A.M.O.I.

A cet effet, un exemplaire des présentes Conditions est annexé à toute Offre Commerciale émise par A.M.O.I. Article 1 : Définitions A.M.O.I. SARL (ciaprès dénommée «A.M.O.I.») est une société de prestations de services informatiques intervenant dans le domaine des réseaux informatiques et des nouvelles technologies

Plus en détail

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés

Plus en détail

RECOMMANDATIONS COMMISSION

RECOMMANDATIONS COMMISSION L 120/20 Journal officiel de l Union européenne 7.5.2008 RECOMMANDATIONS COMMISSION RECOMMANDATION DE LA COMMISSION du 6 mai 2008 relative à l assurance qualité externe des contrôleurs légaux des comptes

Plus en détail

Le terme SAUVEGARDE désigne l opération qui consiste à mettre en sécurité les données contenues dans un système informatique sur Data Center.

Le terme SAUVEGARDE désigne l opération qui consiste à mettre en sécurité les données contenues dans un système informatique sur Data Center. 1. OBJET ET DÉFINITIONS : Pour l application des présentes, le terme "Société" désigne la Société SERIANS. Le terme "C lient " désigne toute personne physique ou morale qui souscrit au contrat de sauvegarde

Plus en détail

Vu la Convention de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe ;

Vu la Convention de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe ; DELIBERATION N 2013-129 DU 27 NOVEMBRE 2013 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT RECOMMANDATION SUR LES DECLARATIONS DE TRAITEMENTS AUTOMATISES D INFORMATIONS NOMINATIVES CONCERNANT

Plus en détail

L'intérêt de la 27001 pour le CIL

L'intérêt de la 27001 pour le CIL HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet L'intérêt de la 27001 pour le CIL Frédéric Connes

Plus en détail

Son objectif clair est donc de fournir transparence et sécurité juridique tant aux travailleurs qu aux employeurs.

Son objectif clair est donc de fournir transparence et sécurité juridique tant aux travailleurs qu aux employeurs. Convention collective de travail n 81 relative à la protection de la vie privée des travailleurs à l égard du contrôle des données de communication électroniques en réseau Commentaires Synthèse Le 26 avril

Plus en détail

Note d orientation n 3 du T-CY Accès transfrontalier aux données (article 32)

Note d orientation n 3 du T-CY Accès transfrontalier aux données (article 32) www.coe.int/tcy Strasbourg, 19 février 2013 (projet pour examen) T-CY (2013) 7 F Comité de la Convention sur la Cybercriminalité (T-CY) Note d orientation n 3 du T-CY Accès transfrontalier aux données

Plus en détail

CONVENTION DE GESTION ET DE REGLEMENT (CORRESPONDANT)

CONVENTION DE GESTION ET DE REGLEMENT (CORRESPONDANT) CONVENTION DE GESTION ET DE REGLEMENT (CORRESPONDANT) à partir du 1 er août 2014 Entre le BCF des sociétés d assurances contre les accidents d automobile, 1 Rue Jules Lefebvre, 75431 PARIS CEDEX 09, et,

Plus en détail

Vu la Convention de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe ;

Vu la Convention de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe ; DELIBERATION N 09-18 DU 15 DECEMBRE 2009 PORTANT RECOMMANDATION RELATIVE A LA MISE EN ŒUVRE DE DISPOSITIFS DESTINES A GEOLOCALISER LES VEHICULES PROFESSIONNELS UTILISES PAR LES EMPLOYES D'UN ORGANISME

Plus en détail

CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE

CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE Définitions : Dernière version en date du 13 Juin 2011 Activation du Service : L activation du Service intervient à compter de la

Plus en détail

L application du règlement sur la reconnaissance mutuelle aux procédures d autorisation préalable

L application du règlement sur la reconnaissance mutuelle aux procédures d autorisation préalable COMMISSION EUROPÉENNE Direction générale des entreprises et de l industrie Document d orientation 1 Bruxelles, le 1 er février 2010 - L application du règlement sur la reconnaissance mutuelle aux procédures

Plus en détail

Conditions Générales d Utilisation du service de dématérialisation des courriers assurances

Conditions Générales d Utilisation du service de dématérialisation des courriers assurances Conditions Générales d Utilisation du service de dématérialisation des courriers assurances Sommaire Préambule... 2 Article 1 er : Définitions... 2 Article 2 : Objet de l Espace Assurance Cyberplus...

