Consultation relative au Cloud computing

Dimension: px
Commencer à balayer dès la page:

Download "Consultation relative au Cloud computing"

Transcription

1 Consultation relative au Cloud computing Observations et commentaires de l AFDIT et de l ITECHLAW 17 novembre 2011 Consultation ouverte du 17 octobre au 17 novembre 2011 Consultation Cloud Computing 1

2 Fiche de présentation de la partie prenante à la consultation (toutes les informations sont facultatives) Nom de la société 1. Association Française du Droit de l Informatique et de la Télécommunication (AFDIT), Commission «données personnelles» André Meillassoux - Président de l AFDIT Claire Bernier Responsable de la Commission 2. International Technology Law Association (ITechLaw), Data Protection Law committee Alexander Blumrosen Président de l ITechLaw Claire Bernier co-président du Committee, co-représentant de l ITechLaw en France André Meillassoux - co-représentant de l ITechLaw en France Me André Meillassoux Cabinet ATM Avocats, 10 boulevard Suchet Paris Me Alexander Blumrosen Cabinet Bernard-Hertz-Béjot, 8 rue Murillo Paris Me Claire Bernier Cabinet ALTANA, 45 rue de Tocqueville Paris Secteur d activité : Juridique spécialisation dans les nouvelles technologies Pays dans lequel se trouve l établissement principal : Pour le Cloud computing, vous êtes : Un prestataire Un Client L AFDIT et l ITechLaw sont des associations reconnues tant au niveau national qu au niveau international, regroupant les acteurs majeurs du droit des technologies qui s intéressent aux problématiques juridiques uniques qui en découlent. Consultation Cloud Computing 2

3 1. L'AFDIT (Association Française du Droit de l Informatique et de la Télécommunication) Fondée en 1985 par des personnalités du monde du droit des nouvelles technologies, l'afdit est l'une des associations au service de la communauté du droit des technologies parmi les plus largement établies en France. L'AFDIT est fondatrice de l'international Federation of Computer Law Associations (IFCLA). Ces associations couvrent un large éventail d'expertises dans le domaine du droit des technologies et regroupent en leurs seins avocats, juristes d'entreprise, universitaires, magistrats, ingénieurs et experts. L'AFDIT est un forum unique en France pour l'échange d'idées et l'examen en profondeur des technologies de l'information et de la télécommunication, et pour débattre des questions de droit que ces matières soulèvent. 2. L ITechLaw (International Technology Law Association - anciennement dénommée Computer Law Association) Créée dès 1971 aux États-Unis, l ITechLaw est une O.N.G. accréditée auprès de plusieurs organisations internationales dont la CNUDCI, l OMPI et la Conférence de La Haye de Droit International Privé, aux travaux desquelles elle contribue activement. Présente sur tous les continents et couvrant plus de 60 pays, ses membres et ses responsables possèdent l ensemble des expertises propres au droit des technologies de l'information et de la télécommunication. L ITechLaw est un lieu d'échange d'idées et d études en profondeur des problématiques juridiques liées aux technologies de l'information et de la télécommunication. Ces échanges ont lieu dans différents contextes permettant, d une part, une participation mondiale lors de conférences internationales et une contribution plus régionale voire nationale lors de comités réduits et, d autre part, une information et une sensibilisation des professionnels aux implications juridiques des technologies de l'information et de la télécommunication. Merci de renvoyer ce document par voie électronique à ou par courrier papier à Commission Nationale Informatique et Libertés CNIL Service des affaires européennes et internationales 8 Rue Vivienne PARIS. Consultation Cloud Computing 3

4 Terminologie / abréviations : Dans le cadre de cette consultation, la société offrant des services de Cloud computing sera dénommée «prestataire», les entreprises et administrations clientes de prestataires de Cloud seront appelées «client». I. Définition du Cloud computing A. Le Constat de la CNIL Le terme Cloud computing étant à la fois récent et recouvrant de nombreuses notions, il n y a pas encore de consensus pour en donner une définition précise. B. Solution proposée Une approchée fondée sur les éléments caractéristiques du Cloud computing nous semble ici plus appropriée. La CNIL propose donc de retenir le faisceau d indices suivant afin de caractériser l existence d une prestation de Cloud computing : simplicité d un service à la demande : un utilisateur peut de manière unilatérale, immédiatement et généralement sans intervention humaine, avoir à disposition les ressources informatiques dont il a besoin (temps de calcul de serveurs, capacité de stockage, etc.). extrême flexibilité : les ressources mises à disposition ont une capacité d adaptation forte et rapide à une demande d évolution, généralement de manière transparente pour l utilisateur. accès «léger» : l accès aux ressources ne nécessite pas d équipement ou de logiciel propriétaire. Il se fait au travers d applications facilement disponibles (parfois libres 1 ), généralement depuis un simple navigateur Internet. virtualisation des ressources : les ressources informatiques du prestataire sont configurées pour être utilisées par une multitude de machines et sont souvent réparties dans différents centres d hébergements (éventuellement dans différents endroits de la planète). paiement «à l usage» : le paiement de la prestation de Cloud computing peut s effectuer proportionnellement à l usage. 1 Une application / logiciel libre est une application/logiciel dont la licence donne à chacun (et sans contrepartie) le droit d'utiliser, d'étudier, de modifier, de dupliquer, et de diffuser le dit logiciel. Il existe également des systèmes d exploitation libres comme LINUX. 4

5 C. Question posée Ce faisceau d indices permet-il selon vous de caractériser une prestation de Cloud computing? Selon vous, faut-il compléter ce faisceau d indices? Afin de faciliter la lecture et la compréhension de nos remarques et suggestions, nous nous sommes permis de reprendre les éléments constituant le faisceau d'indices proposés par la CNIL et d'intégrer celles-ci en modifications apparentes dans le corps même des définitions proposées. simplicité d un service fourniture simplifiée pour le client d'une SOLUTION informatique à la demande immédiate dans un cadre technique prédéterminé par le prestataire : un utilisateur peut de manière unilatérale, immédiatement et généralement sans intervention humaine, avoir à disposition les ressources informatiques dont il a besoin (que ce soit logicielles ou d infrastructure tel que temps de calcul de serveurs, capacité de stockage, etc.) dans la limite du cadre technique proposé par le prestataire. extrême flexibilité solution informatique sur-mesure et personnalisée dans la limite du cadre technique prédéterminé par le prestataire : les ressources mises à disposition la solution informatique proposée au client a ont une capacité d adaptation forte et rapide aux besoins présents du client dans la limite des ressources mises à disposition par le prestataire. élasticité permanente de la solution informatique : la solution informatique proposée au client a une capacité évolutive importante (extension ou réduction) selon les besoins du client dans la limite des moyens techniques et des ressources dédiées à cette fin par le prestataire dans le cadre de la solution informatique fournieà une demande d évolution, généralement de manière transparente pour l utilisateur. accès «léger»à distance et facile à une solution informatique externalisée : l accès aux ressources ne nécessite pas d équipement ou de logiciel propriétaire. Il se fait au travers d applications facilement disponibles (parfois libres), généralement depuis un simple navigateurà travers le réseau Internet. dématérialisation et mutualisation virtualisation des ressources : les ressources informatiques du prestataire sont configurées conçues pour être utilisées par une multitude de machines terminaux et sont souvent réparties dans différents centres d hébergements (éventuellement généralement dans différents endroits de la planète). paiement «à l usage» rationalisation des coûts grâce à une faculté deune facturation en fonction de la consommation réelle du client ou par forfait : le paiement montant de la prestation de Cloud computing peut s effectuer être calculé proportionnellement à l exploitation qui en est faite par le clientl usage. 5

6 accès unique à un espace dédié mais non individualisé de stockage de données : les données d un même client sont réparties/dispersées dans différentes unités de stockage et chaque unité de stockage contient des données de différents clients. organisation des données déterminée par le client avec une mise en adéquation technique opaque par le prestataire : l arborescence pour le classement des données est établie par le client mais les moyens techniques mis en œuvre pour l enregistrement, la localisation, la récupération et la sécurisation des données demeurent inconnus de celui-ci. absence d identification de chaque propriétaire des données : l identification des clients propriétaires des données n est pas possible au niveau des unités de stockage. II. La qualification des parties : vers une présomption de soustraitance? A. Le principe Aux termes de l article 3 de la loi de 1978, le responsable de traitement est défini comme la personne physique ou morale qui détermine les finalités et les moyens du traitement de données à caractère personnel. Le sous-traitant quant à lui, traite les données à caractère personnel pour le compte du responsable de traitement et selon ses instructions. B. Solution proposée 1. Le client Le client sera toujours responsable de traitement. En effet, en collectant des données et en décidant d en externaliser le traitement auprès d un prestataire, il est responsable de traitement en ce qu il détermine les finalités et les moyens de traitement des données. 2. Le prestataire En principe, le prestataire agit pour le compte et sur les instructions du client responsable de traitement. Dès lors, il semble possible d établir une présomption de sous-traitance dans la relation qu entretiennent le client et le prestataire. Une telle présomption sera particulièrement effective lorsque le client aura recours à un Cloud privé 2 qui implique une grande maîtrise de la réalisation de la prestation du Cloud. 2 Dans le Cloud privé, les ressources informatiques (infrastructure, applications, etc.) sont mises à disposition d une seule et même organisation client. Ces ressources peuvent être détenues, gérées et administrées par 6

