Upload
phamthien
View
212
Download
0
Embed Size (px)
Citation preview
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 1
POINTS DrsquoATTENTION ET PREacuteCAUTIONS Agrave PRENDRE LORS DE LA NEacuteGOCIATION ET DE LA CONCLUSION DrsquoUN CONTRAT DE CLOUD
COMPUTING
SALON MED-IT CASABLANCA 13-15112012
Me Cathie-Rosalie JOLY
Avocat Associeacute Cabinet Ulys
Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III)
Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi)
cathierosaliejolyulysnet
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 2
Une prestation pas nouvelle mais augmenteacutee
La sous-traitance informatique un meacutecanisme connu infogeacuterance externalisationoutsourcing facilities management ASP hellip
Relegraveve des services consistant en la prise en charge de la gestion du systegraveme informatique drsquoune entiteacute avec ou sans deacutelocalisation dans le cadre drsquoune relation pluriannuelle
Qursquoajoute le Cloud Lrsquooffre est geacuteneacuteralement fortement orienteacutee service
Service agrave la demande puissance de stockage et de traitement variable
Peu de visibiliteacute sur les ressources et eacutequipements mis en œuvre pour assurer la prestation
Deacutelocalisation voire pluri-localisation de lrsquoheacutebergement et des traitements (serveurs laquo localiseacutes dans le monde entier raquo)
laquo Mode de traitement des donneacutees dun client dont lexploitation seffectue par linternet sous la forme de services fournis par un prestataire
QUrsquoEST-CE QUE LE CLOUD COMPUTING
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 3
Source httpwwwmicrosoftcomfranceentreprisesdecideur-itcloudcaracteristiques-du-cloudaspx
QUrsquoEST-CE QUE LE CLOUD COMPUTING
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 4
QUrsquoEST-CE QUE LE CLOUD COMPUTING
Source httpwwwcfo-newscomCloud-computing-l-evolution-soutenue-des-usages-depuis-2008-ouvre-a-de-nouvelles-perspectives-d-ici-2012_a14492html
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 5
QUrsquoEST-CE QUE LE CLOUD COMPUTING
Deacutefinition proposeacutee par la CNIL
Consultation publique fin 2011
Deacutefinition en fonction des eacuteleacutements caracteacuteristiques du service
bull Simpliciteacute drsquoun service agrave la demande
bull Extrecircme flexibiliteacute
bull Accegraves leacuteger
bull Virtualisation des ressources
bull Paiement agrave lrsquousage
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 6
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 7
LES DIFFEacuteRENTS TYPES DE CLOUD
CLOUD PRIVE
infrastructure entiegraverement deacutedieacutee agrave un client
bullCloud priveacute interne geacutereacute par le client lui-mecircme
bullCloud priveacute externe geacutereacute par un tiers
bullCloud priveacute virtuel un environnement de Cloud Computing qui recouvre lrsquoinfrastructure de clouds internes et externes offrant agrave lrsquoentreprise un environnement transparent geacutereacute qui est seacutecuriseacute et sous le controcircle du service informatique
CLOUD PUBLIC
infrastructure partageacutee
bull Infrastructure accessible agrave un large public
bullAppartient agrave un fournisseur de cloud services
bullSolution la moins coucircteuse
CLOUD HYBRIDE
bull Infrastructure composeacutee de deux nuages ou plus meacutelangeant public et priveacute
bullClouds uniques lieacutes par une technologie normaliseacutee ou proprieacutetaire
bullLrsquoideacuteal opter pour une architecture de cloud priveacute permettant de recevoir des clouds publics mais cela peut se preacutesenter sous la forme de clouds localiseacutes chez un heacutebergeur mais deacutedieacutes agrave un client
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 8
Source httprevevolfr20100719analyse-des-dimensions-du-risque-lie-au-cloud-computing
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 9
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 10
Pas de reacuteglementation particuliegravere CLOUD
Mais pas drsquoabsence de reacuteglementation Diffeacuterents textes trouvent agrave srsquoappliquer
Loi Informatique et Liberteacutes notamment conservation des donneacutees sensibles (banque santeacute etc)
Regravegles sur les fuites de donneacutees
Commerce eacutelectronique
Protection des consommateurs
Obligations de conservation de documents comptables et fiscaux etc
Obligations speacutecifiques de seacutecuriteacute secteur de la banque et de lrsquoassurance de la santeacute etc
QUELLE REacuteGLEMENTATION POUR LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 11
QUELLE REacuteGLEMENTATION POUR LE CLOUD
Enquecircte CNIL fin 2011
Prestataire de cloud preacutesumeacute sous-traitant creacuteer un reacutegime speacutecifique
Critegraveres de rattachement pour deacutetermination de la loi applicable
Quel encadrement des transferts de donneacutees
Quels risques speacutecifiques de seacutecuriteacute
Reacuteflexion au sein de la Commission europeacuteenne
Observations europeacuteennes et reacuteflexion pour eacutelaborer un projet de lignes directrices applicables aux contrats de cloud Consultation publique de la Commission courant 2011 eacuteventualiteacute de modegraveles de documents contractuels (CG PAQ etc) questions de seacutecuriteacute des donneacutees de deacutetermination de la personne responsable
Problegraveme des socieacuteteacutes US mecircme si donneacutees heacutebergeacutees en Europe application des regravegles du USA Patriot Act Contradiction avec droit EU
Reacuteforme de la reacuteglementation des donneacutees personnelles en Europe
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 12
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 13
Anticiper les difficulteacutes par lrsquoencadrement contractuel
Des clauses agrave neacutegocier autant que possible pour eacuteviter Risques sur la continuiteacute du service
Exposition au risque de piratage et de vol de donneacutees
Manque de maicirctrise des coucircts
Perte de gouvernance
Deacutependance technologique
Interopeacuterabiliteacute et respect des standards
Irresponsabiliteacute du prestataire
Contrat cloud = contrat drsquoadheacutesion Conditions geacuteneacuterales mises en ligne et modifiables par le prestataire de maniegravere
discreacutetionnaire
Evolutions du service sans information preacutealabledroit drsquoopposition du client
QUELQUES POINTS DrsquoATTENTION DANS LES CONTRATS CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 14
Deacutefinir les niveaux de services
Deacutelimitation des obligations du prestataire etou des sous traitants (pb chaicircnes de contrat)
Clauses de qualiteacute de service
Outils et proceacutedures de controcircle de la qualiteacute
COMMENT SrsquoASSURER DrsquoUNE QUALITEacute DE SERVICE MAXIMALE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 15
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Risque drsquoe-reacuteputation
Mai 2011 Piratage de SONY
Online Entertainment 24 millions de comptes ont eacuteteacute visiteacutes 12 700 numeacuteros de cartes de creacutedit non ameacutericaines issus dune vieille base de donneacutees ont eacuteteacute rafleacutes par les pirates (httplexpansionlexpressfrhigh-techreseaux-pirates-quelle-facture-pour-sony_254765html )
Risque de perte de clientegravele
Risque de favoriser la concurrence
Etc
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 16
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Les normes applicables relatives aux donneacutees sensibles les donneacutees agrave caractegravere personnel Directive 9546CE Loi Informatique et liberteacutes recommandations CNIL
Les obligations du prestataire en matiegravere de protection des donneacutees
Inteacutegrer le sous-traitant dans le peacuterimegravetre de la seacutecuriteacute de lrsquoentreprise