Plus en détail

Quelles assurances proposer? Focus sur le cloud computing

Quelles assurances proposer? Focus sur le cloud computing ACTUALITÉ DU DROIT DES TECHNOLOGIES DE L INFORMATION Quelles assurances proposer? Focus sur le cloud computing Jean-Laurent SANTONI, Docteur en Droit, Président de Clever Courtage, IT risk insurance broker

Plus en détail

Recommandations sur le Cloud computing

Recommandations sur le Cloud computing Recommandations sur le Cloud computing EuroCloud, Paris, 25 septembre 2012 Didier GASSE, membre de la Commission nationale de l informatique et des libertés Myriam GUFFLET, Juriste au Service des affaires

Plus en détail

Recommandation sur les conventions concernant la distribution des contrats d assurance vie

Recommandation sur les conventions concernant la distribution des contrats d assurance vie Recommandation sur les conventions concernant la distribution des contrats d assurance vie 2014-R-01 du 3 juillet 2014 1. Contexte L analyse des pratiques et des conventions observées sur le marché de

Plus en détail

Le droit d opposition à être sollicité

Le droit d opposition à être sollicité Le droit d opposition à être sollicité Comment en informer les personnes? Quand leur permettre de l exercer? Etienne Drouard Avocat à la Cour edrouard@morganlewis.com 01 53 30 43 00-06 07 83 33 81 Morgan,

Plus en détail

Guide de rédaction pour une entente de gestion des CCTT

Guide de rédaction pour une entente de gestion des CCTT Guide de rédaction pour une entente de gestion des CCTT CCTT CENTRES COLLÉGIAUX DE TRANSFERT DE TECHNOLOGIE Guide de rédaction pour une entente de gestion des CCTT Septembre Pour tout renseignement sur

Plus en détail

POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING

POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING SALON MED-IT CASABLANCA 13-15.11.2012 POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING Me Cathie-Rosalie JOLY Avocat Associé Cabinet

Plus en détail

DEVOIRS ET RESPONSABILITE DES EXPERTS AMIABLES ET JUDICIAIRES. Gildas Rostain. September 2007

DEVOIRS ET RESPONSABILITE DES EXPERTS AMIABLES ET JUDICIAIRES. Gildas Rostain. September 2007 DEVOIRS ET RESPONSABILITE DES EXPERTS AMIABLES ET JUDICIAIRES Gildas Rostain September 2007 INTRODUCTION Le rôle de l expert Les différentes missions d expertise La définition de l expertise judiciaire

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

Clauses de Protection de la Vie Privée du Site Internet. Informations fournies volontairement par un utilisateur du site

Clauses de Protection de la Vie Privée du Site Internet. Informations fournies volontairement par un utilisateur du site Politique générale Vippass de Protection de la Vie privée et des données personnelles sur Internet Vippass respecte votre droit à la vie privée. Le présent documentent vise à identifier quels types de

Plus en détail

COMMISSION D ACCÈS À L INFORMATION

COMMISSION D ACCÈS À L INFORMATION Siège Bureau de Montréal Bureau 1.10 Bureau 18.200 575, rue Saint-Amable 500, boulevard René-Lévesque Ouest Québec (Québec) G1R 2G4 Montréal (Québec) H2Z 1W7 Tél. : (418) 528-7741 Tél. : (514) 873-4196

Plus en détail

Décrets, arrêtés, circulaires

Décrets, arrêtés, circulaires Décrets, arrêtés, circulaires TEXTES GÉNÉRAUX MINISTÈRE DE L ÉCONOMIE ET DES FINANCES ÉCONOMIE SOCIALE ET SOLIDAIRE ET CONSOMMATION Arrêté du 31 décembre 2013 relatif aux factures des services de communications

Plus en détail

Datagest, une entité de

Datagest, une entité de Datagest, une entité de Datagest en quelques mots Entité informatique de BDO à Luxembourg Gestion de l informatique du groupe Société informatique pour les clients externes Nos activités : Éditeur de logiciel

