Publication du référentiel d’exigences applicables aux prestataires en matière de cloud

Le 8 décembre 2016, l’ANSSI a publié une version finalisée de son référentiel d’exigences “niveau Essentiel” applicables aux prestataires de services d’informatique en nuage. Ce document a pour objet la qualification de ces prestataires et permet d’attester de leurs compétences et de la qualité de leurs prestations par leur conformité aux exigences du référentiel. Ce référentiel, qui correspond à “un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client”, sera complété par un second document, de “niveau Avancé“, qui concernera les incidents ayant une conséquence importante pour le client. Parmi les dispositions du référentiel, on trouve notamment l’exigence d’un hébergement et d’un traitement des données du client au sein de l’Union européenne ainsi que l’obligation pour le prestataire de réviser annuellement sa politique de sécurité de l’information et l’appréciation des risques, cette révision devant également se faire “à chaque changement majeur pouvant avoir un impact sur le service”.

Pour lire le communiqué  sur le site de l’ANSSI

Groupe de travail sur les contrats de cloud computing

Par une décision du 18 juin 2013, la Commission européenne a publié un appel à candidatures afin de créer un groupe d’experts qui sera chargé de proposer des améliorations aux contrats de cloud computing. Ce groupe sera composé de représentants de prestataires de services de cloud computing, d’utilisateurs de ces services, d’universitaires, de juristes et d’experts en protection des données.

Pour lire le communiqué de la Commission européenne.

Examen par l’administration fiscale de fichiers externalisés

Dans un arrêt du 26 février 2013, la Cour de cassation a jugé que les opérations de visites et saisies par les agents de l’administration fiscale, visées à l’article L.16B du livre des procédures fiscales, impliquaient « la possibilité d’examiner en ce lieu tous les documents et supports d’information susceptibles d’y être consultés et exploités ». Dès lors que les fichiers sont accessibles depuis les locaux visités, même si leur hébergement est externalisé, ils peuvent être examinés par les agents de l’administration.

Pour lire l’arrêt sur Légifrance.

Les priorités numériques de la Commission européenne en 2013-2014

La Commission européenne a adopté le 18 décembre 2012 ses priorités pour « l’économie et la société numérique » en 2013-2014. Elles sont au nombre de sept : créer un nouvel environnement réglementaire stable pour le haut débit ; créer de nouvelles infrastructures de services publics numériques ; lancer une grande coalition sur les compétences et les emplois numériques ; proposer une directive en matière de cybersécurité ; mettre à jour le cadre du droit d’auteur ; donner un coup d’accélérateur au cloud computing ; lancer une nouvelle stratégie industrielle économique. La Commission attend de la mise en œuvre de ces différents chantiers une hausse du PIB européen de l’ordre de 5%.

Pour lire le communiqué de la Commission européenne.

Communication de la Commission européenne sur le Cloud computing

Le 27 septembre 2012, la Commission européenne a rendu publique sa communication sur « une stratégie intégrée de l’Union européenne en matière d’informatique en nuage ». Elle y définit les mesures clés de la stratégie qu’elle entend adopter pour le développement de l’informatique en nuage (Cloud computing). Elle rappelle que l’élaboration de règles et normes communes à l’Europe est une « condition préalable à la mise en place d’un espace numérique homogène qui ouvrira la voie à un véritable marché unique du numérique ».

Pour lire le communiqué sur le site de la Commission.

Publication d’un document de travail sur le Cloud Computing par le G29

Le groupe des CNIL européennes (G29) a publié le 1er juillet 2012 un document de travail portant sur le Cloud Computing. Ce document vise à aider les prestataires de services de Cloud et leurs clients à respecter le cadre européen de protection des données personnelles dans leurs relations commerciales. Cet avis fournit également des lignes directrices en matière de Cloud Computing aux autorités européennes de protection des données personnelles.

Pour consulter le document de travail (en anglais) sur le site de la Commission européenne

Recommandations de la CNIL sur le Cloud computing

Sur la base des réponses à sa consultation publique lancée fin 2011, la CNIL a précisé, le 25 juin 2012, son analyse du cadre juridique du Cloud computing, notamment sur les questions de sécurité, de loi applicable, du transfert et de la protection des données personnelles. Elle formule des recommandations pratiques et des modèles de clauses contractuelles, pouvant être insérées dans les contrats de service de Cloud computing, afin de satisfaire aux obligations légales des responsables de traitements.

Pour lire le communiqué sur le site de la CNIL

Bruxelles lance une consultation publique sur le cloud computing

La vice-Présidente en charge de la stratégie numérique auprès de la Commission européenne a décidé de lancer une consultation publique destinée à élaborer une stratégie pour l'Union européenne sur le cloud computing. Les développeurs et utilisateurs du cloud computing sont invités à participer à cette consultation jusqu'au 31 août.

Pour prendre connaissance de cette consultation sur le site de la commission européenne.