Quelles assurances proposer? Focus sur le cloud computing



Documents pareils
Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL

L USAGE PAISIBLE DE L INFORMATIQUE. Les solutions assurantielles pour mieux gérer les risques de dommages immatériels

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

MEYER & Partenaires Conseils en Propriété Industrielle

Contractualiser la sécurité du cloud computing

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Le contrat Cloud : plus simple et plus dangereux

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Les clauses sécurité dans un contrat de cloud

Magasins Filière BIO Assurément Durable

Atelier C06. Cyber résilience : Protéger ses données et celles de ses clients

Atelier B 06. Les nouveaux risques de la cybercriminalité

Co-animés par Helle Frank Jul-Hansen, Béatrice Delmas-Linel et David Feldman

Les clauses «sécurité» d'un contrat SaaS

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Les points clés des contrats Cloud Journée de l AFDIT Cloud Computing : théorie et pratique

Traitement des Données Personnelles 2012

LA FAUTE MEDICALE : L assurance de responsabilité civile UIA SOFIA 2014

CONDITIONS PARTICULIERES

Etude des outils du Cloud Computing

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

Cycle de conférences sur Cloud Computinget Virtualisation. Aspects juridiques du Cloud Computing Blandine Poidevin Avocat

informatique internet télécommunications

ASSURANCE AUTO : POINT IMPORTANTS

Recommandations sur le Cloud computing

POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING

Nous réceptionnons les commandes par Internet, téléphone, courrier ou fax.

Cegid OPEN SECURITE PREMIUM

Cloud Computing Quels risques juridiques pour les banques?

ASSURANCE GROUPEMENTS SPORTIFS

La sécurité des données hébergées dans le Cloud

Maîtriser ses données dans le cloud computing

Sécurité du cloud computing

QUESTIONNAIRE D ASSURANCE RESPONSABILITE CIVILE DES ENTREPRISES INDUSTRIELLES ET COMMERCIALES

CONDITIONS GÉNÉRALES PROFESSIONNELLES de MAINTENANCE D EQUIPEMENTS

Le Cloud Computing 10 janvier 2012

ASSURANCE AUTOMOBILE

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Prestataires de services

Assurance et capital-investissement Directive AIFM et utilité de l assurance RC Professionnelle

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

(Avantages réservés aux Structures Commerciales Agréées par la FFESSM)

ENTREPRISES ET RESPONSABILITES

Fraude interne, malveillance interne Couverture des risques

Sommaire. Le marché du cloud avec un focus sur la France. Les conséquences de l adoption du cloud

MARCHE DE PRESTATION DE SERVICES DE NETTOYAGE DES AUTORAILS CAHIER DES CLAUSES ADMINISTRATIVES PARTICULIERES

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Notre expertise au cœur de vos projets

Conditions Générales de Vente Service Dolead Campaign Manager Contrat de Mandat

n 16 juillet 2013 Les risques associés au Cloud computing

CONDITIONS GENERALES DE VENTE ET D UTILISATION A DISTANCE

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

Calculs de coût. Université de Marne-la-Vallée 4/35 Laurent Wargon

Cloud computing. Des risques et des solutions CONFÉRENCE EUROCLOUD, 26 FÉVRIER 2013 CYRIL PIERRE-BEAUSSE

RESPONSABILITES ET ASSURANCE DANS LE DOMAINE ASSOCIATIF

Les défis et nouvelles opportunités du «cloud computing»

ASSURANCES RESPONSABILITE CIVILE PROFESSIONNELLE

PANORAMA DES MENACES ET RISQUES POUR LE SI

Table des matières. Quelques réflexions relatives à la gestion des risques 11

Architectures informatiques dans les nuages

Les enjeux stratégiques et économiques du Cloud Computing pour les collectivités territoriales

Atelier A6 DECROISSANCE DES FOURNISSEURS, COMMENT SE PREMUNIR, SE PROTEGER DE LEURS DEFAILLANCES

Atelier A12. Gestion du contentieux de sinistre Quelles parties prenantes?

Consultation relative au Cloud computing

PRESTATIONS DE NETTOYAGE DES LOCAUX, NETTOYAGE DES VITRES, FOURNITURES de PRODUITS CONSOMMABLES et ADAPTES

Les fondements juridiques sous-tendant les

b) Et. Domicilié, éventuellement représenté par., ci-après dénommé «le Courtier», de seconde part,

DOCUMENT D ENTREE EN RELATION. D.E.R. Maj

Des systèmes d information partagés pour des parcours de santé performants en Ile-de-France.