Plus en détail

PROJET DE LOI. NOR : MAEJ1208094L/Bleue-1 ------ ÉTUDE D IMPACT

PROJET DE LOI. NOR : MAEJ1208094L/Bleue-1 ------ ÉTUDE D IMPACT RÉPUBLIQUE FRANÇAISE Ministère des affaires étrangères PROJET DE LOI autorisant l approbation de l accord entre le Gouvernement de la République française, le Conseil fédéral suisse et l Organisation européenne

Plus en détail

«Le partage des données à caractère personnel et le respect de la vie privée à domicile»

«Le partage des données à caractère personnel et le respect de la vie privée à domicile» Conférence Le Point «Maison connectée et intelligente» Paris, 28 mars 2013 Peter Hustinx Contrôleur européen de la protection des données «Le partage des données à caractère personnel et le respect de

Plus en détail

FICHIERS INFORMATISES ET CNIL

FICHIERS INFORMATISES ET CNIL FICHIERS INFORMATISES ET CNIL 17/11/2011 L intérêt actuel pour les entreprises de recueillir des informations précises sur leur clientèle potentielle n est plus à démontrer. Le «profiling» joue un rôle

Plus en détail

Revue d actualité juridique de la sécurité du Système d information

Revue d actualité juridique de la sécurité du Système d information Revue d actualité juridique de la sécurité du Système d information Me Raphaël PEUCHOT, avocat associé FOURMANN & PEUCHOT 16 mars 2011 THÈMES ABORDÉS : 1. Cloud computing : les limites juridiques de l

Plus en détail

SITE WEB COMMUNAUTAIRE FANVOICE CHARTE RELATIVE A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL DES UTILISATEURS ET DES MARQUES

SITE WEB COMMUNAUTAIRE FANVOICE CHARTE RELATIVE A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL DES UTILISATEURS ET DES MARQUES SITE WEB COMMUNAUTAIRE FANVOICE CHARTE RELATIVE A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL DES UTILISATEURS ET DES MARQUES 1. Définition et nature des données à caractère personnel Lors de votre

Plus en détail

Avis du Conseil National de la Consommation sur les informations des consommateurs-sites «comparateurs»

Avis du Conseil National de la Consommation sur les informations des consommateurs-sites «comparateurs» Conseil National de la Consommation 12 mai 2015 Avis du Conseil National de la Consommation sur les informations des consommateurs-sites «comparateurs» N NOR : EINC1511480V Trouver un produit, comparer

Plus en détail

Dématérialisation et protection des données

Dématérialisation et protection des données Colloque de l AJAR 4 décembre 2012 Dématérialisation et protection des données Philippe POIGET, Directeur des affaires juridiques, fiscales et de la concurrence Fédération Française des Sociétés d Assurances

Plus en détail

Conditions générales d utilisation

Conditions générales d utilisation Conditions générales d utilisation de l Espace Client Employeur La Banque Postale Assurance Santé La Banque Postale Assurance Santé a développé le site internet Espace Client Employeur (le Site) pour des

Plus en détail

Identification du document. Référence. ASIP_PGSSI_Referentiel_Destruction_Donnees_V0.0.4.Docx. Version V 0.0.4. Nombre de pages 9

Identification du document. Référence. ASIP_PGSSI_Referentiel_Destruction_Donnees_V0.0.4.Docx. Version V 0.0.4. Nombre de pages 9 PGSSI - Politique générale de sécurité des systèmes d information de santé Règles de destruction de données lors du transfert de matériels informatiques des Systèmes d Information de Santé (SIS) «ASIP

Plus en détail

Délibération n 03-036 du 1er juillet 2003 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique

Délibération n 03-036 du 1er juillet 2003 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique Commission Nationale de l Informatique et des Libertés (CNIL) Délibération n 03-036 du 1er juillet 2003 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique 01

Plus en détail

Les factures dématérialisées

Les factures dématérialisées ANNEXE 8 Les factures dématérialisées Les sources de droit en matière de factures. Deux sources de droit définissent la facture : le Code de commerce et le Code général des impôts. Article 441-3 du Code

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Recueil d exigences

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Recueil d exigences Recueil d exigences Version 1.1 Page 1/13 Historique des versions Date Version Évolutions du document 17/12/2010 1.01 Première version. 29/02/2012 1.1 Prise en compte de la date de la publication de l

Plus en détail

Conditions générales d utilisation du portail web de FranceAgriMer et de ses e-services (téléservices)