7 En revanche, lorsqu un client a recours à un Cloud public 3, les rôles respectifs du client et du prestataire peuvent s avérer difficiles à déterminer, et dépendront également du type de services souscrit par le client. La Commission propose que la présomption de sous-traitance puisse tomber en application d un faisceau d indices qui doit permettre de déterminer la marge de manœuvre dont dispose le prestataire pour réaliser la prestation de services. Critère Niveau d instruction Degré de contrôle de l exécution de la prestation. Expertise du prestataire Degré de transparence du responsable de traitement au niveau de la prestation de services. Signification Evaluer dans quelle mesure le prestataire est tenu par les instructions du client et par les finalités poursuivies. Evaluer le niveau de contraintes que le client peut imposer au prestataire. Ce critère ne devrait pas influer sur la détermination de la qualité de responsable de traitement ou de soustraitant au sens de la loi Informatique et libertés. Evaluer le niveau d expertise du prestataire afin de savoir dans quelle mesure il maîtrise le traitement des données. Ce critère ne devrait pas influer sur la détermination de la qualité de responsable de traitement ou de sous-traitant au sens de la loi Informatique et libertés. Savoir dans quelle mesure l identité du prestataire est connue des personnes concernées. En effet, si l identité du prestataire est connue par les personnes concernées qui utilisent les services du client, le prestataire pourra être présumé comme agissant également comme responsable de traitement. Ce critère ne devrait pas influer sur la détermination de la qualité de responsable de traitement ou de sous- l organisation elle-même le client lui-même ou par un tiers. Dans tous les cas, l organisation le client a généralement une maîtrise sur l infrastructure associée et la localisation des données. Lorsque l infrastructure est partagée entre plusieurs organisations clients supportant une communauté précise et ayant des préoccupations communes, on parle alors de «Clouds communautaires». 3 Dans le Cloud public, les ressources informatiques sont exploitées par des tiers et font coexister les tâches soumises par un grand nombre de clients sur les mêmes serveurs, systèmes de stockage et autres composants de l'infrastructure. L'utilisateur final n'a généralement aucun moyen de savoir quels autres usagers sont présents sur le serveur, le réseau ou le disque sur lequel ses tâches sont exécutées. Il existe également des Clouds hybrides, une partie publique, une partie privée. 7

8 traitant au sens de la loi Informatique et libertés. L application de ce faisceau d indices permettra notamment de prendre en compte la nature particulièrement standardisée des offres de Cloud computing dont il résulte généralement une très grande maîtrise de la prestation par le prestataire. La CNIL soumet donc à consultation l analyse suivante : - le client est nécessairement responsable de traitement -le prestataire est présumé sous-traitant à moins que le faisceau d indices ne fasse tomber cette présomption démontrant alors que le prestataire agit comme responsable de traitement. Dans le cadre de la réflexion menée sur la révision de la directive, il serait intéressant de réfléchir à la création d un statut légal pour le sous-traitant afin de faire peser sur ce dernier un certain nombre d obligations spécifiques. C. Question posée L analyse présentée ci-dessus reflète-t-elle selon vous la spécificité du Cloud computing? Pourquoi? Observation préliminaire : Il est à noter que la notion de «sous-traitance» telle qu exprimée dans la loi Informatique et libertés correspond à la notion juridique de «prestataire» à qui il est confié l exécution d une prestation. Cette notion de «sous-traitance» ne correspond pas à la notion juridique générale notamment commerciale de «sous-traitance» telle que définie par les textes législatifs en France, notamment la Loi n du 31 décembre 1975 modifiée relative à la sous-traitance. La qualification de «sous-traitant» du prestataire au sens de la loi Informatique et libertés exonère ledit prestataire de toute responsabilité relevant des obligations incombant au Responsable de traitement. En conséquence, les termes «sous-traitance» ou «sous-traitant» dans nos commentaires, pour l intégralité de ce document, devront être compris au seul sens de la loi Informatique et libertés. 8

9 La question est de savoir si la spécificité du Cloud computing, qui réside notamment dans l obligation de recourir aux moyens imposés par le sous-traitant, doit impliquer la création d un régime spécifique aux sous-traitants entrainant la non-application des dispositions actuelles de la loi Informatique et libertés? : Non. Les différentes dispositions existantes en droit français, tant au regard des dispositions spécifiques de la loi Informatique et libertés qu au regard du droit pénal et du droit civil (contractuel et délictuel), permettent de couvrir les différentes situations envisageables dans le cadre des prestations de Cloud computing. Aux termes de l article 35 de la loi Informatique et libertés : «Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement. Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi. Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.» Il ressort de l article 35 susvisé que le client est responsable de traitement et que le prestataire bénéficie d une présomption de sous-traitance au sens de la loi Informatique et libertés, exonératoire de responsabilité dès lors qu il agit sur instruction du client, peu importe que le prestataire impose ou non les moyens au client. Dans la mise en œuvre d un Cloud (public ou privé), le client définit la finalité du traitement et le prestataire impose les moyens. La présomption ci-dessus rappelée de sous-traitant devrait donc être retenue. Celle-ci est d autant plus nécessaire en matière de Cloud public que de telles prestations sont généralement fournies par le prestataire dans le cadre d un contrat d adhésion. Aux termes de l article 34, alinéa 1 de la loi Informatique et libertés, «le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.» 9

10 En raison de la dématérialisation des données et des flux transfrontaliers que le Cloud computing engendre, le sous-traitant peut être amené à réaliser un nombre plus vaste de prestations entrainant des risques notamment sécuritaires plus importants que lors de la mise en œuvre d une solution informatique plus traditionnelle. La diversification et l importance quantitative des prestations fournies par le sous-traitant ne sauraient entrainer pour le soustraitant une modification de sa qualité de sous-traitant au profit d une qualité de responsable de traitement. Que le sous-traitant propose directement ou indirectement les finalités de traitement et des moyens mis en œuvre non connus du client, il n en demeure pas moins que ces finalités et ces moyens sont acceptés par le client et mis en œuvre sur instruction et pour le compte du client. En revanche, compte-tenu de l absence de connaissance et/ou de contrôle des moyens techniques mis en œuvre par le sous-traitant dans le cadre de la réalisation de ses prestations, il devrait être étudié un renforcement des obligations mises à la charge dudit sous-traitant entrainant un élargissement de sa responsabilité au titre de sa qualité de sous-traitant. Les obligations a minima du sous-traitant pourraient être prévues dans le cadre d une norme (cf. ci-après 6). Il ne semble donc pas justifié au regard de la spécificité du Cloud à ce jour d établir un faisceau d indices qui ferait tomber la présomption de sous-traitance. Que pensez-vous d un régime juridique spécifique pour les prestataires? Compte-tenu : - du nombre de prestataires aux expertises techniques nécessairement distinctes impliqués dans la fourniture de solution de Cloud, - des évolutions inévitables dans les expertises requises dans la fourniture de solution de Cloud, - des législations d ores et déjà existantes en France pouvant s appliquer à ce type de prestations. En effet, le prestataire fournissant la solution de Cloud est lié par l ensemble des obligations incombant à un fournisseur de solution informatique dont notamment (i) une obligation d information, (ii) une obligation de conseil et de mise en garde, (iii) une obligation de sécurisation et confidentialité des données, à ce stade du développement des prestations de Cloud, la création d un régime juridique spécifique aux solutions de Cloud ne semble pas nécessaire, voire judicieux. Il ne paraît pas justifié d établir un régime spécifique notamment de présomption de responsabilité (en qualité de responsable de traitement) du sous-traitant de Cloud. 10