Hébergement MMI SEMESTRE 4

CONDITIONS GÉNÉRALES DE VENTE. Les présentes conditions visent à répondre aux impératifs de l article L441-6 du Code de Commerce.

Représentée par Bruno de Saint-Louvent, Directeur des Investissements et Achats, ci-après dénommée le Client, d une part

Votre interlocuteur en cas d accident

LA SECURITE DE VOTRE ENTREPRISE

CONDITIONS GENERALES D ACHAT

Conditions générales de vente OPHOS SYSTEM Hébergement Mutualisé version janvier 2007

Cloud computing Votre informatique à la demande

CGV - SOUSCRIPTION ET ACHAT SUR LES SITES INTERNET du Groupe LE MESSAGER

A l'attention de l'union Départementale. C est Votre contrat, Votre couverture associative selon Vos priorités.

CONDITIONS GENERALES DE FOURNITURE DU SERVICE DE TELEPHONIE MOBILE SIMYO

CONDITIONS GÉNÉRALES SITEC SERVICES CLOUD

Qu est ce qu une offre de Cloud?

Valorisons. vos projets. Valorisons. vos projets

TOUJOURS UNE LONGUEUR D AVANCE.

Conditions générales du contrat Dynatic-Vol de Atral-Services

Conditions Générales de Vente Internet. 7, rue Alfred Kastler CAEN. informatiquetélécominternet

Examen 17: RC générale (branche 13) socles de compétences connaissances professionnelles. RC Base

Ateliers Cloud Computing / ADIJ [Atelier n 2] Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles

The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December M elle Rafia BARKAT. Chargée d Etudes Experte

CHARTE DU CORRESPONDANT MODELE TYPE

Study Tour Cloud Computing. Cloud Computing : Etat de l Art & Acteurs en Présence

RISQUE SPORTIF, RESPONSABILITES ET ASSURANCE. MONTPELLIER 27 mai 2013

Guide pratique à l attention des directions générales et opérationnelles

Assurance responsabilité civile Du fait d un chien de catégorie 1 ou d un chien de catégorie 2 ou de tout autre chien

Les métiers des médias, les métiers de l'informatique et les prestataires de services :

Transcription:

ACTUALITÉ DU DROIT DES TECHNOLOGIES DE L INFORMATION Quelles assurances proposer? Focus sur le cloud computing Jean-Laurent SANTONI, Docteur en Droit, Président de Clever Courtage, IT risk insurance broker Document confidentiel Ne pas diffuser sans autorisation 1

Une organisation pluri-compétence d audit, de conseil et d intermédiation indépendante détenue exclusivement par des investisseurs privés Les dirigeants du Groupe: Merryl Cuestas / Olivier Pantaleo Le dirigeant de Clever Courtage : Jean Laurent Santoni 2

Assurabilité du Cloud Computing : Les difficultés Notre définition du Cloud Computing : celle de la CNIL : SaaS (Software as a Service, ou accès à des logiciels en ligne), PaaS (Platform as a Service, ou accès à une plateforme de développement d applications en ligne) IaaS (Infrastructure as a Service, ou fourniture d une infrastructure informatique - serveurs, stockage, etc. - en ligne) Pourquoi c est difficile à assurer? Les risques immatériels et les nouveaux environnements techniques du Cloud Computing n obéissent qu imparfaitement à la traditionnelle distinction Assurance de Dommages versus Assurance de Responsabilité Civile. Doit-on retenir la vision dommages (les dommages aux données traitées par le SaaS et stockées dans le cloud restent à la charge du maitre du traitement et des données) ou Doit-on retenir la vision responsabilité (le fournisseur SaaS et l opérateur de Cloud engagent leur responsabilité de services et non pas de produit logiciel pour autant que leur faute soit démontrée, le préjudice quantifié et dans la limite des SLA). La quantification des préjudices comporte des dimensions très difficiles à quantifier (perte de confiance, perte d image, perte d intégrité ou de valeur probante d une donnée) qui rend parfois difficilement applicable le principe indemnitaire 3