Politique de droit drsquoaccegraves
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 17
Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)
bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie
bull Transmissions seacutecuriseacutees cryptage des donneacutees
bull Seacutecurisation de lrsquoheacutebergement
Obligations du prestataire en cas drsquoincident
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 2
Une prestation pas nouvelle mais augmenteacutee
La sous-traitance informatique un meacutecanisme connu infogeacuterance externalisationoutsourcing facilities management ASP hellip
Relegraveve des services consistant en la prise en charge de la gestion du systegraveme informatique drsquoune entiteacute avec ou sans deacutelocalisation dans le cadre drsquoune relation pluriannuelle
Qursquoajoute le Cloud Lrsquooffre est geacuteneacuteralement fortement orienteacutee service
Service agrave la demande puissance de stockage et de traitement variable
Peu de visibiliteacute sur les ressources et eacutequipements mis en œuvre pour assurer la prestation
Deacutelocalisation voire pluri-localisation de lrsquoheacutebergement et des traitements (serveurs laquo localiseacutes dans le monde entier raquo)
laquo Mode de traitement des donneacutees dun client dont lexploitation seffectue par linternet sous la forme de services fournis par un prestataire
QUrsquoEST-CE QUE LE CLOUD COMPUTING
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 3
Source httpwwwmicrosoftcomfranceentreprisesdecideur-itcloudcaracteristiques-du-cloudaspx
QUrsquoEST-CE QUE LE CLOUD COMPUTING
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 4
QUrsquoEST-CE QUE LE CLOUD COMPUTING
Source httpwwwcfo-newscomCloud-computing-l-evolution-soutenue-des-usages-depuis-2008-ouvre-a-de-nouvelles-perspectives-d-ici-2012_a14492html
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 5
QUrsquoEST-CE QUE LE CLOUD COMPUTING
Deacutefinition proposeacutee par la CNIL
Consultation publique fin 2011
Deacutefinition en fonction des eacuteleacutements caracteacuteristiques du service
bull Simpliciteacute drsquoun service agrave la demande
bull Extrecircme flexibiliteacute
bull Accegraves leacuteger
bull Virtualisation des ressources
bull Paiement agrave lrsquousage
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 6
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 7
LES DIFFEacuteRENTS TYPES DE CLOUD
CLOUD PRIVE
infrastructure entiegraverement deacutedieacutee agrave un client
bullCloud priveacute interne geacutereacute par le client lui-mecircme
bullCloud priveacute externe geacutereacute par un tiers
bullCloud priveacute virtuel un environnement de Cloud Computing qui recouvre lrsquoinfrastructure de clouds internes et externes offrant agrave lrsquoentreprise un environnement transparent geacutereacute qui est seacutecuriseacute et sous le controcircle du service informatique
CLOUD PUBLIC
infrastructure partageacutee
bull Infrastructure accessible agrave un large public
bullAppartient agrave un fournisseur de cloud services
bullSolution la moins coucircteuse
CLOUD HYBRIDE
bull Infrastructure composeacutee de deux nuages ou plus meacutelangeant public et priveacute
bullClouds uniques lieacutes par une technologie normaliseacutee ou proprieacutetaire
bullLrsquoideacuteal opter pour une architecture de cloud priveacute permettant de recevoir des clouds publics mais cela peut se preacutesenter sous la forme de clouds localiseacutes chez un heacutebergeur mais deacutedieacutes agrave un client
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 8
Source httprevevolfr20100719analyse-des-dimensions-du-risque-lie-au-cloud-computing
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 9
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 10
Pas de reacuteglementation particuliegravere CLOUD
Mais pas drsquoabsence de reacuteglementation Diffeacuterents textes trouvent agrave srsquoappliquer
Loi Informatique et Liberteacutes notamment conservation des donneacutees sensibles (banque santeacute etc)
Regravegles sur les fuites de donneacutees
Commerce eacutelectronique
Protection des consommateurs
Obligations de conservation de documents comptables et fiscaux etc
Obligations speacutecifiques de seacutecuriteacute secteur de la banque et de lrsquoassurance de la santeacute etc
QUELLE REacuteGLEMENTATION POUR LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 11
QUELLE REacuteGLEMENTATION POUR LE CLOUD
Enquecircte CNIL fin 2011
Prestataire de cloud preacutesumeacute sous-traitant creacuteer un reacutegime speacutecifique
Critegraveres de rattachement pour deacutetermination de la loi applicable
Quel encadrement des transferts de donneacutees
Quels risques speacutecifiques de seacutecuriteacute
Reacuteflexion au sein de la Commission europeacuteenne
Observations europeacuteennes et reacuteflexion pour eacutelaborer un projet de lignes directrices applicables aux contrats de cloud Consultation publique de la Commission courant 2011 eacuteventualiteacute de modegraveles de documents contractuels (CG PAQ etc) questions de seacutecuriteacute des donneacutees de deacutetermination de la personne responsable
Problegraveme des socieacuteteacutes US mecircme si donneacutees heacutebergeacutees en Europe application des regravegles du USA Patriot Act Contradiction avec droit EU
Reacuteforme de la reacuteglementation des donneacutees personnelles en Europe
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 12
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 13
Anticiper les difficulteacutes par lrsquoencadrement contractuel
Des clauses agrave neacutegocier autant que possible pour eacuteviter Risques sur la continuiteacute du service
Exposition au risque de piratage et de vol de donneacutees
Manque de maicirctrise des coucircts
Perte de gouvernance
Deacutependance technologique
Interopeacuterabiliteacute et respect des standards
Irresponsabiliteacute du prestataire
Contrat cloud = contrat drsquoadheacutesion Conditions geacuteneacuterales mises en ligne et modifiables par le prestataire de maniegravere
discreacutetionnaire
Evolutions du service sans information preacutealabledroit drsquoopposition du client
QUELQUES POINTS DrsquoATTENTION DANS LES CONTRATS CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 14
Deacutefinir les niveaux de services
Deacutelimitation des obligations du prestataire etou des sous traitants (pb chaicircnes de contrat)
Clauses de qualiteacute de service
Outils et proceacutedures de controcircle de la qualiteacute
COMMENT SrsquoASSURER DrsquoUNE QUALITEacute DE SERVICE MAXIMALE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 15
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Risque drsquoe-reacuteputation
Mai 2011 Piratage de SONY
Online Entertainment 24 millions de comptes ont eacuteteacute visiteacutes 12 700 numeacuteros de cartes de creacutedit non ameacutericaines issus dune vieille base de donneacutees ont eacuteteacute rafleacutes par les pirates (httplexpansionlexpressfrhigh-techreseaux-pirates-quelle-facture-pour-sony_254765html )
Risque de perte de clientegravele
Risque de favoriser la concurrence
Etc
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 16
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Les normes applicables relatives aux donneacutees sensibles les donneacutees agrave caractegravere personnel Directive 9546CE Loi Informatique et liberteacutes recommandations CNIL
Les obligations du prestataire en matiegravere de protection des donneacutees
Inteacutegrer le sous-traitant dans le peacuterimegravetre de la seacutecuriteacute de lrsquoentreprise
Politique de droit drsquoaccegraves