11 III. Le droit applicable Le Cloud computing étant basé sur l utilisation de multiples serveurs situés en divers points de la planète, les difficultés quant à la détermination du droit applicable sont évidentes. En effet, la flexibilité et la fluidité des transferts de données rendent potentiellement applicables autant de lois que de pays dans lesquels se trouvent des serveurs traitant les données. Il est pourtant particulièrement important d identifier la loi applicable, afin notamment de déterminer quelles obligations pèsent sur le responsable de traitement. A. Le principe Aux termes de l article 5 de la loi du 6 janvier 1978 modifiée, la loi s applique si le responsable de traitement : a son établissement sur le territoire français a recours à des moyens de traitement situés sur le territoire français (sans être établi sur le territoire d un autre Etat membre) B. Pistes de réflexion Alors que la CNIL est favorable à une extension de la notion de moyens de traitement, elle souhaite tout de même tempérer les conséquences excessives d une interprétation particulièrement large des moyens de traitement et une éventuelle application systématique de la loi française. Question posée : Selon vous quels critères pourraient permettre de déterminer la loi applicable aux acteurs du Cloud? La détermination de la loi applicable constitue une interrogation récurrente chez les acteurs du Cloud. En France, les violations des dispositions de la loi Informatique et libertés constituent des délits pénaux punis d emprisonnement. La loi pénale française est d Ordre Public dont les spécificités seront rappelées ci-dessous. A toutes fins utiles et compte-tenu de la question précédente relative à un éventuel statut légal du sous-traitant de Cloud computing, nous avons également évoqué la question de la loi applicable d un point de vue de droit civil. 11

12 1. Sur le plan pénal En matière d application de la loi pénale dans l espace, il convient de rappeler les principaux textes pouvant être pertinents dans le contexte de la fourniture d une solution de Cloud : L article du Code pénal énonce «l infraction est réputée commise sur le territoire de la République dès lors que l un de ses faits constitutifs a eu lieu sur ce territoire». L article du Code pénal énonce : [la loi pénale française- Ndlr] est applicable aux délits commis par des Français hors du territoire de la République si les faits sont punis par la législation du pays où ils ont été commis. L article du Code pénal énonce : «la loi pénale française est applicable à tout crime ainsi qu à tout délit puni d emprisonnement commis par un français ou par un étranger hors du territoire de la République lorsque la victime est de nationalité française au moment de l infraction». La loi pénale française est donc applicable tant à l égard des responsables de traitement que des sous-traitants dès lors que : - un des éléments constitutifs de l infraction est commis sur le territoire français (Cf. article du Code pénal) - la victime est française au moment de l infraction (Cf. article du Code pénal) - l infraction est commise hors du territoire français mais par un Français et que les faits sont punis par la législation du pays où ils ont été commis (Cf. article du Code pénal). En matière de Cloud, compte-tenu de l importance des acteurs impliqués dans la fourniture de la solution de Cloud et des services liés ainsi que des flux transfrontaliers inhérents à la fourniture de la solution de Cloud, la loi pénale française pourrait être applicable dans de nombreuses situations. 2. Sur le plan civil La fourniture d une solution entrant dans le cadre d un contrat entre le client et le soustraitant, les parties au contrat peuvent prévoir une clause d élection de la loi du for avec une clause attributive de compétence (cette dernière ne suffisant pas à elle seule à autoriser la juridiction désignée à appliquer la loi de son pays). 12

13 En l absence de telles dispositions dans le contrat, la juridiction française saisie du litige fera application des dispositions de droit international privé en se fondant notamment sur l article 4 du Règlement Rome 1 : «1. Dans la mesure où la loi applicable au contrat n a pas été choisie conformément aux dispositions de l article 3, le contrat est régi par la loi du pays avec lequel il présente les liens les plus étroits. Toutefois, si une partie du contrat est séparable du reste du contrat et présente un lien plus étroit avec un autre pays, il pourra être fait application, à titre exceptionnel, à cette partie du contrat de la loi de cet autre pays.» Dans un contrat de fourniture d une solution de Cloud, la difficulté résidera dans la détermination des critères caractérisant les liens les plus étroits entre le contrat et les pays où seront exécutés une partie du contrat. Il est généralement présumé que le contrat présente les liens les plus étroits avec le pays où la partie qui doit fournir la «prestation caractéristique» a, au moment de la conclusion du contrat, sa résidence habituelle. La «prestation caractéristique» correspond, par exemple, à la livraison de marchandises dans le contrat de vente ou la prestation de services dans un contrat de fourniture de services. La plupart des prestataires de Cloud étant localisés à l étranger, une loi autre que la loi française serait donc la loi applicable. Certains prestataires proposent de considérer, à défaut d accord international, la «prestation caractéristique» d un Cloud comme le lieu de localisation géographique des serveurs et appliquer, dès lors, la loi du pays dans lequel les serveurs se situent. Ces solutions ne paraissent pas satisfaisantes en matière de Cloud : - les clients sont généralement liés par des contrats d adhésion dans lesquels il ne leur est pas possible de modifier les clauses attributives de loi applicable et de juridiction compétente imposées par le prestataire, - les clients seraient amenés à exposer des frais importants pour faire respecter leurs droits en raison de la grande incertitude juridique qui pèse sur la détermination de la loi applicable résultant, tant de la localisation indéterminée des données que dans le fait que la résidence habituelle des prestataires est généralement à l étranger, et ce, alors que la technologie même du Cloud les rend dépendants techniquement de leur prestataire et donc «vulnérables». En matière délictuelle, la question reste également entière puisqu en cas de conflits de loi, le Règlement Rome II prévoit qu est applicable «la loi du pays où le dommage survient; ou à défaut la loi du pays où la personne responsable et la personne lésée ont toutes les deux leur résidence habituelle au moment de la survenance du dommage ; ou à défaut la loi du pays avec lequel la situation présente des liens manifestement plus étroits que les pays précités». En conséquence, compte tenu de la multiplicité des acteurs du Cloud et de l enjeu stratégique et vital que constitue le Cloud pour un client qui externalise tout ou partie de son système informatique, ces questions en matière contractuelle et en matière délictuelle restent aujourd hui difficiles et nécessitent de plus amples analyses comme a pu le relever le G29 dans son avis WP 179 rendu le 16 décembre

14 II. Encadrement des transferts A. Le principe Aux termes de l article 68 de la loi de 1978, les données à caractère personnel ne peuvent faire l objet d un transfert que si l Etat dans lequel se situe le destinataire de données assure un niveau de protection adéquat. L article 69 de ladite loi prévoit expressément les outils permettant d encadrer ce type de transferts : clauses contractuelles types, règles internes d entreprises (ou BCR), Safe Harbor ou exceptions. Le recours à ces outils implique de connaître le ou les pays dans lesquels les données vont être communiquées, élément essentiel pour procéder aux déclarations/autorisations auprès de la CNIL et pour informer les personnes concernées des transferts vers ces pays. Or, le Cloud computing est le plus souvent fondé sur une absence de localisation stable des données. Le Client est donc rarement en mesure de savoir en temps réel où se trouve les données et où elles sont transférées et stockées. Dans ce contexte, les instruments juridiques permettent d encadrer les transferts de données vers des pays tiers n assurant pas un niveau de protection adéquat démontrent leurs limites. Il existe par ailleurs des exceptions au principe d interdiction de transferts B. Solutions proposées (i) Sur un plan juridique La multiplication des lieux potentiels de stockage des données rend difficile la mise en œuvre des instruments juridiques garantissant un niveau de protection adéquat. La CNIL propose d une part, d appeler les prestataires de services à intégrer les clauses contractuelles types dans leurs contrats de prestations de services, d autre part, de réfléchir à la faisabilité de BCR sous-traitants. Ces «BCR sous-traitants» permettraient à un client du prestataire de confier ses données personnelles à ce sous-traitant en étant assuré que les données transférées au sein du groupe du prestataire bénéficie d un niveau de protection adéquat. (ii) Sur un plan technique L encadrement des transferts pourrait également dépendre des solutions techniques utilisées. Certains prestataires évoquent par exemple le recours à des «métadonnées» 4 pour définir ou 4 Méthode permettant de lier des informations précises aux données et notamment permettrait de déterminer le périmètre géographique sur lequel les données pourront être transférées. 14

