Le Cloud Souverain Mythe ou réalité



Documents pareils
The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December M elle Rafia BARKAT. Chargée d Etudes Experte

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Maîtriser ses données dans le cloud computing

Présentation de la démarche : ITrust et IKare by ITrust

Contractualiser la sécurité du cloud computing

ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA»)

Le contrat Cloud : plus simple et plus dangereux

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING

Les clauses «sécurité» d'un contrat SaaS

Synthèse des réponses à la consultation publique sur le Cloud computing lancée par la CNIL d octobre à décembre 2011 et analyse de la CNIL

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Cloud computing. Des risques et des solutions CONFÉRENCE EUROCLOUD, 26 FÉVRIER 2013 CYRIL PIERRE-BEAUSSE

Jean Juliot Domingues Almeida Nicolas. Veille Juridique [LA RESPONSABILITE DES ADMINISTRATEURS SYSTEMES ET RESEAUX]

Aspects juridiques des tests d'intrusion

RELATIONS AVEC LES PARTENAIRES COMMERCIAUX

Se préparer à la réponse judiciaire contre les attaques informatiques

Pouvoirs de surveillance, de perquisition ou de saisie élargis par des lois récentes au Canada, au Royaume-Uni, en France et aux États-Unis

de la commune organisatrice ou bénéficiaire, ci-après dénommée «société de transports en commun bénéficiaire». Par dérogation aux dispositions de

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

LA REBELLION. a) il faut que l'agent ait agi dans l'exercice de ses fonctions.

Le Cloud Computing. Stockez et accédez à tous vos documents et données depuis n importe où. Mai 2014

MENTIONS LEGALES CONDITIONS GENERALES D'UTILISATION DU SITE

' '(!)('( ' #$%&'# ! '! " #$%&

Revue d actualité juridique de la sécurité du Système d information

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

Les autorités judiciaires françaises n ont pas mis en œuvre de politique nationale de prévention dans ce domaine.

La société... au capital de..., ayant son siège social

Les Matinales IP&T. Les données personnelles. Le paysage changeant de la protection des données personnelles aux Etats-Unis et en Inde

ARROW ELECTRONICS, INC.

Traitement des Données Personnelles 2012

BULLETIN D ACTUALITES JURIDIQUES

CONDITIONS GENERALES DE FONCTIONNEMENT

BULLETIN OFFICIEL DU MINISTÈRE DE LA JUSTICE n 102 (1 er avril au 30 juin 2006)

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Vie privée et protection des renseignements dans les nuages: réalité ou utopie?

E-RÉPUTATION ET MAUVAISE RÉPUTATION

Tout ce que vous avez toujours voulu savoir sur le Cloud Computing sans jamais avoir osé le demander

Nathalie Calatayud - Responsabilité juridique de l'infirmière

EXIGENCES MINIMALES RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS LORS DE SONDAGES RÉALISÉS PAR UN ORGANISME PUBLIC OU SON MANDATAIRE

Les clauses sécurité dans un contrat de cloud

Exemple de directives relatives à l utilisation du courrier électronique et d Internet au sein de l'entreprise

Cahier des Clauses Techniques Particulières

HILLENBRAND, INC. ET FILIALES. Politique anti-coruption internationale et Guide de conformité

Les responsabilités des professionnels de santé

Loi n du 7 juillet 1993 relative à la participation des organismes financiers à la lutte contre le blanchiment de capitaux

L entreprise face à la Cybercriminalité : menaces et enseignement

«Cloud Computing» La gestion des logiciels dans un contexte d impartition Raymond Picard, Vice-président, droit des technologies de l information

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

CONTRAT DE MAINTENANCE "Matériel informatique"

Corruption et ententes : quels risques encourus au regard des règlementations applicables? Pierre-François Wéry, Partner PwC Luxembourg

CONTRAT DE PRESTATION DE RECHERCHE

données à caractère personnel (ci-après "la LVP"), en particulier l'article 29 ;

ACCORD ENTRE LE GOUVERNEMENT DE LA PRINCIPAUTE DU LIECHTENSTEIN ET LE MATIERE FISCALE

Cycle de conférences sur Cloud Computinget Virtualisation. Aspects juridiques du Cloud Computing Blandine Poidevin Avocat

Politique sur l accès aux documents et sur la protection des renseignements personnels

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Nom : Prénom : Fait à : PESSAC Le : SIGNATURE :

TIC : QUELS RISQUES JURIDIQUES POUR L ENTREPRISE? COMMENT LES LIMITER? Présentation 9 Avril 2015

CONDITIONS GENERALES DE VENTE DE LA LICENCE SERVEUR

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

CONFERENCE ESPACE MULTIMEDIA LE MULOT Maurepas, le 23 novembre Dominique DAMO, Avocat

dans la poursuite pénale dirigée contre

Le Privilège du secret professionnel des conseillers juridiques en entreprise

Point sur la régularisation fiscale des avoirs non déclarés situés à l étranger.