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 17
Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)
bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie
bull Transmissions seacutecuriseacutees cryptage des donneacutees
bull Seacutecurisation de lrsquoheacutebergement
Obligations du prestataire en cas drsquoincident
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 3
Source httpwwwmicrosoftcomfranceentreprisesdecideur-itcloudcaracteristiques-du-cloudaspx
QUrsquoEST-CE QUE LE CLOUD COMPUTING
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 4
QUrsquoEST-CE QUE LE CLOUD COMPUTING
Source httpwwwcfo-newscomCloud-computing-l-evolution-soutenue-des-usages-depuis-2008-ouvre-a-de-nouvelles-perspectives-d-ici-2012_a14492html
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 5
QUrsquoEST-CE QUE LE CLOUD COMPUTING
Deacutefinition proposeacutee par la CNIL
Consultation publique fin 2011
Deacutefinition en fonction des eacuteleacutements caracteacuteristiques du service
bull Simpliciteacute drsquoun service agrave la demande
bull Extrecircme flexibiliteacute
bull Accegraves leacuteger
bull Virtualisation des ressources
bull Paiement agrave lrsquousage
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 6
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 7
LES DIFFEacuteRENTS TYPES DE CLOUD
CLOUD PRIVE
infrastructure entiegraverement deacutedieacutee agrave un client
bullCloud priveacute interne geacutereacute par le client lui-mecircme
bullCloud priveacute externe geacutereacute par un tiers
bullCloud priveacute virtuel un environnement de Cloud Computing qui recouvre lrsquoinfrastructure de clouds internes et externes offrant agrave lrsquoentreprise un environnement transparent geacutereacute qui est seacutecuriseacute et sous le controcircle du service informatique
CLOUD PUBLIC
infrastructure partageacutee
bull Infrastructure accessible agrave un large public
bullAppartient agrave un fournisseur de cloud services
bullSolution la moins coucircteuse
CLOUD HYBRIDE
bull Infrastructure composeacutee de deux nuages ou plus meacutelangeant public et priveacute
bullClouds uniques lieacutes par une technologie normaliseacutee ou proprieacutetaire
bullLrsquoideacuteal opter pour une architecture de cloud priveacute permettant de recevoir des clouds publics mais cela peut se preacutesenter sous la forme de clouds localiseacutes chez un heacutebergeur mais deacutedieacutes agrave un client
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 8
Source httprevevolfr20100719analyse-des-dimensions-du-risque-lie-au-cloud-computing
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 9
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 10
Pas de reacuteglementation particuliegravere CLOUD
Mais pas drsquoabsence de reacuteglementation Diffeacuterents textes trouvent agrave srsquoappliquer
Loi Informatique et Liberteacutes notamment conservation des donneacutees sensibles (banque santeacute etc)
Regravegles sur les fuites de donneacutees
Commerce eacutelectronique
Protection des consommateurs
Obligations de conservation de documents comptables et fiscaux etc
Obligations speacutecifiques de seacutecuriteacute secteur de la banque et de lrsquoassurance de la santeacute etc
QUELLE REacuteGLEMENTATION POUR LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 11
QUELLE REacuteGLEMENTATION POUR LE CLOUD
Enquecircte CNIL fin 2011
Prestataire de cloud preacutesumeacute sous-traitant creacuteer un reacutegime speacutecifique
Critegraveres de rattachement pour deacutetermination de la loi applicable
Quel encadrement des transferts de donneacutees
Quels risques speacutecifiques de seacutecuriteacute
Reacuteflexion au sein de la Commission europeacuteenne
Observations europeacuteennes et reacuteflexion pour eacutelaborer un projet de lignes directrices applicables aux contrats de cloud Consultation publique de la Commission courant 2011 eacuteventualiteacute de modegraveles de documents contractuels (CG PAQ etc) questions de seacutecuriteacute des donneacutees de deacutetermination de la personne responsable
Problegraveme des socieacuteteacutes US mecircme si donneacutees heacutebergeacutees en Europe application des regravegles du USA Patriot Act Contradiction avec droit EU
Reacuteforme de la reacuteglementation des donneacutees personnelles en Europe
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 12
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 13
Anticiper les difficulteacutes par lrsquoencadrement contractuel
Des clauses agrave neacutegocier autant que possible pour eacuteviter Risques sur la continuiteacute du service
Exposition au risque de piratage et de vol de donneacutees
Manque de maicirctrise des coucircts
Perte de gouvernance
Deacutependance technologique
Interopeacuterabiliteacute et respect des standards
Irresponsabiliteacute du prestataire
Contrat cloud = contrat drsquoadheacutesion Conditions geacuteneacuterales mises en ligne et modifiables par le prestataire de maniegravere
discreacutetionnaire
Evolutions du service sans information preacutealabledroit drsquoopposition du client
QUELQUES POINTS DrsquoATTENTION DANS LES CONTRATS CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 14
Deacutefinir les niveaux de services
Deacutelimitation des obligations du prestataire etou des sous traitants (pb chaicircnes de contrat)
Clauses de qualiteacute de service
Outils et proceacutedures de controcircle de la qualiteacute
COMMENT SrsquoASSURER DrsquoUNE QUALITEacute DE SERVICE MAXIMALE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 15
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Risque drsquoe-reacuteputation
Mai 2011 Piratage de SONY
Online Entertainment 24 millions de comptes ont eacuteteacute visiteacutes 12 700 numeacuteros de cartes de creacutedit non ameacutericaines issus dune vieille base de donneacutees ont eacuteteacute rafleacutes par les pirates (httplexpansionlexpressfrhigh-techreseaux-pirates-quelle-facture-pour-sony_254765html )
Risque de perte de clientegravele
Risque de favoriser la concurrence
Etc
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 16
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Les normes applicables relatives aux donneacutees sensibles les donneacutees agrave caractegravere personnel Directive 9546CE Loi Informatique et liberteacutes recommandations CNIL
Les obligations du prestataire en matiegravere de protection des donneacutees
Inteacutegrer le sous-traitant dans le peacuterimegravetre de la seacutecuriteacute de lrsquoentreprise
Politique de droit drsquoaccegraves
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 17
Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)
bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie
bull Transmissions seacutecuriseacutees cryptage des donneacutees
bull Seacutecurisation de lrsquoheacutebergement
Obligations du prestataire en cas drsquoincident
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 4
QUrsquoEST-CE QUE LE CLOUD COMPUTING
Source httpwwwcfo-newscomCloud-computing-l-evolution-soutenue-des-usages-depuis-2008-ouvre-a-de-nouvelles-perspectives-d-ici-2012_a14492html
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 5
QUrsquoEST-CE QUE LE CLOUD COMPUTING
Deacutefinition proposeacutee par la CNIL
Consultation publique fin 2011
Deacutefinition en fonction des eacuteleacutements caracteacuteristiques du service
bull Simpliciteacute drsquoun service agrave la demande
bull Extrecircme flexibiliteacute
bull Accegraves leacuteger
bull Virtualisation des ressources
bull Paiement agrave lrsquousage
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 6
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 7
LES DIFFEacuteRENTS TYPES DE CLOUD
CLOUD PRIVE