15 décrire une autre donnée quel que soit son support (papier ou électronique), ou encore les solutions de chiffrement homomorphe 5. Le recours au chiffrement pourrait également apparaître comme une solution satisfaisante pour garantir l envoi de données vers certains pays uniquement. Dans un tel cas, le client pourrait alors endosser véritablement son rôle de responsable de traitement en déterminant précisément avant même la réalisation de la prestation, les pays destinataires de données. En pratique : Le prestataire de Cloud, qu il soit responsable de traitement ou sous traitant, devra obtenir une approbation de ses BCR par les autorités européennes de protection des données, selon la procédure actuelle. Le client effectuera sa demande d autorisation de transferts auprès des autorités de protection sur la base des BCR du prestataire approuvés. C. Questions posées 1. Lequel des instruments existants vous semble le mieux adapté au Cloud computing? L absence de localisation préalablement et géographiquement déterminée des données caractérise le Cloud computing. Le client est donc rarement en mesure de savoir en temps réel -ou à tout moment- où se trouvent et où ont été localisées les données et où elles sont transférées et stockées. De plus, le client ne peut véritablement influer sur le choix des pays destinataires de données que dans le cadre d un Cloud privé ; à ce stade du développement des solutions de Cloud et compte-tenu de la volonté de rationalisation des coûts, le client ne peut choisir précisément les pays destinataires de données que de façon très limitée dans un Cloud public. En ce qui concerne la mise en place de BCR «sous-traitants», de tels instruments ne semblent être envisageables qu en cas de «groupe» de sous-traitants (entités liées entre elles d un point de vue capitalistique) ou éventuellement d un ensemble de sous-traitants agissant de concert aux fins de fourniture d un Cloud spécifique, ces sous-traitants («groupe» ou indépendants agissant de concert) ayant pour finalité la fourniture de prestations complémentaires dans le cadre de la création d un unique Cloud. 5 Moyen de chiffrement permettant au prestataire d agréger des messages bien qu ils soient chiffrés et sans qu il en est connaissance. 15

16 En revanche, le recours aux BCR devrait être exclu en cas de «chaîne» de sous-traitants indépendants fournissant des prestations dans le cadre d un Cloud mais n agissant pas de concert. Dans cette hypothèse, des clauses contractuelles «imposées» pourraient s appliquer aux contrats liant les sous-traitants aux autres sous-traitants et aux responsables de traitement. En ce qui concerne les formalités à remplir par le client auprès des autorités de protection des données personnelles : en l'absence de connaissance précise par le client des pays destinataires des données, imposer au client d'obtenir des autorisations de transfert auprès des autorités de protection sur la base de BCR «sous-traitants» alourdirait gravement le processus de recours à une solution de Cloud. Il conviendrait d'examiner la possibilité de souscrire à une norme (telle qu'évoquée par la CNIL ci-après) afin d'éviter qu'un client ait à effectuer de telles démarches. En ce qui concerne le chiffrement, le recours à celui-ci apparaît comme une solution satisfaisante, d'une part, parce qu'il participerait à la confidentialité des données et, d'autre part, parce qu'il participerait à la sécurisation des données lors de leur envoi vers certains pays. 2. Comment avez-vous encadré les transferts réalisés dans le cadre de la prestation des Cloud que vous proposez ou auquel vous avez souscrit? N/A 3. Les BCR sous-traitants vous semblent-ils être une solution intéressante? Quel mécanisme envisageriez-vous pour ces BCR? Cf. commentaire ci-dessus. Si un modèle type de BCR «sous-traitant» devait être élaboré (sur le même principe que les clauses contractuelles modèles européennes), celui-ci devrait à tout le moins comprendre/décrire : - le détail de la fourniture stricte de la solution de Cloud proposée - le détail des services additionnels proposés - des clauses de garantie relative à la sécurité et à la confidentialité des données - le descriptif juridique et technique du niveau d engagement quant à l exécution des prestations 16

17 - le détail des localisations actuelles et, le cas échéant celles envisageables, pour la fourniture du Cloud ainsi qu un engagement quant à de leur niveau de sécurisation logique et physique - une obligation de cryptage/chiffrement 4. Avez-vous déjà réfléchi à des solutions techniques qui permettraient de mieux identifier et contrôler les flux de données dans le cadre des prestations de Cloud? N/A VI. Sécurité des données Les problèmes de sécurité et de confidentialité des données externalisées vers le Cloud, couverts par l article 34 de la loi «informatique et libertés», sont en général un des premiers sujets de préoccupation des utilisateurs 6. Dans le cas d un organisme ayant recours à une offre de Cloud computing, la gestion de la sécurité de ces données se trouve largement déléguée au prestataire, pour lequel il est souvent difficile d obtenir des garanties sur le niveau de sécurité réel. En application de l article 35 de la loi, le sous-traitant doit «présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées dans l article 34» 7, le responsable de traitement ayant quant à lui «une obligation de veiller au respect de ces mesures [de sécurité et de confidentialité]» 7. De plus, le même article prévoit que «Le contrat liant le sous-traitant au responsable de traitement comporte l indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable de traitement.» Il est donc nécessaire que ces exigences en termes de sécurité se trouvent matérialisées dans un contrat. Il est notamment essentiel que les responsabilités et rôles des parties soient clairement définis au préalable, afin de traiter efficacement les cas d incident pouvant aboutir à une perte ou une divulgation de données. 6 Dans une étude effectuée par IDC Enterprise Panel (Etats-Unis), à la question «Rate challenges/issues ascribed to the Cloud /on-demand model» la sécurité apparait en tête avec 74,6% (source : présentation du NIST sur le Cloud Computing et la sécurité, disponible à l URL : ). 7 Article 35 de la loi «informatique et libertés». 17

18 Question posée Quel commentaire pouvez-vous formuler sur les relations contractuelles entre client et prestataire concernant les mesures de sécurité et le respect des articles 34 et 35 de loi informatique et libertés? A tout le moins, le sous-traitant doit : - respecter les règles de l art, les normes ISO, AFNOR (pour l archivage, par exemple) et autres, - mettre en œuvre les conditions d authentification stricte des clients - mettre en œuvre les procédures de sauvegarde des données (serveurs distants) - utiliser des systèmes de connexions sécurisées - mettre en place le chiffrement des données En cas de suspicion raisonnable et motivée d un client quant à un manquement d un soustraitant à ses obligations de sécurité dans le cadre d un transfert notamment, ledit client devrait avoir la possibilité de solliciter d une autorité administrative indépendante la réalisation d un audit de contrôle de sécurité. Pour éviter une multiplicité d audits nuisibles à la sécurité des centres de données (datacenter), il appartiendrait à cette autorité administrative indépendante (la CNIL pour la France) de déterminer la pertinence d une telle demande sur la base des éléments présentés par le client demandeur à l audit. Les modalités d un tel audit restent à définir. De même, cette autorité administrative indépendante (la CNIL pour la France) devrait avoir la possibilité ex officio de vérifier les mesures de sécurité physique et logique des soustraitants du Cloud assistée par tout expert agréé spécialement pour les contrôles de Cloud. 18

19 5. Des risques spécifiques au Cloud Il est recommandé d effectuer une analyse de risques 8 préalablement à la rédaction de toute politique de sécurité, en particulier pour les systèmes d information de taille importante. Cette recommandation a déjà été formulée par l ENISA 9 dans son rapport paru en novembre 2009 et intitulé «Cloud computing: benefits, risks and recommendations for information security» 10 et par l ANSSI dans son rapport plus général sur «L externalisation des systèmes d information Maîtriser les risques» publié le 19 mars Cette analyse de risques doit notamment prendre en compte la nature de l organisme qui utilise le Cloud et le type de données traitées dans le Cloud. La CNIL considère donc qu adopter une démarche d analyse de risques pour évaluer l impact du passage au Cloud devrait être adopté par les responsables de traitement qui souhaitent utiliser le Cloud computing pour certains de leurs traitements de données personnelles. Question posée : Quels commentaires pouvez-vous formuler sur la recommandation de mener une analyse de risques avant le passage au Cloud? En pratique, imposer une obligation légale d analyse des risques aux responsables de traitement pour évaluer l impact du passage au Cloud risque de faire supporter auxdits responsables de traitement un coût important qui serait contraire au but premier du Cloud de rationalisation des coûts (cf. nos remarques au 6.c). Une telle obligation ne semble pas non plus judicieuse sur le plan juridique. 8 La méthode d analyse de risque la plus utilisé en France est celle développée par l Agence Nationale de la Sécurité des Systèmes d Information (ANSSI, anciennement DCSSI), dénommée EBIOS (voir à l url : 9 European Network and Information Security Agency 10 Ce rapport identifie notamment 35 risques spécifiques au Cloud computing. L ENISA a précisé l analyse à réaliser dans le cas de l utilisation du Cloud par les services publics dans un second rapport, publié en janvier 2011 et intitulé «Security & Resilience in the Governmental Clouds». Dans ce rapport, l ENISA fournit un guide d analyse à destination des services publics et recommande, globalement, l utilisation de Clouds privés, dont le rapport bénéfice/risques en matière de sécurité semble positif 11 Notamment les risques liés à la localisation et à l hébergement mutualisé. 19