Conditions générales d utilisation du portail web de FranceAgriMer et de ses e-services (téléservices) Conditions générales d utilisation du portail web de FranceAgriMer et de ses e-services (téléservices) 1. Les conditions générales d utilisation (CGU) décrites ci-dessous peuvent être complétées par les

Plus en détail

Avis du 18 juillet 2005 rendu sur base de l'article 133, alinéa 10 du Code des sociétés

Avis du 18 juillet 2005 rendu sur base de l'article 133, alinéa 10 du Code des sociétés COMITÉ D AVIS ET DE CONTRÔLE DE L INDÉPENDANCE DU COMMISSAIRE Réf: Accom AVIS 2005/1 Avis du 18 juillet 2005 rendu sur base de l'article 133, alinéa 10 du Code des sociétés Principaux éléments du dossier

Plus en détail

Conseil économique et social

Conseil économique et social NATIONS UNIES E Conseil économique et social Distr. GÉNÉRALE ECE/MP.PP/2005/2/Add.4 8 juin 2005 Original: ANGLAIS, FRANÇAIS, RUSSE COMMISSION ÉCONOMIQUE POUR L EUROPE Réunion des Parties à la Convention

Plus en détail

CHARTE RELATIVE A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL DES CLIENTS

CHARTE RELATIVE A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL DES CLIENTS CHARTE RELATIVE A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL DES CLIENTS 1. Définition et nature des données à caractère personnel Lors de votre utilisation du site http://www.assessfirst.com/ (ci-après

Plus en détail

COLLECTE ET TRAITEMENT DES DONNEES A CARACTERE PERSONNEL. Hélène Lebon Avocat Associé

COLLECTE ET TRAITEMENT DES DONNEES A CARACTERE PERSONNEL. Hélène Lebon Avocat Associé COLLECTE ET TRAITEMENT DES DONNEES A CARACTERE PERSONNEL Hélène Lebon Avocat Associé PROGRAMME Champ d application de la loi I&L Principales obligations imposées par la loi Informatique et libertés Pouvoirs

Plus en détail

Conditions Générales d Utilisation de la plateforme ze-questionnaire.com

Conditions Générales d Utilisation de la plateforme ze-questionnaire.com Conditions Générales d Utilisation de la plateforme ze-questionnaire.com Droit applicable : Français. Date de dernière mise à jour : 24/07/2015. 1. Préambule, Objet, et Définitions 1.1 Présentation ze-questionnaire.com

Plus en détail

DELIBERATION N 2015-12 DU 28 JANVIER 2015 DE LA COMMISSION DE CONTROLE

DELIBERATION N 2015-12 DU 28 JANVIER 2015 DE LA COMMISSION DE CONTROLE DELIBERATION N 2015-12 DU 28 JANVIER 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION A LA MISE EN ŒUVRE DU TRAITEMENT AUTOMATISE D INFORMATIONS NOMINATIVES AYANT POUR

Plus en détail

OPAC 36 - Conditions Générales d Utilisation

OPAC 36 - Conditions Générales d Utilisation OPAC 36 - Conditions Générales d Utilisation L OPAC 36 propose sur son site internet www.opac36.fr un espace locataire avec différents services destinés à simplifier les démarches liées à ses activités

Plus en détail

Conditions Générales Lemaire Informatique au 01 Janvier 2016

Conditions Générales Lemaire Informatique au 01 Janvier 2016 Article 1 : Définitions Lemaire Informatique est situé à 1741 Cottens route des Vulpillières 22. Lemaire Informatique fournit toute prestation de service en relation avec les nouvelles technologies (informatique,

Plus en détail

Résumé de l avis approuvé le 2 juin 2004 et rendu sur base de l article 133, alinéa 10 du Code des sociétés

Résumé de l avis approuvé le 2 juin 2004 et rendu sur base de l article 133, alinéa 10 du Code des sociétés COMITÉ D AVIS ET DE CONTRÔLE DE L INDÉPENDANCE DU COMMISSAIRE Ref: Accom AVIS 2004/1 Résumé de l avis approuvé le 2 juin 2004 et rendu sur base de l article 133, alinéa 10 du Code des sociétés Introduction

Plus en détail

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques Atelier EBG - mardi 16 mars 2010 Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques Cathie-Rosalie JOLY Avocat au barreau de Paris Docteur en droit Cabinet ULYS http://www.ulys.net