infrastructure entiegraverement deacutedieacutee agrave un client
bullCloud priveacute interne geacutereacute par le client lui-mecircme
bullCloud priveacute externe geacutereacute par un tiers
bullCloud priveacute virtuel un environnement de Cloud Computing qui recouvre lrsquoinfrastructure de clouds internes et externes offrant agrave lrsquoentreprise un environnement transparent geacutereacute qui est seacutecuriseacute et sous le controcircle du service informatique
CLOUD PUBLIC
infrastructure partageacutee
bull Infrastructure accessible agrave un large public
bullAppartient agrave un fournisseur de cloud services
bullSolution la moins coucircteuse
CLOUD HYBRIDE
bull Infrastructure composeacutee de deux nuages ou plus meacutelangeant public et priveacute
bullClouds uniques lieacutes par une technologie normaliseacutee ou proprieacutetaire
bullLrsquoideacuteal opter pour une architecture de cloud priveacute permettant de recevoir des clouds publics mais cela peut se preacutesenter sous la forme de clouds localiseacutes chez un heacutebergeur mais deacutedieacutes agrave un client
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 8
Source httprevevolfr20100719analyse-des-dimensions-du-risque-lie-au-cloud-computing
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 9
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 10
Pas de reacuteglementation particuliegravere CLOUD
Mais pas drsquoabsence de reacuteglementation Diffeacuterents textes trouvent agrave srsquoappliquer
Loi Informatique et Liberteacutes notamment conservation des donneacutees sensibles (banque santeacute etc)
Regravegles sur les fuites de donneacutees
Commerce eacutelectronique
Protection des consommateurs
Obligations de conservation de documents comptables et fiscaux etc
Obligations speacutecifiques de seacutecuriteacute secteur de la banque et de lrsquoassurance de la santeacute etc
QUELLE REacuteGLEMENTATION POUR LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 11
QUELLE REacuteGLEMENTATION POUR LE CLOUD
Enquecircte CNIL fin 2011
Prestataire de cloud preacutesumeacute sous-traitant creacuteer un reacutegime speacutecifique
Critegraveres de rattachement pour deacutetermination de la loi applicable
Quel encadrement des transferts de donneacutees
Quels risques speacutecifiques de seacutecuriteacute
Reacuteflexion au sein de la Commission europeacuteenne
Observations europeacuteennes et reacuteflexion pour eacutelaborer un projet de lignes directrices applicables aux contrats de cloud Consultation publique de la Commission courant 2011 eacuteventualiteacute de modegraveles de documents contractuels (CG PAQ etc) questions de seacutecuriteacute des donneacutees de deacutetermination de la personne responsable
Problegraveme des socieacuteteacutes US mecircme si donneacutees heacutebergeacutees en Europe application des regravegles du USA Patriot Act Contradiction avec droit EU
Reacuteforme de la reacuteglementation des donneacutees personnelles en Europe
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 12
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 13
Anticiper les difficulteacutes par lrsquoencadrement contractuel
Des clauses agrave neacutegocier autant que possible pour eacuteviter Risques sur la continuiteacute du service
Exposition au risque de piratage et de vol de donneacutees
Manque de maicirctrise des coucircts
Perte de gouvernance
Deacutependance technologique
Interopeacuterabiliteacute et respect des standards
Irresponsabiliteacute du prestataire
Contrat cloud = contrat drsquoadheacutesion Conditions geacuteneacuterales mises en ligne et modifiables par le prestataire de maniegravere
discreacutetionnaire
Evolutions du service sans information preacutealabledroit drsquoopposition du client
QUELQUES POINTS DrsquoATTENTION DANS LES CONTRATS CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 14
Deacutefinir les niveaux de services
Deacutelimitation des obligations du prestataire etou des sous traitants (pb chaicircnes de contrat)
Clauses de qualiteacute de service
Outils et proceacutedures de controcircle de la qualiteacute
COMMENT SrsquoASSURER DrsquoUNE QUALITEacute DE SERVICE MAXIMALE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 15
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Risque drsquoe-reacuteputation
Mai 2011 Piratage de SONY
Online Entertainment 24 millions de comptes ont eacuteteacute visiteacutes 12 700 numeacuteros de cartes de creacutedit non ameacutericaines issus dune vieille base de donneacutees ont eacuteteacute rafleacutes par les pirates (httplexpansionlexpressfrhigh-techreseaux-pirates-quelle-facture-pour-sony_254765html )
Risque de perte de clientegravele
Risque de favoriser la concurrence
Etc
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 16
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Les normes applicables relatives aux donneacutees sensibles les donneacutees agrave caractegravere personnel Directive 9546CE Loi Informatique et liberteacutes recommandations CNIL
Les obligations du prestataire en matiegravere de protection des donneacutees
Inteacutegrer le sous-traitant dans le peacuterimegravetre de la seacutecuriteacute de lrsquoentreprise
Politique de droit drsquoaccegraves
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 17
Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)
bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie
bull Transmissions seacutecuriseacutees cryptage des donneacutees
bull Seacutecurisation de lrsquoheacutebergement
Obligations du prestataire en cas drsquoincident
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 5
QUrsquoEST-CE QUE LE CLOUD COMPUTING
Deacutefinition proposeacutee par la CNIL
Consultation publique fin 2011
Deacutefinition en fonction des eacuteleacutements caracteacuteristiques du service
bull Simpliciteacute drsquoun service agrave la demande
bull Extrecircme flexibiliteacute
bull Accegraves leacuteger
bull Virtualisation des ressources
bull Paiement agrave lrsquousage
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 6
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 7
LES DIFFEacuteRENTS TYPES DE CLOUD
CLOUD PRIVE
infrastructure entiegraverement deacutedieacutee agrave un client
bullCloud priveacute interne geacutereacute par le client lui-mecircme
bullCloud priveacute externe geacutereacute par un tiers
bullCloud priveacute virtuel un environnement de Cloud Computing qui recouvre lrsquoinfrastructure de clouds internes et externes offrant agrave lrsquoentreprise un environnement transparent geacutereacute qui est seacutecuriseacute et sous le controcircle du service informatique
CLOUD PUBLIC
infrastructure partageacutee
bull Infrastructure accessible agrave un large public
bullAppartient agrave un fournisseur de cloud services
bullSolution la moins coucircteuse
CLOUD HYBRIDE
bull Infrastructure composeacutee de deux nuages ou plus meacutelangeant public et priveacute
bullClouds uniques lieacutes par une technologie normaliseacutee ou proprieacutetaire
bullLrsquoideacuteal opter pour une architecture de cloud priveacute permettant de recevoir des clouds publics mais cela peut se preacutesenter sous la forme de clouds localiseacutes chez un heacutebergeur mais deacutedieacutes agrave un client
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 8
Source httprevevolfr20100719analyse-des-dimensions-du-risque-lie-au-cloud-computing
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 9
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 10
Pas de reacuteglementation particuliegravere CLOUD
Mais pas drsquoabsence de reacuteglementation Diffeacuterents textes trouvent agrave srsquoappliquer