20 En effet, en cas d'incident, le sous-traitant pourrait opposer cette analyse des risques et mettre en cause la société tiers l ayant réalisée, aux fins de s exonérer de ses obligations de conseil et de mise en garde qui sont renforcées en matière de prestations informatiques et ainsi tenter de s exempter de sa responsabilité. Si cette obligation est mise à la charge du sous-traitant dans le cadre de son obligation de conseil ou de mise en garde, il existerait alors une possibilité de minimisation par le prestataire des risques réels encourus qui ne serait révélée qu en cas de litige et serait difficilement contestable hors le cadre d un contentieux et sauf à engager des coûts très importants (expertise etc.). 6. Constats et propositions en matière de sécurité a) Les points de sécurité à renforcer Lors de l utilisation du Cloud computing, la CNIL recommande d examiner particulièrement certains aspects de la sécurité : - la protection externe du réseau (pare-feu, serveur proxy avec analyse de contenu, détection d intrusion, etc.) - la protection du terminal (PC portable, assistant personnel, téléphone portable) : antivirus, système d exploitation et des logiciels mis à jour régulièrement, firewall le chiffrement des liaisons 13 de manière à garantir la confidentialité des échanges - la traçabilité : conserver un historique des connexions et des opérations effectuées 14 sur les données (en effet, dans de nombreuses offres, y compris de grandes sociétés, les évènements de type «administration» qui permettent par exemple la création/suppression de compte ou les accès aux données ne sont pas enregistrés). Pour les prestataires proposant des offres à destination d organismes publics ou de sociétés, on peut rajouter : - la gestion des habilitations par exemple le compte d une personne ayant quitté l organisme doit être immédiatement désactivé car le fait qu elle n a plus accès aux locaux ne l empêche pas d accéder aux systèmes d information. - l authentification : de même, l authentification doit être renforcée. Le recours à une authentification forte s avèrera nécessaire dès lors que les données accédées sont sensibles et/ou volumineuses. 12 Ou «pare-feu» servant à filtrer les connexions entrantes et sortantes. Ici, il se présentera sous forme d un logiciel, ou à défaut de la fonctionnalité fournie par le système d exploitation du terminal. 13 Par exemple en ayant recours à https (HyperText Transfer Protocol Secure) pour sécuriser la navigation. 14 Sil s agit d une offre de type IaaS, il sera important d activer les journaux au niveau du système d exploitation (sécurité, système, application), et au niveau des équipements contribuant à la sécurité du réseau (firewall, IDS). S il y a en plus des prestations de type SaaS, il faudra journaliser les évènements (création de compte, exports, accès en écriture/lecture) au niveau de la base de données et/ou de l applicatif associé. De plus, l accès aux journaux devrait être protégé en écriture et limité au minimum de personnes. Bien que généralement gérés par la société offrant le service de Cloud computing, ils devraient être accessibles (éventuellement sur demande) au client. 20

Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL

Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL 1. Définition du Cloud computing Dans la consultation publique,

Plus en détail

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés

Plus en détail

Cloud Computing*: questions juridiques

Cloud Computing*: questions juridiques 07 Juin 2011 CERT Ist - Forum 2011 Cloud Computing*: questions juridiques Jean-Marie Job Avocat associé de Gaulle Fleurance & Associés jmjob@dgfla.com * Informatique en nuage Ateliers ADIJ Solutions aux

Plus en détail

Le contrat Cloud : plus simple et plus dangereux

Le contrat Cloud : plus simple et plus dangereux 11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin

Plus en détail

POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING

POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING SALON MED-IT CASABLANCA 13-15.11.2012 POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING Me Cathie-Rosalie JOLY Avocat Associé Cabinet

Plus en détail

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique Les outils «cloud» dédiés aux juristes d entreprises Cadre juridique Présenté par Béatrice Delmas-Linel et Céline Mutz Cabinet De Gaulle Fleurance & Associés 29 juin 2012 1 Introduction La dématérialisation

Plus en détail

AFDIT I Les contrats Cloud : des contrats clés en main? 15 octobre 2015

AFDIT I Les contrats Cloud : des contrats clés en main? 15 octobre 2015 AFDIT I Les contrats Cloud : des contrats clés en main? 15 octobre 2015 Déroulement Rappel : qu est-ce que Syntec Numérique? Une définition du Cloud Computing Les caractéristiques du Cloud Computing Les

Plus en détail

CONDITIONS PARTICULIERES

CONDITIONS PARTICULIERES CONDITIONS PARTICULIERES HEBERGEMENT/CLOUD/SAAS GROUPE Com6 2015 Article 1. Préambule 1. Le client souhaite bénéficier d une prestation d hébergement. 2. Le client déclare avoir adhéré sans réserve aux

Plus en détail

Conditions générales d hébergement de l application La-Vie-Scolaire.fr

Conditions générales d hébergement de l application La-Vie-Scolaire.fr de l application La-Vie-Scolaire.fr Référence :.. Date : Définitions «Contrat d accès au Service» : désigne le bon de commande, les conditions générales de vente et les éventuels annexes ou avenants conclus

Plus en détail

Délibération n 03-036 du 1er juillet 2003 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique

Délibération n 03-036 du 1er juillet 2003 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique Commission Nationale de l Informatique et des Libertés (CNIL) Délibération n 03-036 du 1er juillet 2003 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique 01

Plus en détail

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain Nacira Salvan Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN Nacira.salvan@safran.fr CRiP Thématique Sécurité de l informatique de demain 03/12/14 Agenda Quelques définitions

Plus en détail

LES TRANSFERTS DE DONNéES. à caractère personnel

LES TRANSFERTS DE DONNéES. à caractère personnel LES TRANSFERTS DE DONNéES à caractère personnel Règles relatives aux données personnelles Règles relatives aux transferts Transfert vers un pays homologué par l UE Transfert vers les Etas-Unis Transfert

Plus en détail

BIG DATA Jeudi 22 mars 2012

BIG DATA Jeudi 22 mars 2012 BIG DATA Jeudi 22 mars 2012 87 boulevard de Courcelles 75008 PARIS Tel :01.56.43.68.80 Fax : 01.40.75.01.96 contact@haas-avocats.com www.haas-avocats.com www.jurilexblog.com 1 2012 Haas société d Avocats

Plus en détail

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés LES OUTILS Connaître et appliquer la loi Informatique et Libertés SEPTEMBRE 2011 QUE FAUT-IL DÉCLARER? Tous les fichiers informatiques contenant des données à caractère personnel sont soumis à la Loi Informatique

Plus en détail

CRISTALLIN KIT D INFORMATION INFORMATIQUE ET LIBERTES A DESTINATION DES OPTICIENS

CRISTALLIN KIT D INFORMATION INFORMATIQUE ET LIBERTES A DESTINATION DES OPTICIENS CRISTALLIN KIT D INFORMATION INFORMATIQUE ET LIBERTES A DESTINATION DES OPTICIENS 19 06 2012 SOMMAIRE 1. Préambule 3 2. Réaliser les formalités préalables adéquates 3 3. Informer vos clients 3 4. Obtenir

Plus en détail

Toute utilisation du site www.eau-services.com doit respecter les présentes conditions d utilisation.

Toute utilisation du site www.eau-services.com doit respecter les présentes conditions d utilisation. Mentions légales Toute utilisation du site www.eau-services.com doit respecter les présentes conditions d utilisation. I CONDITIONS D UTILISATION DU SITE Ce Site est soumis à la loi française. En consultant

Plus en détail

The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December 2014. M elle Rafia BARKAT. Chargée d Etudes Experte

The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December 2014. M elle Rafia BARKAT. Chargée d Etudes Experte The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December 2014 M elle Rafia BARKAT Chargée d Etudes Experte Quels sont les avantages du Cloud Computing? Quels sont les risques et les principales

Plus en détail

Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles

Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles Mis en fo Ateliers Cloud Computing / ADIJ / [Atelier n 4 20 janvier 2011] Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles Co-animés par Helle Frank Jul-Hansen, Béatrice

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur de l Observatoire de Paris (désigné dans la suite comme l Établissement) et ceux de ses

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Prénom Nom : Signature : Date : Service : Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur des entités, a pour objet de préciser la responsabilité

Plus en détail

Site internet et E-commerce Les étapes juridiques incontournables

Site internet et E-commerce Les étapes juridiques incontournables Site internet et E-commerce Les étapes juridiques incontournables Atelier du 7 juillet 2009 Animé par Annabel BONNARIC Avocat Cabinet FIDAL 2 Le Site Internet Véritable outil de communication de l entreprise

Plus en détail

L'intérêt de la 27001 pour le CIL

L'intérêt de la 27001 pour le CIL HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet L'intérêt de la 27001 pour le CIL Frédéric Connes

Plus en détail

ACHAT DE PRODUITS DE sécurité ET DE SERVICES DE CONFIANCE qualifiés dans le cadre du référentiel général de sécurité

ACHAT DE PRODUITS DE sécurité ET DE SERVICES DE CONFIANCE qualifiés dans le cadre du référentiel général de sécurité ACHAT DE PRODUITS DE sécurité ET DE SERVICES DE CONFIANCE qualifiés dans le cadre du référentiel général de sécurité SERVICE DES ACHATS DE L'ÉTAT Identifiez les guides susceptibles d accompagner votre