Assurabilité du Cloud Computing : notre méthode Suivre les recommandations de la CNIL en l élargissant à toutes les données : 1. identifier clairement les données et les traitements qui passeront dans le Cloud, 2. définir ses propres exigences de sécurité technique et juridique, 3. conduire une analyse de risques afin d identifier les mesures de sécurité essentielles pour l entreprise, 4. identifier le type de Cloud pertinent pour le traitement envisagé 5. choisir un prestataire présentant des garanties suffisantes Déterminer les rôles respectifs du client et du prestataire ( faisceau d indices CNIL) 1. l évaluation du niveau d instruction donné par le client au prestataire. Plus le degré d autonomie du prestataire dans la réalisation de la prestation sera élevé, plus la tendance sera de le considérer également comme responsable de traitement ; 2. le degré de contrôle de l exécution de la prestation du prestataire par le client ; 3. la valeur ajoutée fournie par le prestataire sur le traitement des données du client, et donc, le niveau de maîtrise du traitement de données par le prestataire ; 4. le degré de transparence du client sur le recours à un prestataire Cloud. En attendant les BCR «sous-traitants», identifier si : 1. le prestataire Cloud est localisé hors UE et agit en qualité de sous-traitant, 2. le prestataire Cloud est localisé hors UE et agit en qualité de responsable de traitement, 3. le prestataire Cloud est localisé dans l UE, agit en qualité de sous-traitant et transfère les données à un sous-traitant (de 2é niveau) situé hors UE 4

Assurabilité du Cloud Computing par le client 1 2 3 ATTEINTE AU PATRIMOINE INFORMATIONNEL OU QU IL SE TROUVE (UE et hors UE) Frais de reconstitution des Données / Frais de réversibilité Frais supplémentaires d exploitation / secours / Back up Pertes d exploitation / Perte d Activités / Cyber rançon Pénalités contractuelles (PCI DSS) Dépenses de relations publiques UNE PROCEDURE REGLEMENTAIRE RELATIVE A LA PROTECTION DES DONNEES Coûts d investigation en cas de suspicion de compromission, Frais de défense face aux organismes de contrôle selon la nature des données (AMF, ACP, CNIL, Santé ), Indemnisation des coûts de notification et des couts de protection des titulaires des données MISE EN CAUSE SUITE A UNE PROCEDURE CONTENTIEUSE OU UNE RECLAMATION D UN TIERS Atteinte au Système d information du propriétaire des données et du responsable / co-responsable du traitement Manquement à une obligation de confidentialité ou de sécurité 4 UNE PROTECTION DE LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX Votre assureur est subrogé dans vos droits après vous avoir indemnisé : identifiez vos capacités de recours contre vos prestataires et sous-traitants (SLA, PLA Privacy Level Agreement). Exigez et validez annuellement leurs propres attestations d assurance RC 5

Assurabilité du Cloud Computing par le prestataire 1 2 3 ATTEINTE AU SYSTÈME D INFORMATION PRESTATAIRE Frais et dépenses consécutifs à une Atteinte au Système d Information trouvant son origine dans : Un accident physique atteignant l infrastructure et les matériels Un acte de Malveillance informatique ou un sabotage immatériel (hacking) GARANTIE OPTIONNELLE DOMMAGES POUR COMPTE CHOISIE PAR LE CLIENT Il s agit de garantir les atteintes aux données du client à la suite de tous faits générateurs immatériels (y compris des évènements ne relevant pas d une faute du prestataire) sur la base d un capital forfaitaire choisi par le client et correspondant à la valeur qu il attache aux données confiées MISE EN CAUSE SUITE A UNE RECLAMATION D UN CLIENTS SUR LA BASE DES SLA - PLA Atteinte à l intégrité ou divulgation de données Exclusion des préjudices indirects, pertes de marchés, punitive damages Manquement à une obligation de confidentialité ou de sécurité caractérisée (exclu la force majeure) L assurance de l atteinte au Système d Information du Prestataire ne garantit pas nécessairement les données confiées par les clients, sauf dans le cadre d une souslimitation «biens confiés», d où l intérêt de la garantie Dommages pour compte La problématique de l assureur du Prestataire est relative au cumul de ses engagements : capital garanti par évènement divisé par le nombre de lésé versus capital garanti par réclamant multiplié par le nombre de réclamant capé par un engagement maximum 6

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back