Loi Informatique et Liberteacutes notamment conservation des donneacutees sensibles (banque santeacute etc)
Regravegles sur les fuites de donneacutees
Commerce eacutelectronique
Protection des consommateurs
Obligations de conservation de documents comptables et fiscaux etc
Obligations speacutecifiques de seacutecuriteacute secteur de la banque et de lrsquoassurance de la santeacute etc
QUELLE REacuteGLEMENTATION POUR LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 11
QUELLE REacuteGLEMENTATION POUR LE CLOUD
Enquecircte CNIL fin 2011
Prestataire de cloud preacutesumeacute sous-traitant creacuteer un reacutegime speacutecifique
Critegraveres de rattachement pour deacutetermination de la loi applicable
Quel encadrement des transferts de donneacutees
Quels risques speacutecifiques de seacutecuriteacute
Reacuteflexion au sein de la Commission europeacuteenne
Observations europeacuteennes et reacuteflexion pour eacutelaborer un projet de lignes directrices applicables aux contrats de cloud Consultation publique de la Commission courant 2011 eacuteventualiteacute de modegraveles de documents contractuels (CG PAQ etc) questions de seacutecuriteacute des donneacutees de deacutetermination de la personne responsable
Problegraveme des socieacuteteacutes US mecircme si donneacutees heacutebergeacutees en Europe application des regravegles du USA Patriot Act Contradiction avec droit EU
Reacuteforme de la reacuteglementation des donneacutees personnelles en Europe
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 12
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 13
Anticiper les difficulteacutes par lrsquoencadrement contractuel
Des clauses agrave neacutegocier autant que possible pour eacuteviter Risques sur la continuiteacute du service
Exposition au risque de piratage et de vol de donneacutees
Manque de maicirctrise des coucircts
Perte de gouvernance
Deacutependance technologique
Interopeacuterabiliteacute et respect des standards
Irresponsabiliteacute du prestataire
Contrat cloud = contrat drsquoadheacutesion Conditions geacuteneacuterales mises en ligne et modifiables par le prestataire de maniegravere
discreacutetionnaire
Evolutions du service sans information preacutealabledroit drsquoopposition du client
QUELQUES POINTS DrsquoATTENTION DANS LES CONTRATS CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 14
Deacutefinir les niveaux de services
Deacutelimitation des obligations du prestataire etou des sous traitants (pb chaicircnes de contrat)
Clauses de qualiteacute de service
Outils et proceacutedures de controcircle de la qualiteacute
COMMENT SrsquoASSURER DrsquoUNE QUALITEacute DE SERVICE MAXIMALE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 15
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Risque drsquoe-reacuteputation
Mai 2011 Piratage de SONY
Online Entertainment 24 millions de comptes ont eacuteteacute visiteacutes 12 700 numeacuteros de cartes de creacutedit non ameacutericaines issus dune vieille base de donneacutees ont eacuteteacute rafleacutes par les pirates (httplexpansionlexpressfrhigh-techreseaux-pirates-quelle-facture-pour-sony_254765html )
Risque de perte de clientegravele
Risque de favoriser la concurrence
Etc
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 16
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Les normes applicables relatives aux donneacutees sensibles les donneacutees agrave caractegravere personnel Directive 9546CE Loi Informatique et liberteacutes recommandations CNIL
Les obligations du prestataire en matiegravere de protection des donneacutees
Inteacutegrer le sous-traitant dans le peacuterimegravetre de la seacutecuriteacute de lrsquoentreprise
Politique de droit drsquoaccegraves
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 17
Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)
bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie
bull Transmissions seacutecuriseacutees cryptage des donneacutees
bull Seacutecurisation de lrsquoheacutebergement
Obligations du prestataire en cas drsquoincident
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 6
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 7
LES DIFFEacuteRENTS TYPES DE CLOUD
CLOUD PRIVE
infrastructure entiegraverement deacutedieacutee agrave un client
bullCloud priveacute interne geacutereacute par le client lui-mecircme
bullCloud priveacute externe geacutereacute par un tiers
bullCloud priveacute virtuel un environnement de Cloud Computing qui recouvre lrsquoinfrastructure de clouds internes et externes offrant agrave lrsquoentreprise un environnement transparent geacutereacute qui est seacutecuriseacute et sous le controcircle du service informatique
CLOUD PUBLIC
infrastructure partageacutee
bull Infrastructure accessible agrave un large public
bullAppartient agrave un fournisseur de cloud services
bullSolution la moins coucircteuse
CLOUD HYBRIDE
bull Infrastructure composeacutee de deux nuages ou plus meacutelangeant public et priveacute
bullClouds uniques lieacutes par une technologie normaliseacutee ou proprieacutetaire
bullLrsquoideacuteal opter pour une architecture de cloud priveacute permettant de recevoir des clouds publics mais cela peut se preacutesenter sous la forme de clouds localiseacutes chez un heacutebergeur mais deacutedieacutes agrave un client
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 8
Source httprevevolfr20100719analyse-des-dimensions-du-risque-lie-au-cloud-computing
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 9
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 10
Pas de reacuteglementation particuliegravere CLOUD
Mais pas drsquoabsence de reacuteglementation Diffeacuterents textes trouvent agrave srsquoappliquer
Loi Informatique et Liberteacutes notamment conservation des donneacutees sensibles (banque santeacute etc)
Regravegles sur les fuites de donneacutees
Commerce eacutelectronique
Protection des consommateurs
Obligations de conservation de documents comptables et fiscaux etc
Obligations speacutecifiques de seacutecuriteacute secteur de la banque et de lrsquoassurance de la santeacute etc
QUELLE REacuteGLEMENTATION POUR LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 11
QUELLE REacuteGLEMENTATION POUR LE CLOUD
Enquecircte CNIL fin 2011
Prestataire de cloud preacutesumeacute sous-traitant creacuteer un reacutegime speacutecifique
Critegraveres de rattachement pour deacutetermination de la loi applicable
Quel encadrement des transferts de donneacutees
Quels risques speacutecifiques de seacutecuriteacute
Reacuteflexion au sein de la Commission europeacuteenne
Observations europeacuteennes et reacuteflexion pour eacutelaborer un projet de lignes directrices applicables aux contrats de cloud Consultation publique de la Commission courant 2011 eacuteventualiteacute de modegraveles de documents contractuels (CG PAQ etc) questions de seacutecuriteacute des donneacutees de deacutetermination de la personne responsable
Problegraveme des socieacuteteacutes US mecircme si donneacutees heacutebergeacutees en Europe application des regravegles du USA Patriot Act Contradiction avec droit EU
Reacuteforme de la reacuteglementation des donneacutees personnelles en Europe
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 12
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 13
Anticiper les difficulteacutes par lrsquoencadrement contractuel
Des clauses agrave neacutegocier autant que possible pour eacuteviter Risques sur la continuiteacute du service
Exposition au risque de piratage et de vol de donneacutees
Manque de maicirctrise des coucircts
Perte de gouvernance
Deacutependance technologique
Interopeacuterabiliteacute et respect des standards
Irresponsabiliteacute du prestataire