Plus en détail

REFLEXIONS DE LA CGPME

REFLEXIONS DE LA CGPME DROIT DE LA CONSOMMATION REFLEXIONS DE LA CGPME Réponse à la consultation publique sur le Livre Vert relatif à la révision de l acquis communautaire en matière de protection des consommateurs Le 8 février

Plus en détail

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR INTRODUCTION A la suite de grands scandales financiers qui ont ébranlés le monde des affaires, les instances législatives et réglementaires des Etats Unis ont remis

Plus en détail

Vu la Loi n 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Vu la Loi n 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ; DELIBERATION N 2012-118 DU 16 JUILLET 2012 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT RECOMMANDATION SUR LES DISPOSITIFS D ENREGISTREMENT DES CONVERSATIONS TELEPHONIQUES MIS EN ŒUVRE

Plus en détail

ENT Aspects Juridiques Tendances 2013 / 2015

ENT Aspects Juridiques Tendances 2013 / 2015 ENT Aspects Juridiques Tendances 2013 / 2015 Me Eric Barbry Directeur du Pole «droit du numérique» 1 Introduction Contexte = ENT Objet de droit Enjeu = Connais toi, toi même Défi = Anticipation Actualité

Plus en détail

QU EST CE QUE LE CLOUD COMPUTING?

QU EST CE QUE LE CLOUD COMPUTING? En France, on parle plus volontiers d «informatique en nuage» 1 pour décrire ce concept. Apparu au début des années 2000, le cloud computing constitue une évolution majeure de l informatique d entreprise,

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

Quelles assurances proposer? Focus sur le cloud computing

Quelles assurances proposer? Focus sur le cloud computing ACTUALITÉ DU DROIT DES TECHNOLOGIES DE L INFORMATION Quelles assurances proposer? Focus sur le cloud computing Jean-Laurent SANTONI, Docteur en Droit, Président de Clever Courtage, IT risk insurance broker

Plus en détail

«Une approche globale de la protection des données à caractère personnel dans l'union européenne» Contribution du Groupe Carrefour - Janvier 2011

«Une approche globale de la protection des données à caractère personnel dans l'union européenne» Contribution du Groupe Carrefour - Janvier 2011 «Une approche globale de la protection des données à caractère personnel dans l'union européenne» Contribution du Groupe Carrefour - Janvier 2011 Numéro au registre des représentants d intérêts : 2921139621-18

Plus en détail

CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE

CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE Définitions : Dernière version en date du 13 Juin 2011 Activation du Service : L activation du Service intervient à compter de la

Plus en détail

COMMISSION BANCAIRE, FINANCIERE ET DES ASSURANCES Politique Prudentielle

COMMISSION BANCAIRE, FINANCIERE ET DES ASSURANCES Politique Prudentielle Politique Prudentielle Bruxelles, le 22 juin 2004 Circulaire PPB 2004/5 sur les saines pratiques de gestion en matière de sous-traitance par des établissements de crédit et des entreprises d investissement

Plus en détail

Pour bien commencer avec le Cloud

Pour bien commencer avec le Cloud Pour bien commencer avec le Cloud Pour s informer sur les solutions et les services du Cloud Pour déterminer si le Cloud correspond à vos besoins Pour bien initialiser votre démarche vers le Cloud I -

Plus en détail

Le régime juridique qui est contractuellement attaché aux

Le régime juridique qui est contractuellement attaché aux La rédaction des clauses relatives aux biens dans les DSP La question des biens au sein des de délégation de service public nourrit de nombreux contentieux devant le juge administratif. L une des problématiques

Plus en détail

COMMUNICATION TRANSFRONTIÈRE

COMMUNICATION TRANSFRONTIÈRE Autorité cantonale de la transparence et de la protection des données ATPrD Kantonale Behörde für Öffentlichkeit und Datenschutz ÖDSB Rue des Chanoines 2, 1700 Fribourg T +41 26 322 50 08, F +41 26 305

Plus en détail

CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE

CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE CONDITIONS PARTICULIERES COMPTE INDIVIDUEL DE MESSAGERIE COLLABORATIVE Définitions : Dernière version en date du 21 Avril 2011 Activation du Service : L activation du Service intervient à compter de la

Plus en détail

Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine

Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine La présente charte définit les règles d usages et de sécurité que l Université de Lorraine

Plus en détail

Hausse de la TVA dans les télécoms : un kit de l UFC-Que Choisir pour une résiliation sereine

Hausse de la TVA dans les télécoms : un kit de l UFC-Que Choisir pour une résiliation sereine Hausse de la TVA dans les télécoms : un kit de l UFC-Que Choisir pour une résiliation sereine Le gouvernement a entériné, dans la loi de finances pour 2011, une hausse de la taxe sur la valeur ajoutée

Plus en détail

Jean-Marie SEEVAGEN Avocat au Barreau de PARIS

Jean-Marie SEEVAGEN Avocat au Barreau de PARIS EDITORIAL I SECURITE JURIDIQUE II REGIME DES CONTRATS 1- Loi du 11 décembre 2001 2. Contrats entre personnes publiques III TECHNIQUES ET SAVOIR FAIRE 1. Externalisation de la production de chaleur 2. Les

Plus en détail

Introduction à l infonuagique

Introduction à l infonuagique Introduction à l infonuagique Lorsque vous stockez vos photos en ligne au lieu d utiliser votre ordinateur domestique, ou que vous utilisez le courriel Web ou un site de réseautage social, vous utilisez

Plus en détail

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES 01037/12/FR WP 196 Avis 05/2012 sur l informatique en nuage Adopté le 1 er juillet 2012 Le groupe de travail a été institué en vertu de l article

Plus en détail

PETER HUSTINX CONTRÔLEUR. Objet: avancée sur le paquet de mesures pour une réforme de la protection des données

PETER HUSTINX CONTRÔLEUR. Objet: avancée sur le paquet de mesures pour une réforme de la protection des données PETER HUSTINX CONTRÔLEUR Président du Conseil de l Union européenne Secrétariat général Conseil de l Union européenne Rue de la Loi 175 1048 Bruxelles, Belgique Bruxelles, le 14 février 2014 PH/ABu/mk/

Plus en détail

Conditions d Utilisation de l application mobile «JobAroundMe», du site Internet «www.jobaroundme.fr» et du service correspondant

Conditions d Utilisation de l application mobile «JobAroundMe», du site Internet «www.jobaroundme.fr» et du service correspondant Page 1 sur 7 Conditions d Utilisation de l application mobile «JobAroundMe», du site Internet «www.jobaroundme.fr» et du service correspondant L application mobile «JobAroundMe» (ci-après «l Application»)

Plus en détail

Ateliers Cloud Computing / ADIJ [Atelier n 2] Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles

Ateliers Cloud Computing / ADIJ [Atelier n 2] Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles Ateliers Cloud Computing / ADIJ [Atelier n 2] Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles Co-animés par Helle Frank Jul-Hansen, Béatrice Delmas- Linel et David

Plus en détail

Commission Nationale de l'informatique et des Libertés

Commission Nationale de l'informatique et des Libertés Délibération nº 2015-165 du 4 juin 2015 portant adoption d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics ou privés

Plus en détail

Protection des données personnelles lors de l utilisation d appareils AIS Intérieur

Protection des données personnelles lors de l utilisation d appareils AIS Intérieur Protection des données personnelles lors de l utilisation d appareils AIS Intérieur Rapport de synthèse : état des lieux des règlementations nationales au 15 avril 2014 1. Etat des lieux de la réglementation

Plus en détail

Obligations en matière de Sécurité des Systèmes d Information Avec la contribution de

Obligations en matière de Sécurité des Systèmes d Information Avec la contribution de Photographie Sabine Marcellin Obligations en matière de Sécurité des Systèmes d Information Avec la contribution de Quelles sont les obligations qui contraignent les entreprises à sécuriser leurs systèmes

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Revue d actualité juridique de la sécurité du Système d information

Revue d actualité juridique de la sécurité du Système d information Revue d actualité juridique de la sécurité du Système d information Me Raphaël PEUCHOT, avocat associé FOURMANN & PEUCHOT 16 mars 2011 THÈMES ABORDÉS : 1. Cloud computing : les limites juridiques de l

Plus en détail

DELIBERATION N 2011-52 DU 6 JUIN 2011 PORTANT AUTORISATION DE TRANSFERT

DELIBERATION N 2011-52 DU 6 JUIN 2011 PORTANT AUTORISATION DE TRANSFERT DELIBERATION N 2011-52 DU 6 JUIN 2011 PORTANT AUTORISATION DE TRANSFERT D INFORMATIONS NOMINATIVES VERS LES ETATS UNIS D AMERIQUE SUR LA DEMANDE PRESENTEE PAR LA SOCIETE GOOGLE INC AYANT POUR FINALITE