Plus en détail

Le contrat de management

Le contrat de management Le contrat de management Check-list pour la négociation d un contrat de management AVERTISSEMENT : Nos check-lists ont pour but de vous aider à formuler certaines questions à se poser lorsque vous négociez

Plus en détail

Politique de Protection de la Vie Privée

Politique de Protection de la Vie Privée Politique de Protection de la Vie Privée Décembre 2013 Champ d application: La présente Politique de Protection de la Vie Privée s applique chaque fois que vous utilisez les services d accès à internet

Plus en détail

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS GUIDE DE LA GÉOLOCALISATION DES SALARIÉS Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS De plus en plus d entreprises, par exemple les sociétés de dépannage

Plus en détail

L EXTERNALISATION DE SERVICES AU MAROC ASPECTS CONTRACTUELS ET LEGAUX

L EXTERNALISATION DE SERVICES AU MAROC ASPECTS CONTRACTUELS ET LEGAUX Commission Droit & Pratiques du Commerce International SEMINAIRE L EXTERNALISATION DE SERVICES AU MAROC ASPECTS CONTRACTUELS ET LEGAUX Sujet de l exposé : Le contrat d externalisation de services & La

Plus en détail

CHARTE RELATIVE A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL COLLECTEES VIA LE QUESTIONNAIRE EN LIGNE

CHARTE RELATIVE A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL COLLECTEES VIA LE QUESTIONNAIRE EN LIGNE CHARTE RELATIVE A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL COLLECTEES VIA LE QUESTIONNAIRE EN LIGNE 1. Définition et nature des données à caractère personnel Lors de votre réponse aux questionnaires

Plus en détail

Accès aux courriers électroniques d un employé absent

Accès aux courriers électroniques d un employé absent Accès aux courriers électroniques d un employé absent Les maîtres-mots en la matière : mesures préventives, responsabilisation, proportionnalité et transparence 1. Il convient, à ce sujet, de se référer

Plus en détail

DELIBERATION N 2015-25 DU 18 FEVRIER 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

DELIBERATION N 2015-25 DU 18 FEVRIER 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU DELIBERATION N 2015-25 DU 18 FEVRIER 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU TRAITEMENT AUTOMATISE D INFORMATIONS NOMINATIVES AYANT POUR

Plus en détail

Recommandation sur la commercialisation des comptes à terme

Recommandation sur la commercialisation des comptes à terme Recommandation sur la commercialisation des comptes à terme 2012-R-02 du 12 octobre 2012 1 Contexte Dans le cadre de son action de veille sur la publicité et les nouveaux produits, l ACP a constaté sur

Plus en détail

DELIBERATION N 2015-19 DU 28 JANVIER 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

DELIBERATION N 2015-19 DU 28 JANVIER 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU DELIBERATION N 2015-19 DU 28 JANVIER 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU TRAITEMENT AUTOMATISE D INFORMATIONS NOMINATIVES AYANT POUR

Plus en détail

ORGANISATION MONDIALE DE LA PROPRIÉTÉ INTELLECTUELLE GENÈVE

ORGANISATION MONDIALE DE LA PROPRIÉTÉ INTELLECTUELLE GENÈVE OMPI SCT/S2/4 ORIGINAL : anglais DATE : 29 mars 2002 ORGANISATION MONDIALE DE LA PROPRIÉTÉ INTELLECTUELLE GENÈVE F COMITE PERMANENT DU DROIT DES MARQUES, DES DESSINS ET MODELES INDUSTRIELS ET DES INDICATIONS

Plus en détail

Aspects juridiques de l externalisation

Aspects juridiques de l externalisation Aspects juridiques de l externalisation Journées Externalisation du CUME Paris, 19 janvier 2010 Solenn Houssay Animatrice du réseau SupCIL Correspondant Informatique et Libertés de l Université Jean Moulin

Plus en détail

BUREAU INTERNATIONAL DU TRAVAIL GENÈVE, 2005 MÉMORANDUM SUR L OBLIGATION DE SOUMETTRE LES CONVENTIONS 1 ET RECOMMANDATIONS AUX AUTORITÉS COMPÉTENTES