Guide de Conduite éthique des Affaires Guide de bonnes pratiques en matière de gestion de l information

Projet de loi Q 6 9 cdmiliétant la loi n formant code de commerce

Ateliers Cloud Computing / ADIJ [Atelier n 2] Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles

Conditions Générales de Vente Internet. 7, rue Alfred Kastler CAEN. informatiquetélécominternet

CHARTE INFORMATIQUE. Usage de ressources informatiques et de service Internet

JE MONTE UN SITE INTERNET

Protection des données personnelles : Vers un Web personnel sécurisé

SGMAROC-ONLINE Particuliers Conditions générales de fonctionnement

Le Réseau Social d Entreprise (RSE)

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

b) Et. Domicilié, éventuellement représenté par., ci-après dénommé «le Courtier», de seconde part,

Forum sur la Gouvernance de l'internet en Afrique Centrale : Douala Cameroun, du 29 au 31 Mai 2012

COMMENTARY. Les Risques Liés à la Corruption dans les Opérations de Fusions-Acquisitions

Charte d Agrément Autre prestataire Pacitel

Circulaire de la DACG n CRIM 08-01/G1 du 3 janvier 2008 relative au secret de la défense nationale NOR : JUSD C

4. Espace serveur et transfert de données

Les obligations des entreprises multinationales et leurs sociétés membres

Le téléphone portable: instrument sauveur ou diabolique?

Avons ordonné et ordonnons:

Politique de conformité relative à la lutte contre la corruption et la Loi sur les manœuvres frauduleuses étrangères

COMPRENDRE, EVALUER ET PREVENIR LE RISQUE DE CORRUPTION

RESPONSABILITES ET ASSURANCE DANS LE DOMAINE ASSOCIATIF

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

GS Days Les journées francophones de la sécurité. 18 mars 2014, Paris

SARL NGP INFORMATIQUE au capital de 45059, RCS Rennes NAF 4741Z siège social 9, square du 8 mai RENNES CONDITIONS GENERALES

Les dessous du cloud

INTELLIGENCE JURIDIQUE

L'infonuagique, les opportunités et les risques v.1

CONDITIONS GENERALES D UTILISATION. L application VAZEE et le site internet sont édités par :

Les Recommandations du GAFI

QUESTION 53A. Le know-how - Définition - Régime juridique

Conditions générales concernant la fourniture de prestations informatiques par HMS Hauri Micro Solutions - Backup et restauration - "Conditions MSP"

Transcription:

Le Cloud Souverain Mythe ou réalité Forum Atena 25 Avril 2013 Olivier Iteanu, Avocat & Didier Soucheyre, Fondateur et Président de Neo Telecoms

Oui, mais est-ce une bonne idée? La CNIL relève ainsi que «l autorité norvégienne a interdit l utilisation de Google Docs ( ) lorsque des données à caractère personnel sont concernées.»

Difficile de ne pas travailler avec eux Etc

Le buzz, pourquoi? Juin 2011, déclaration de Gordon Frazer, Directeur Général de Microsoft UK, à l occasion du lancement de Office 365 «Msft, en tant que Société dont le siège social est aux Us, doit se conformer aux lois locales, dont la loi us» et il ajoute que Msft se considère tenu par le Patriot Act même pour les données hébergées dans des Datacenters de l Ue Août 2011, interview d un représentant Google par le magazine Allemand WirtschaftsWoche, qui admet que Google se soumet au Patriot Act quand il reçoit des demandes des autorités us sur des utilisateurs qui ont des données hébergées dans l Ue.

Historique du «Patriot Act» Loi passée le 26 Oct. 2001, en réaction aux attaques terroristes du 11 Sept. «USA PATRIOT» est un acronyme : Uniting (and) Strengthening America (by) Providing Appropriate Tools Required (to) Intercept (and) Obstruct Terrorism De nombreuses dispositions prises pour renforcer les pouvoirs de contrôle et d'investigation Création de fonds de financement des activités antiterroristes, procédures de surveillance, dispositions anti-blanchiment, sécurité des frontières, nouveaux pouvoirs au FBI, indemnisation des familles de victimes, etc.

Des dispositions sensibles établies pour être temporaires... La plupart des dispositions sensibles prises en urgence au lendemain des événements avaient vocation à être temporaires, et ne durer que jusqu'au 31 Déc. 2005 mais qui durent L'application de ces dispositions a été étendue en Mars 2006, puis le 26 Mai 2011 pour trois de ses dispositions clef modifiant le Foreign Intelligence Surveillance Act de 1978 (FISA) Écoutes itinérantes ( 206 du Patriot Act «roving surveillance») Surveillance d'individus étrangers ( 207 du Patriot Act «lone wolf terrorists») Dispositions facilitant l'accès à des documents commerciaux ( 215 du Patriot Act «library records») Accès aux données de connexion ( 210), écoutes électroniques ( 212), avec des pouvoirs étendus des autorités administratives et un contrôle judiciaire très limité, etc.