Plus en détail

Vu les articles 225-1 à 225-3 ; 226-1 et 226-16 à 226-24 du Code pénal ;

Vu les articles 225-1 à 225-3 ; 226-1 et 226-16 à 226-24 du Code pénal ; DÉLIBÉRATION N 03-034 DU 19 JUIN 2003 PORTANT ADOPTION D'UNE RECOMMANDATION RELATIVE AU STOCKAGE ET À L UTILISATION DU NUMÉRO DE CARTE BANCAIRE DANS LE SECTEUR DE LA VENTE À DISTANCE La Commission nationale

Plus en détail

Charte d Agrément Annonceur Pacitel

Charte d Agrément Annonceur Pacitel Charte d Agrément Annonceur Pacitel Table des matières Préambule... 2 1 Procédure d'agrément Annonceur... 3 1.1 Dossier de candidature... 3 1.2 Conditions d Agrément Annonceur... 3 1.2.1 Engagements du

Plus en détail

Traitement des Données Personnelles 2012

Traitement des Données Personnelles 2012 5 ème Conférence Annuelle Traitement des Données Personnelles 2012 Paris, le 18 janvier 2012 Les enjeux de protection des données dans le CLOUD COMPUTING Xavier AUGUSTIN RSSI Patrick CHAMBET Architecte

Plus en détail

CONDITIONS PARTICULIERES SOLUTIONS DE MESSAGERIE COLLABORATIVE OFFRE CORPORATE

CONDITIONS PARTICULIERES SOLUTIONS DE MESSAGERIE COLLABORATIVE OFFRE CORPORATE CONDITIONS PARTICULIERES SOLUTIONS DE MESSAGERIE COLLABORATIVE OFFRE CORPORATE Définitions : Dernière version en date du 21 Avril 2011 Activation du Service : L activation du Service intervient à compter

Plus en détail

CONDITIONS PARTICULIERES SOLUTIONS DE MESSAGERIE COLLABORATIVE

CONDITIONS PARTICULIERES SOLUTIONS DE MESSAGERIE COLLABORATIVE CONDITIONS PARTICULIERES SOLUTIONS DE MESSAGERIE COLLABORATIVE Définitions : Dernière version en date du 11 avril 2011 Activation du Service : L activation du Service intervient à compter de la validation

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

DATABOXECO.COM CONDITIONS GENERALES D UTILISATION ET DE VENTE

DATABOXECO.COM CONDITIONS GENERALES D UTILISATION ET DE VENTE DATABOXECO.COM CONDITIONS GENERALES D UTILISATION ET DE VENTE 1 Champ d application Informations générales Les présentes conditions générales régissent l accès, l utilisation et les conditions de vente

Plus en détail

Protection des données personnelles et sécurisation des données

Protection des données personnelles et sécurisation des données Protection des données personnelles et sécurisation des données Journées d études des documentalistes et archivistes des ministères sociaux Paris, 2 février 2012 Jeanne BOSSI, Secrétaire générale de l

Plus en détail

Hausse de la TVA dans les télécoms : un kit de l UFC-Que Choisir pour une résiliation sereine

Hausse de la TVA dans les télécoms : un kit de l UFC-Que Choisir pour une résiliation sereine Hausse de la TVA dans les télécoms : un kit de l UFC-Que Choisir pour une résiliation sereine Le gouvernement a entériné, dans la loi de finances pour 2011, une hausse de la taxe sur la valeur ajoutée

Plus en détail

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL L important développement à l international du groupe OVH et de ses filiales, conduit à l adoption des présentes règles internes en matière

Plus en détail

Paris, le 3 septembre 2009

Paris, le 3 septembre 2009 Sophie Martinet Société d Avocat inscrite au barreau de Paris 73, bd de Clichy - 75009 Paris Tel :01 48 74 52 61 - fax : 01 53 01 38 19 Palais : J 125 sophie.martinet@cassiopee-avocats.fr Paris, le 3 septembre

Plus en détail

DONNEES PERSONNELLES ET COOKIES HIKINGONTHEMOON.COM

DONNEES PERSONNELLES ET COOKIES HIKINGONTHEMOON.COM DONNEES PERSONNELLES ET COOKIES HIKINGONTHEMOON.COM I - Collecte de données par HIKINGONTHEMOON.COM A quoi servent vos données? Vos données font l objet de traitements informatiques permettant la gestion

Plus en détail

Charte d'usage des TIC

Charte d'usage des TIC Schéma Informatique Ministériel Groupe Chartes d usage des TIC Introduction Charte d'usage des TIC Le développement et la diffusion au sein du MINEFI des nouveaux moyens de communication et d information

Plus en détail

Recommandations sur le Cloud computing

Recommandations sur le Cloud computing Recommandations sur le Cloud computing EuroCloud, Paris, 25 septembre 2012 Didier GASSE, membre de la Commission nationale de l informatique et des libertés Myriam GUFFLET, Juriste au Service des affaires

Plus en détail

Conditions générales d utilisation

Conditions générales d utilisation Conditions générales d utilisation de l Espace Client Employeur La Banque Postale Assurance Santé La Banque Postale Assurance Santé a développé le site internet Espace Client Employeur (le Site) pour des

Plus en détail

Contractualiser la sécurité du cloud computing

Contractualiser la sécurité du cloud computing HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Club EBIOS, 11 décembre 2012 Contractualiser la sécurité du cloud

Plus en détail

Contrat d Assistance Sage

Contrat d Assistance Sage Contrat d Assistance Sage A titre de rappel, il est précisé que les conditions générales d utilisation auxquelles est soumis le client depuis l acquisition des licences restent applicables aux Progiciels

Plus en détail

Identification du document. Référence. ASIP_PGSSI_Referentiel_Destruction_Donnees_V0.0.4.Docx. Version V 0.0.4. Nombre de pages 9

Identification du document. Référence. ASIP_PGSSI_Referentiel_Destruction_Donnees_V0.0.4.Docx. Version V 0.0.4. Nombre de pages 9 PGSSI - Politique générale de sécurité des systèmes d information de santé Règles de destruction de données lors du transfert de matériels informatiques des Systèmes d Information de Santé (SIS) «ASIP

Plus en détail

MEYER & Partenaires Conseils en Propriété Industrielle

MEYER & Partenaires Conseils en Propriété Industrielle Alexandre NAPPEY Conseil en Propriété Industrielle Carole FRANCO Juriste TIC Département Multimédia Aspects juridiques du Cloud Computing INTRODUCTION une infrastructure virtuelle et partagée obtenue à

Plus en détail

Matinale du 19 janvier 2012 Actualités Données Personnelles

Matinale du 19 janvier 2012 Actualités Données Personnelles Matinale du 19 janvier 2012 Actualités Données Personnelles Carol Umhoefer, Avocat Associé Jonathan Rofé, Avocat DLA Piper Actualités - France Actualités Données Personnelles Matinale 19 janvier 2012 2

Plus en détail

La sécurité des données hébergées dans le Cloud

La sécurité des données hébergées dans le Cloud Conférence IDC Cloud Computing 2012 La sécurité des données hébergées dans le Cloud 25/01/2012 Patrick CHAMBET Responsable du Centre de Sécurité C2S, Groupe Bouygues Planning Quelques rappels Vue simplifiée

Plus en détail

Charte régissant l'usage du système d information par les personnels de l'académie de NANCY-METZ

Charte régissant l'usage du système d information par les personnels de l'académie de NANCY-METZ Charte régissant l'usage du système d information par les personnels de l'académie de NANCY-METZ Charte d'usages du système d'information 1/8 Sommaire Préambule...3 Article I. Champ d'application...4 Article

Plus en détail

«Les dossiers professionnels dans le cloud»

«Les dossiers professionnels dans le cloud» «Les dossiers professionnels dans le cloud» Caroline ZORN Avocat au Barreau de Strasbourg, Docteure en Droit, chargée d enseignements à l Université de Strasbourg, SAF section de Strasbourg Julien GOSSA

Plus en détail

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014 ISMS (Information Security Management System) Politique de sécurité relative à des services de Cloud Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing

Plus en détail

CONDITIONS GENERALES DE VENTE

CONDITIONS GENERALES DE VENTE CONDITIONS GENERALES DE VENTE PREAMBULE La société ARKILIUM, «le prestataire», est une société prestataire de services qui a développé un savoir-faire et une compétence approfondie dans la conception et