Contrat cloud = contrat drsquoadheacutesion Conditions geacuteneacuterales mises en ligne et modifiables par le prestataire de maniegravere
discreacutetionnaire
Evolutions du service sans information preacutealabledroit drsquoopposition du client
QUELQUES POINTS DrsquoATTENTION DANS LES CONTRATS CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 14
Deacutefinir les niveaux de services
Deacutelimitation des obligations du prestataire etou des sous traitants (pb chaicircnes de contrat)
Clauses de qualiteacute de service
Outils et proceacutedures de controcircle de la qualiteacute
COMMENT SrsquoASSURER DrsquoUNE QUALITEacute DE SERVICE MAXIMALE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 15
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Risque drsquoe-reacuteputation
Mai 2011 Piratage de SONY
Online Entertainment 24 millions de comptes ont eacuteteacute visiteacutes 12 700 numeacuteros de cartes de creacutedit non ameacutericaines issus dune vieille base de donneacutees ont eacuteteacute rafleacutes par les pirates (httplexpansionlexpressfrhigh-techreseaux-pirates-quelle-facture-pour-sony_254765html )
Risque de perte de clientegravele
Risque de favoriser la concurrence
Etc
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 16
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Les normes applicables relatives aux donneacutees sensibles les donneacutees agrave caractegravere personnel Directive 9546CE Loi Informatique et liberteacutes recommandations CNIL
Les obligations du prestataire en matiegravere de protection des donneacutees
Inteacutegrer le sous-traitant dans le peacuterimegravetre de la seacutecuriteacute de lrsquoentreprise
Politique de droit drsquoaccegraves
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 17
Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)
bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie
bull Transmissions seacutecuriseacutees cryptage des donneacutees
bull Seacutecurisation de lrsquoheacutebergement
Obligations du prestataire en cas drsquoincident
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 7
LES DIFFEacuteRENTS TYPES DE CLOUD
CLOUD PRIVE
infrastructure entiegraverement deacutedieacutee agrave un client
bullCloud priveacute interne geacutereacute par le client lui-mecircme
bullCloud priveacute externe geacutereacute par un tiers
bullCloud priveacute virtuel un environnement de Cloud Computing qui recouvre lrsquoinfrastructure de clouds internes et externes offrant agrave lrsquoentreprise un environnement transparent geacutereacute qui est seacutecuriseacute et sous le controcircle du service informatique
CLOUD PUBLIC
infrastructure partageacutee
bull Infrastructure accessible agrave un large public
bullAppartient agrave un fournisseur de cloud services
bullSolution la moins coucircteuse
CLOUD HYBRIDE
bull Infrastructure composeacutee de deux nuages ou plus meacutelangeant public et priveacute
bullClouds uniques lieacutes par une technologie normaliseacutee ou proprieacutetaire
bullLrsquoideacuteal opter pour une architecture de cloud priveacute permettant de recevoir des clouds publics mais cela peut se preacutesenter sous la forme de clouds localiseacutes chez un heacutebergeur mais deacutedieacutes agrave un client
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 8
Source httprevevolfr20100719analyse-des-dimensions-du-risque-lie-au-cloud-computing
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 9
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 10
Pas de reacuteglementation particuliegravere CLOUD
Mais pas drsquoabsence de reacuteglementation Diffeacuterents textes trouvent agrave srsquoappliquer
Loi Informatique et Liberteacutes notamment conservation des donneacutees sensibles (banque santeacute etc)
Regravegles sur les fuites de donneacutees
Commerce eacutelectronique
Protection des consommateurs
Obligations de conservation de documents comptables et fiscaux etc
Obligations speacutecifiques de seacutecuriteacute secteur de la banque et de lrsquoassurance de la santeacute etc
QUELLE REacuteGLEMENTATION POUR LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 11
QUELLE REacuteGLEMENTATION POUR LE CLOUD
Enquecircte CNIL fin 2011
Prestataire de cloud preacutesumeacute sous-traitant creacuteer un reacutegime speacutecifique
Critegraveres de rattachement pour deacutetermination de la loi applicable
Quel encadrement des transferts de donneacutees
Quels risques speacutecifiques de seacutecuriteacute
Reacuteflexion au sein de la Commission europeacuteenne
Observations europeacuteennes et reacuteflexion pour eacutelaborer un projet de lignes directrices applicables aux contrats de cloud Consultation publique de la Commission courant 2011 eacuteventualiteacute de modegraveles de documents contractuels (CG PAQ etc) questions de seacutecuriteacute des donneacutees de deacutetermination de la personne responsable
Problegraveme des socieacuteteacutes US mecircme si donneacutees heacutebergeacutees en Europe application des regravegles du USA Patriot Act Contradiction avec droit EU
Reacuteforme de la reacuteglementation des donneacutees personnelles en Europe
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 12
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 13
Anticiper les difficulteacutes par lrsquoencadrement contractuel
Des clauses agrave neacutegocier autant que possible pour eacuteviter Risques sur la continuiteacute du service
Exposition au risque de piratage et de vol de donneacutees
Manque de maicirctrise des coucircts
Perte de gouvernance
Deacutependance technologique
Interopeacuterabiliteacute et respect des standards
Irresponsabiliteacute du prestataire
Contrat cloud = contrat drsquoadheacutesion Conditions geacuteneacuterales mises en ligne et modifiables par le prestataire de maniegravere
discreacutetionnaire
Evolutions du service sans information preacutealabledroit drsquoopposition du client
QUELQUES POINTS DrsquoATTENTION DANS LES CONTRATS CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 14
Deacutefinir les niveaux de services
Deacutelimitation des obligations du prestataire etou des sous traitants (pb chaicircnes de contrat)
Clauses de qualiteacute de service
Outils et proceacutedures de controcircle de la qualiteacute
COMMENT SrsquoASSURER DrsquoUNE QUALITEacute DE SERVICE MAXIMALE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 15
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Risque drsquoe-reacuteputation
Mai 2011 Piratage de SONY
Online Entertainment 24 millions de comptes ont eacuteteacute visiteacutes 12 700 numeacuteros de cartes de creacutedit non ameacutericaines issus dune vieille base de donneacutees ont eacuteteacute rafleacutes par les pirates (httplexpansionlexpressfrhigh-techreseaux-pirates-quelle-facture-pour-sony_254765html )
Risque de perte de clientegravele
Risque de favoriser la concurrence
Etc
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 16
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Les normes applicables relatives aux donneacutees sensibles les donneacutees agrave caractegravere personnel Directive 9546CE Loi Informatique et liberteacutes recommandations CNIL
Les obligations du prestataire en matiegravere de protection des donneacutees
Inteacutegrer le sous-traitant dans le peacuterimegravetre de la seacutecuriteacute de lrsquoentreprise
Politique de droit drsquoaccegraves
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 17
Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)
bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie
bull Transmissions seacutecuriseacutees cryptage des donneacutees
bull Seacutecurisation de lrsquoheacutebergement
Obligations du prestataire en cas drsquoincident
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 8