BUREAU INTERNATIONAL DU TRAVAIL GENÈVE, 2005 MÉMORANDUM SUR L OBLIGATION DE SOUMETTRE LES CONVENTIONS 1 ET RECOMMANDATIONS AUX AUTORITÉS COMPÉTENTES BUREAU INTERNATIONAL DU TRAVAIL GENÈVE, 2005 MÉMORANDUM SUR L OBLIGATION DE SOUMETTRE LES CONVENTIONS 1 ET RECOMMANDATIONS AUX AUTORITÉS COMPÉTENTES Article 19 de la Constitution de l Organisation internationale

Plus en détail

Déclaration simplifiée à la CNIL. www.data-mobiles.com

Déclaration simplifiée à la CNIL. www.data-mobiles.com Déclaration simplifiée à la CNIL Informatique embarquée www.data-mobiles.com 2 La déclaration simplifiée à la CNIL se fait en se connectant sur le site de la CNIL : http://www.cnil.fr Pour faire votre

Plus en détail

L INDEMNITÉ FORFAITAIRE POUR RETARD DE PAIEMENT QUESTIONS / RÉPONSES

L INDEMNITÉ FORFAITAIRE POUR RETARD DE PAIEMENT QUESTIONS / RÉPONSES L INDEMNITÉ FORFAITAIRE POUR RETARD DE PAIEMENT QUESTIONS / RÉPONSES 1/ La mention de l indemnité sur les conditions générales de vente (CGV) et les factures et son versement en cas de retard sont-ils

Plus en détail

Vu la Loi n 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu la Loi n 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ; DELIBERATION N 2015-76 DU 16 SEPTEMBRE 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION A LA MISE EN ŒUVRE DU TRAITEMENT AUTOMATISE D INFORMATIONS NOMINATIVES AYANT POUR

Plus en détail

La Cnil et le Chu de Poitiers. 15/02/2012 : Jean-Jacques Sallaberry Présentation CNIL - CHU Poitiers

La Cnil et le Chu de Poitiers. 15/02/2012 : Jean-Jacques Sallaberry Présentation CNIL - CHU Poitiers La Cnil et le Chu de Poitiers 15/02/2012 : Jean-Jacques Sallaberry Présentation CNIL - CHU Poitiers 1 La Cnil et le CHU de Poitiers Sommaire La Loi «Informatique et Libertés» La CNIL Les Mots clés Les

Plus en détail

Constructibilité en zones agricole et naturelle

Constructibilité en zones agricole et naturelle Constructibilité en zones agricole et naturelle La loi pour l accès au logement et un urbanisme rénové (ALUR) a modifié l article L. 123-1- 5 du code de l urbanisme pour y insérer de nouvelles dispositions

Plus en détail

Guide pratique. Réseau judiciaire européen en matière civile et commerciale

Guide pratique. Réseau judiciaire européen en matière civile et commerciale Le recours à la vidéoconférence en vue d obtenir des moyens de preuve en matière civile et commerciale en vertu du règlement (CE) n 1206/2001 du Conseil du 28 mai 2001 Guide pratique Réseau judiciaire

Plus en détail

MODÈLE DE CONTRAT POUR LES INTERMÉDIAIRES

MODÈLE DE CONTRAT POUR LES INTERMÉDIAIRES MODÈLE DE CONTRAT PR LES INTERMÉDIAIRES (mars 2014) 1 LE PRÉSENT CONTRAT est conclu ENTRE : La Cour pénale internationale, organisation internationale permanente ayant son siège à l adresse suivante :

Plus en détail

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 ISO 14001: 2015 Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 4115, Rue Sherbrooke Est, Suite 310, Westmount QC H3Z 1K9 T 514.481.3401 / F 514.481.4679

Plus en détail

Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel

Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel Plan de la présentation: Objectif de l encadrement de l utilisation des données personnelles. Principes généraux de la

Plus en détail

MANDAT DU CONSEIL D ADMINISTRATION Approuvé par le conseil d administration le 13 novembre 2014

MANDAT DU CONSEIL D ADMINISTRATION Approuvé par le conseil d administration le 13 novembre 2014 OFFICE D INVESTISSEMENT DES RÉGIMES DE PENSION («INVESTISSEMENTS PSP») Approuvé par le conseil d administration le 13 novembre 2014 13 novembre 2014 PSP-Legal 1633578-1 Page 2 INTRODUCTION Le conseil d