Plus en détail

COMPTE RENDU. Atelier-débat avec les futurs clients éligibles. 25 septembre 2002

COMPTE RENDU. Atelier-débat avec les futurs clients éligibles. 25 septembre 2002 Paris, le 17 octobre 2002 COMPTE RENDU Atelier-débat avec les futurs clients éligibles 25 septembre 2002 *** I La fourniture d électricité... 2 Les clients éligibles peuvent-ils acheter leur électricité

Plus en détail

Charte utilisateur pour l usage de ressources. informatiques et de services Internet de. l Observatoire Océanologique de Banyuls-sur-mer

Charte utilisateur pour l usage de ressources. informatiques et de services Internet de. l Observatoire Océanologique de Banyuls-sur-mer Approbation de la charte informatique de l OOB Charte utilisateur pour l usage de ressources informatiques et de services Internet de l Observatoire Océanologique de Banyuls-sur-mer Approuvé par le Conseil

Plus en détail

PRESIDENCE DE LA REPUBLIQUE

PRESIDENCE DE LA REPUBLIQUE Imprimer JOURNAL OFFICIEL DU SENEGAL PRESIDENCE DE LA REPUBLIQUE DECRET n 2008-718 du 30 juin 2008 DECRET n 2008-718 du 30 juin 2008 relatif au commerce électronique pris pour l application de la loi n

Plus en détail

REPUBLIQUE ISLAMIQUE DE MAURITANIE HONNEUR FRATERNITE JUSTICE INSPECTION GENERALE D'ÉTAT TERMES DE REFERENCE

REPUBLIQUE ISLAMIQUE DE MAURITANIE HONNEUR FRATERNITE JUSTICE INSPECTION GENERALE D'ÉTAT TERMES DE REFERENCE REPUBLIQUE ISLAMIQUE DE MAURITANIE HONNEUR FRATERNITE JUSTICE INSPECTION GENERALE D'ÉTAT TERMES DE REFERENCE POUR LA MISE EN PLACE D UN SYSTEME DE GESTION DES MISSIONS DE L IGE Liste des abréviations IGE

Plus en détail

Règlement intérieur. Son existence et ses termes principaux seront portés à la connaissance des actionnaires et du public.

Règlement intérieur. Son existence et ses termes principaux seront portés à la connaissance des actionnaires et du public. Règlement intérieur du Conseil d administration (tel que modifié le 25 août 2014) Les membres du Conseil d administration de Accor (ci-après la «Société») ont souhaité adhérer aux règles de fonctionnement

Plus en détail

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES informatiques d Inria CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES Table des matières 1. Préambule...3 2. Définitions...3 3. Domaine d application...4 4. Autorisation d accès aux ressources informatiques...5

Plus en détail

CONTRAT D INTERCHANGE EDI

CONTRAT D INTERCHANGE EDI CLUB INFORMATIQUE DES GRANDES ENTREPRISES FRANCAISES 21, avenue de Messine - 75008 PARIS Tél. : 01 56 59 70 00 - Fax : 01 56 59 70 01 http://www.cigref.fr cigref@cigref.fr CONTRAT D INTERCHANGE EDI Janvier

Plus en détail

Cahier des Clauses Techniques Particulières

Cahier des Clauses Techniques Particulières MARCHES PUBLICS DE FOURNITURES COURANTES ET SERVICES AGENCE FRANCAISE DE SECURITE SANITAIRE DE L ENVIRONNEMENT ET DU TRAVAIL DEPARTEMENT COMMUNICATION INFORMATION ET DEBAT PUBLIC UNITE INFORMATION EDITION

Plus en détail

Accord relatif à l activité de portage salarial

Accord relatif à l activité de portage salarial Accord relatif à l activité de portage salarial Préambule Le présent accord a pour finalité d organiser l activité du portage salarial et s applique aux personnes titulaires d un contrat de travail en

Plus en détail

Le terme SAUVEGARDE désigne l opération qui consiste à mettre en sécurité les données contenues dans un système informatique sur Data Center.

Le terme SAUVEGARDE désigne l opération qui consiste à mettre en sécurité les données contenues dans un système informatique sur Data Center. 1. OBJET ET DÉFINITIONS : Pour l application des présentes, le terme "Société" désigne la Société SERIANS. Le terme "C lient " désigne toute personne physique ou morale qui souscrit au contrat de sauvegarde

Plus en détail

Le Contrat comprend les présentes Conditions générales de vente et d utilisation, ainsi que les Conditions particulières.

Le Contrat comprend les présentes Conditions générales de vente et d utilisation, ainsi que les Conditions particulières. Conditions générales de vente et d utilisation Le Contrat comprend les présentes Conditions générales de vente et d utilisation, ainsi que les Conditions particulières. I Lexique et informations : Le client

Plus en détail

Action 15 : Mandat pour l'élaboration d'un instrument multilatéral sur les mesures relatives aux conventions fiscales visant à lutter contre le BEPS

Action 15 : Mandat pour l'élaboration d'un instrument multilatéral sur les mesures relatives aux conventions fiscales visant à lutter contre le BEPS Projet OCDE/G20 sur l érosion de la base d imposition et le transfert de bénéfices Action 15 : Mandat pour l'élaboration d'un instrument multilatéral sur les mesures relatives aux conventions fiscales

Plus en détail

Transfert de technologie vers la Chine: lignes directrices à l usage des entreprises

Transfert de technologie vers la Chine: lignes directrices à l usage des entreprises Transfert de technologie vers la Chine: lignes directrices à l usage des entreprises Transfert de technologie vers la Chine pourquoi s inquiéter? Les entreprises européennes souhaitent pénétrer le marché

Plus en détail

Conditions Générales d Utilisation Option Internet Protection Pro 10 Postes

Conditions Générales d Utilisation Option Internet Protection Pro 10 Postes Conditions Générales d Utilisation Option Internet Protection Pro 10 Postes Article 1. Définitions Les parties conviennent d entendre sous les termes suivants : - Client : personne physique ou morale s

Plus en détail

CONTRAT DE MISE A DISPOSITION D UNE MACHINE VIRTUELLE

CONTRAT DE MISE A DISPOSITION D UNE MACHINE VIRTUELLE CONTRAT DE MISE A DISPOSITION D UNE MACHINE VIRTUELLE Entre les soussignés : La SARL ASPSERVEUR RCS MARSEILLE 451 777 254 ZAC ATHELIA III 13600 LA CIOTAT Représentée par Monsieur Stéphane MUTEL, gérant

Plus en détail

Les questions posées pour la protection des données personnelles par l externalisation hors de l Union européenne des traitements informatiques

Les questions posées pour la protection des données personnelles par l externalisation hors de l Union européenne des traitements informatiques Les questions posées pour la protection des données personnelles par l externalisation hors de l Union européenne des traitements informatiques 1 I. Définition et contexte de l externalisation offshore...

Plus en détail

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56) Pack de conformité - Assurance 14 FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56) LES TRAITEMENTS DE DONNÉES PERSONNELLES AU REGARD DE LA LOI I&L Finalités

Plus en détail

DELIBERATION N 2014-51 DU 12 MARS 2014 DE LA COMMISSION DE CONTROLE DES

DELIBERATION N 2014-51 DU 12 MARS 2014 DE LA COMMISSION DE CONTROLE DES DELIBERATION N 2014-51 DU 12 MARS 2014 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU TRAITEMENT AUTOMATISE D INFORMATIONS NOMINATIVES AYANT POUR

Plus en détail

Tribunal correctionnel de Paris Pôle Chambre N Parquet : CONCLUSIONS EN NULLITE POUR : Ayant pour avocat : EN LA PRESENCE DU MINISTERE PUBLIC

Tribunal correctionnel de Paris Pôle Chambre N Parquet : CONCLUSIONS EN NULLITE POUR : Ayant pour avocat : EN LA PRESENCE DU MINISTERE PUBLIC Tribunal correctionnel de Paris Pôle Chambre N Parquet : CONCLUSIONS EN NULLITE POUR : M. Ayant pour avocat : EN LA PRESENCE DU MINISTERE PUBLIC PLAISE AU TRIBUNAL 1. Après avoir été placé en garde à vue,

Plus en détail

Position AMF Exigences relatives à la fonction de conformité DOC-2012-17

Position AMF Exigences relatives à la fonction de conformité DOC-2012-17 Position AMF Exigences relatives à la fonction de conformité DOC-2012-17 Textes de référence : articles 313-1 à 313-7, 313-54, 313-75, 318-4 à 318-6 du règlement général de l AMF L AMF applique l ensemble

Plus en détail

Décision de dispense de déclaration n 3

Décision de dispense de déclaration n 3 Délibération n 2005-003 du 13 janvier 2005 décidant la dispense de déclaration des traitements mis en œuvre par les organismes publics dans le cadre de la dématérialisation des marchés publics Décision

Plus en détail