Source httprevevolfr20100719analyse-des-dimensions-du-risque-lie-au-cloud-computing
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 9
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 10
Pas de reacuteglementation particuliegravere CLOUD
Mais pas drsquoabsence de reacuteglementation Diffeacuterents textes trouvent agrave srsquoappliquer
Loi Informatique et Liberteacutes notamment conservation des donneacutees sensibles (banque santeacute etc)
Regravegles sur les fuites de donneacutees
Commerce eacutelectronique
Protection des consommateurs
Obligations de conservation de documents comptables et fiscaux etc
Obligations speacutecifiques de seacutecuriteacute secteur de la banque et de lrsquoassurance de la santeacute etc
QUELLE REacuteGLEMENTATION POUR LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 11
QUELLE REacuteGLEMENTATION POUR LE CLOUD
Enquecircte CNIL fin 2011
Prestataire de cloud preacutesumeacute sous-traitant creacuteer un reacutegime speacutecifique
Critegraveres de rattachement pour deacutetermination de la loi applicable
Quel encadrement des transferts de donneacutees
Quels risques speacutecifiques de seacutecuriteacute
Reacuteflexion au sein de la Commission europeacuteenne
Observations europeacuteennes et reacuteflexion pour eacutelaborer un projet de lignes directrices applicables aux contrats de cloud Consultation publique de la Commission courant 2011 eacuteventualiteacute de modegraveles de documents contractuels (CG PAQ etc) questions de seacutecuriteacute des donneacutees de deacutetermination de la personne responsable
Problegraveme des socieacuteteacutes US mecircme si donneacutees heacutebergeacutees en Europe application des regravegles du USA Patriot Act Contradiction avec droit EU
Reacuteforme de la reacuteglementation des donneacutees personnelles en Europe
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 12
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 13
Anticiper les difficulteacutes par lrsquoencadrement contractuel
Des clauses agrave neacutegocier autant que possible pour eacuteviter Risques sur la continuiteacute du service
Exposition au risque de piratage et de vol de donneacutees
Manque de maicirctrise des coucircts
Perte de gouvernance
Deacutependance technologique
Interopeacuterabiliteacute et respect des standards
Irresponsabiliteacute du prestataire
Contrat cloud = contrat drsquoadheacutesion Conditions geacuteneacuterales mises en ligne et modifiables par le prestataire de maniegravere
discreacutetionnaire
Evolutions du service sans information preacutealabledroit drsquoopposition du client
QUELQUES POINTS DrsquoATTENTION DANS LES CONTRATS CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 14
Deacutefinir les niveaux de services
Deacutelimitation des obligations du prestataire etou des sous traitants (pb chaicircnes de contrat)
Clauses de qualiteacute de service
Outils et proceacutedures de controcircle de la qualiteacute
COMMENT SrsquoASSURER DrsquoUNE QUALITEacute DE SERVICE MAXIMALE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 15
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Risque drsquoe-reacuteputation
Mai 2011 Piratage de SONY
Online Entertainment 24 millions de comptes ont eacuteteacute visiteacutes 12 700 numeacuteros de cartes de creacutedit non ameacutericaines issus dune vieille base de donneacutees ont eacuteteacute rafleacutes par les pirates (httplexpansionlexpressfrhigh-techreseaux-pirates-quelle-facture-pour-sony_254765html )
Risque de perte de clientegravele
Risque de favoriser la concurrence
Etc
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 16
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Les normes applicables relatives aux donneacutees sensibles les donneacutees agrave caractegravere personnel Directive 9546CE Loi Informatique et liberteacutes recommandations CNIL
Les obligations du prestataire en matiegravere de protection des donneacutees
Inteacutegrer le sous-traitant dans le peacuterimegravetre de la seacutecuriteacute de lrsquoentreprise
Politique de droit drsquoaccegraves
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 17
Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)
bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie
bull Transmissions seacutecuriseacutees cryptage des donneacutees
bull Seacutecurisation de lrsquoheacutebergement
Obligations du prestataire en cas drsquoincident
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 9
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 10
Pas de reacuteglementation particuliegravere CLOUD
Mais pas drsquoabsence de reacuteglementation Diffeacuterents textes trouvent agrave srsquoappliquer
Loi Informatique et Liberteacutes notamment conservation des donneacutees sensibles (banque santeacute etc)
Regravegles sur les fuites de donneacutees
Commerce eacutelectronique
Protection des consommateurs
Obligations de conservation de documents comptables et fiscaux etc
Obligations speacutecifiques de seacutecuriteacute secteur de la banque et de lrsquoassurance de la santeacute etc
QUELLE REacuteGLEMENTATION POUR LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 11
QUELLE REacuteGLEMENTATION POUR LE CLOUD
Enquecircte CNIL fin 2011
Prestataire de cloud preacutesumeacute sous-traitant creacuteer un reacutegime speacutecifique
Critegraveres de rattachement pour deacutetermination de la loi applicable
Quel encadrement des transferts de donneacutees
Quels risques speacutecifiques de seacutecuriteacute
Reacuteflexion au sein de la Commission europeacuteenne
Observations europeacuteennes et reacuteflexion pour eacutelaborer un projet de lignes directrices applicables aux contrats de cloud Consultation publique de la Commission courant 2011 eacuteventualiteacute de modegraveles de documents contractuels (CG PAQ etc) questions de seacutecuriteacute des donneacutees de deacutetermination de la personne responsable
Problegraveme des socieacuteteacutes US mecircme si donneacutees heacutebergeacutees en Europe application des regravegles du USA Patriot Act Contradiction avec droit EU
Reacuteforme de la reacuteglementation des donneacutees personnelles en Europe
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 12
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 13
Anticiper les difficulteacutes par lrsquoencadrement contractuel
Des clauses agrave neacutegocier autant que possible pour eacuteviter Risques sur la continuiteacute du service
Exposition au risque de piratage et de vol de donneacutees
Manque de maicirctrise des coucircts
Perte de gouvernance
Deacutependance technologique
Interopeacuterabiliteacute et respect des standards
Irresponsabiliteacute du prestataire
Contrat cloud = contrat drsquoadheacutesion Conditions geacuteneacuterales mises en ligne et modifiables par le prestataire de maniegravere
discreacutetionnaire
Evolutions du service sans information preacutealabledroit drsquoopposition du client
QUELQUES POINTS DrsquoATTENTION DANS LES CONTRATS CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 14
Deacutefinir les niveaux de services
Deacutelimitation des obligations du prestataire etou des sous traitants (pb chaicircnes de contrat)
Clauses de qualiteacute de service
Outils et proceacutedures de controcircle de la qualiteacute
COMMENT SrsquoASSURER DrsquoUNE QUALITEacute DE SERVICE MAXIMALE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 15
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Risque drsquoe-reacuteputation
Mai 2011 Piratage de SONY
Online Entertainment 24 millions de comptes ont eacuteteacute visiteacutes 12 700 numeacuteros de cartes de creacutedit non ameacutericaines issus dune vieille base de donneacutees ont eacuteteacute rafleacutes par les pirates (httplexpansionlexpressfrhigh-techreseaux-pirates-quelle-facture-pour-sony_254765html )