Plus en détail

DISPOSITIONS GENERALES

DISPOSITIONS GENERALES Loi n 09-04 du 14 Chaâbane 1430 correspondant au 5 août 2009 portant règles particulières relatives à la prévention et à la lutte contre les infractions liées aux technologies de l information et de la

Plus en détail

La dématérialisation des procédures de marchés publics

La dématérialisation des procédures de marchés publics La dématérialisation des procédures de marchés publics Définition La dématérialisation des procédures de marchés publics consiste en l utilisation de la voie électronique pour les échanges d informations

Plus en détail

Décision du Haut Conseil du Commissariat aux Comptes

Décision du Haut Conseil du Commissariat aux Comptes DECISION 2009-02 Décision du Haut Conseil du Commissariat aux Comptes Relative aux contrôles périodiques auxquels sont soumis les commissaires aux comptes Principes directeurs du système des contrôles

Plus en détail

Convention sur la lutte contre la désertification

Convention sur la lutte contre la désertification NATIONS UNIES Convention sur la lutte contre la désertification Distr. GÉNÉRALE 29 juillet 2008 FRANÇAIS Original: ANGLAIS COMITÉ CHARGÉ DE L EXAMEN DE LA MISE EN ŒUVRE DE LA CONVENTION Septième session

Plus en détail

Recommandation sur le traitement des réclamations 2011-R-05 du 15 décembre 2011

Recommandation sur le traitement des réclamations 2011-R-05 du 15 décembre 2011 2011-R-05 du 15 décembre 2011 1. Contexte L information du client sur les modalités d examen des réclamations ainsi que le traitement de ces dernières font l objet de plusieurs textes, notamment de nature

Plus en détail

Quelles sont les obligations en matière d assurance pour les structures sportives?

Quelles sont les obligations en matière d assurance pour les structures sportives? Quelles sont les obligations en matière d assurance pour les structures sportives? La pratique sportive est génératrice de risque et d accident matériel ou corporel. C est pourquoi il existe de nombreuses

Plus en détail

Instruction administrative ICC/AI/2007/005 Date: 19/06/2007

Instruction administrative ICC/AI/2007/005 Date: 19/06/2007 Instruction administrative ICC/AI/2007/005 Date: 19/06/2007 SÉCURITÉ DES INFORMATIONS DANS LE CADRE DE L EXÉCUTION DE CONTRATS CONCLUS AVEC DES TIERCES PARTIES En application de la directive de la Présidence

Plus en détail

Se conformer à la Loi Informatique et Libertés

Se conformer à la Loi Informatique et Libertés Se conformer à la Loi Informatique et Libertés Le cadre législatif Loi n 78-17 du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés modifiée par la loi du 6 août 2004 dite loi Informatique

Plus en détail

Droit des marchés publics

Droit des marchés publics série 1 - champ D application Du code Des marchés publics et principes fondamentaux 1. la notion de La MarChÉ notion de public marché public Le Code des marchés publics de 2006 distingue, en les intégrant

Plus en détail

Vu la Convention de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe ;

Vu la Convention de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe ; DELIBERATION N 2010-42 DU 15 NOVEMBRE 2010 PORTANT AUTORISATION PRESENTEE PAR SUISSCOURTAGE S.A.M. RELATIVE AU TRAITEMENT AUTOMATISE D INFORMATIONS NOMINATIVES AYANT POUR FINALITE «GESTION DES SINISTRES

Plus en détail

FAIRE APPEL À UN EXPERT

FAIRE APPEL À UN EXPERT FAIRE APPEL À UN EXPERT Décembre 2011 Afin d être en mesure d exercer ses missions, le comité d entreprise dispose de nombreux moyens d information, notamment par les documents que doit lui communiquer

Plus en détail

AVENANT CONVENTION DE COMPTE

AVENANT CONVENTION DE COMPTE AVENANT CONVENTION DE COMPTE Le présent avenant a notamment pour objet d élargir le périmètre actuel de votre offre Services en Ligne, figurant dans votre Convention de compte ou souscrite par acte séparé,

Plus en détail

Les clauses «sécurité» d'un contrat SaaS

Les clauses «sécurité» d'un contrat SaaS HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Les clauses «sécurité» d'un contrat SaaS Paris, 21 janvier 2011 Frédéric

Plus en détail