Dispositions facilitant l'accès à des documents commerciaux (1) Dispositions facilitant l'accès à des documents commerciaux ( 215 du Patriot Act «library records») Dénommée ainsi par ses opposants, suite à une demande d'amendement formée par la American Library Association, qui affirmait que la généralité de ses termes permettrait, par exemple, au gouvernement US d'accéder secrètement aux données relatives à l'usage des bibliothèques américaines par toute personne simplement suspectée de terrorisme Permet au directeur du FBI de solliciter d'un juge l'autorisation de demander la production de : «any tangible things (including books, records, papers, documents, and other items» Définition très large : tous types de documents Concernant toute personne étrangère, ou tout citoyen américain sauf si ce dernier exerce une activité protégée par le 1er amendement de la constitution des USA (donc une activité liée à l'exercice de la liberté de religion et d'expression, la liberté de la presse ou le droit à s'«assembler pacifiquement») Champs d'action très large même pour les personnes ou entités US Champ illimité pour les personnes ou entités non américaines

Dispositions facilitant l'accès à des documents commerciaux (2) Permet au directeur du FBI de solliciter d'un juge l'autorisation de demander la production (suite) : Dans le cadre d'une enquête relative à des activités de terrorisme international, ou des activités d'espionnage clandestines Il faut convaincre le juge d'activités suspectées de ce type L'autorisation délivrée ne divulgue pas l'objet de l'enquête, et s'impose à tout détenteur des informations recherchées Il est interdit au détenteur des informations de divulguer à quiconque qu'il a été sollicité par le FBI Caractère «secret» de la sollicitation et de sa motivation Le détenteur des informations est légalement protégé par la loi américaine et n'est pas responsable à l'égard des tiers des conséquences de cette divulgation Pas de recours aux US contre la personne divulguant ces informations au FBI, quelles que soient ses obligations envers la personne qui les lui a confiées

Prestataires «Cloud» Un prestataire de service «Cloud» relevant de la juridiction américaine est susceptible de faire l'objet de ce type de demandes Dans le cadre d'une enquête dirigée contre une personne ou une entité française, par exemple, suspectée d'activités terroristes ou d'espionnage Le prestataire de service «Cloud» a l'obligation de fournir les informations en sa possession a l'interdiction d'en informer son client ne peut être responsable de cette divulgation selon la loi américaine Y compris si cette divulgation la conduit à violer, par exemple, ses engagements contractuels de confidentialité ou de sécurité des données, ou les engagements qu'elle aurait pris de respecter les principes du Safe Harbor sur la base desquels une entité française se reposerait pour permettre le transfert de données personnelles en dehors du territoire de l'union Européenne

Comment se prémunir? Passer contrat avec des entités non-américaines Quid des Sociétés européennes filiales de groupes US exemple : Microsoft, Google, Amazon,... Les éviter? Sinon : éviter les Sociétés directement contrôlées par des Sociétés US, en faire une clause intuitus personnae Soumettre le contrat passé avec la filiale à la loi française et à la juridiction des tribunaux français, rendre responsable le prestataire des divulgations opérées en infraction avec les dispositions contractuelles Interdire au prestataire de Cloud la sous-traitance, notamment à des entités américaines ou basées aux US Voire même, interdire au prestataire de Cloud que les personnels en charge de l'exécution du contrat (et ceux des sous-traitants autorisés) soient des citoyens de nationalité américaine Circonscrire géographiquement la localisation des données : Réelle préoccupation légale par ailleurs en raison de l'interdiction a priori d'exportation des données personnelles en dehors de l'union Européenne (Cloud souverain?)

En France aussi Interceptions (ex écoutes) En cas de flagrance, le juge des libertés les autorise (art. 74-2 du CPP) Si peine encourue est égale ou supérieure à 2 ans de prison, le juge d instruction les autorise (art. 100 du CPP) Les interceptions de sécurité hors contrôle d un juge autorisées par le 1 er Ministre (Loi 10/07/1991) Captations Le juge d instruction l autorise «en tous lieux» et les données sont placées sous scellés (Loppsi2 du 14/03/11 création d une Section 6bis du CCP «De la captation des données informatiques») Pouvoir plus général du juge d instructions de perquisition (Art. 97 et svts du CPP)

En conclusion La Patriot Act est une réalité en marche Dont on ne connaît pas l ampleur, ni les modalités (durée de conservation, qui a accès aux données captées ) Les entreprises françaises et leurs données peuvent être concernées Si elles ont recours à «un prestataire US» Le contrat ne pourra pas grand chose Au minimum, il faut donc gérer ce risque juridique réel en fonction de la criticité des données confiées

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back