Risque de perte de clientegravele
Risque de favoriser la concurrence
Etc
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 16
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Les normes applicables relatives aux donneacutees sensibles les donneacutees agrave caractegravere personnel Directive 9546CE Loi Informatique et liberteacutes recommandations CNIL
Les obligations du prestataire en matiegravere de protection des donneacutees
Inteacutegrer le sous-traitant dans le peacuterimegravetre de la seacutecuriteacute de lrsquoentreprise
Politique de droit drsquoaccegraves
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 17
Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)
bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie
bull Transmissions seacutecuriseacutees cryptage des donneacutees
bull Seacutecurisation de lrsquoheacutebergement
Obligations du prestataire en cas drsquoincident
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 10
Pas de reacuteglementation particuliegravere CLOUD
Mais pas drsquoabsence de reacuteglementation Diffeacuterents textes trouvent agrave srsquoappliquer
Loi Informatique et Liberteacutes notamment conservation des donneacutees sensibles (banque santeacute etc)
Regravegles sur les fuites de donneacutees
Commerce eacutelectronique
Protection des consommateurs
Obligations de conservation de documents comptables et fiscaux etc
Obligations speacutecifiques de seacutecuriteacute secteur de la banque et de lrsquoassurance de la santeacute etc
QUELLE REacuteGLEMENTATION POUR LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 11
QUELLE REacuteGLEMENTATION POUR LE CLOUD
Enquecircte CNIL fin 2011
Prestataire de cloud preacutesumeacute sous-traitant creacuteer un reacutegime speacutecifique
Critegraveres de rattachement pour deacutetermination de la loi applicable
Quel encadrement des transferts de donneacutees
Quels risques speacutecifiques de seacutecuriteacute
Reacuteflexion au sein de la Commission europeacuteenne
Observations europeacuteennes et reacuteflexion pour eacutelaborer un projet de lignes directrices applicables aux contrats de cloud Consultation publique de la Commission courant 2011 eacuteventualiteacute de modegraveles de documents contractuels (CG PAQ etc) questions de seacutecuriteacute des donneacutees de deacutetermination de la personne responsable
Problegraveme des socieacuteteacutes US mecircme si donneacutees heacutebergeacutees en Europe application des regravegles du USA Patriot Act Contradiction avec droit EU
Reacuteforme de la reacuteglementation des donneacutees personnelles en Europe
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 12
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 13
Anticiper les difficulteacutes par lrsquoencadrement contractuel
Des clauses agrave neacutegocier autant que possible pour eacuteviter Risques sur la continuiteacute du service
Exposition au risque de piratage et de vol de donneacutees
Manque de maicirctrise des coucircts
Perte de gouvernance
Deacutependance technologique
Interopeacuterabiliteacute et respect des standards
Irresponsabiliteacute du prestataire
Contrat cloud = contrat drsquoadheacutesion Conditions geacuteneacuterales mises en ligne et modifiables par le prestataire de maniegravere
discreacutetionnaire
Evolutions du service sans information preacutealabledroit drsquoopposition du client
QUELQUES POINTS DrsquoATTENTION DANS LES CONTRATS CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 14
Deacutefinir les niveaux de services
Deacutelimitation des obligations du prestataire etou des sous traitants (pb chaicircnes de contrat)
Clauses de qualiteacute de service
Outils et proceacutedures de controcircle de la qualiteacute
COMMENT SrsquoASSURER DrsquoUNE QUALITEacute DE SERVICE MAXIMALE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 15
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Risque drsquoe-reacuteputation
Mai 2011 Piratage de SONY
Online Entertainment 24 millions de comptes ont eacuteteacute visiteacutes 12 700 numeacuteros de cartes de creacutedit non ameacutericaines issus dune vieille base de donneacutees ont eacuteteacute rafleacutes par les pirates (httplexpansionlexpressfrhigh-techreseaux-pirates-quelle-facture-pour-sony_254765html )
Risque de perte de clientegravele
Risque de favoriser la concurrence
Etc
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 16
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Les normes applicables relatives aux donneacutees sensibles les donneacutees agrave caractegravere personnel Directive 9546CE Loi Informatique et liberteacutes recommandations CNIL
Les obligations du prestataire en matiegravere de protection des donneacutees
Inteacutegrer le sous-traitant dans le peacuterimegravetre de la seacutecuriteacute de lrsquoentreprise
Politique de droit drsquoaccegraves
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 17
Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)
bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie
bull Transmissions seacutecuriseacutees cryptage des donneacutees
bull Seacutecurisation de lrsquoheacutebergement
Obligations du prestataire en cas drsquoincident
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 11
QUELLE REacuteGLEMENTATION POUR LE CLOUD
Enquecircte CNIL fin 2011
Prestataire de cloud preacutesumeacute sous-traitant creacuteer un reacutegime speacutecifique
Critegraveres de rattachement pour deacutetermination de la loi applicable
Quel encadrement des transferts de donneacutees
Quels risques speacutecifiques de seacutecuriteacute
Reacuteflexion au sein de la Commission europeacuteenne
Observations europeacuteennes et reacuteflexion pour eacutelaborer un projet de lignes directrices applicables aux contrats de cloud Consultation publique de la Commission courant 2011 eacuteventualiteacute de modegraveles de documents contractuels (CG PAQ etc) questions de seacutecuriteacute des donneacutees de deacutetermination de la personne responsable
Problegraveme des socieacuteteacutes US mecircme si donneacutees heacutebergeacutees en Europe application des regravegles du USA Patriot Act Contradiction avec droit EU
Reacuteforme de la reacuteglementation des donneacutees personnelles en Europe
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 12
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 13
Anticiper les difficulteacutes par lrsquoencadrement contractuel
Des clauses agrave neacutegocier autant que possible pour eacuteviter Risques sur la continuiteacute du service
Exposition au risque de piratage et de vol de donneacutees
Manque de maicirctrise des coucircts
Perte de gouvernance
Deacutependance technologique
Interopeacuterabiliteacute et respect des standards
Irresponsabiliteacute du prestataire
Contrat cloud = contrat drsquoadheacutesion Conditions geacuteneacuterales mises en ligne et modifiables par le prestataire de maniegravere
discreacutetionnaire
Evolutions du service sans information preacutealabledroit drsquoopposition du client
QUELQUES POINTS DrsquoATTENTION DANS LES CONTRATS CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 14
Deacutefinir les niveaux de services
Deacutelimitation des obligations du prestataire etou des sous traitants (pb chaicircnes de contrat)
Clauses de qualiteacute de service
Outils et proceacutedures de controcircle de la qualiteacute
COMMENT SrsquoASSURER DrsquoUNE QUALITEacute DE SERVICE MAXIMALE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 15
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Risque drsquoe-reacuteputation
Mai 2011 Piratage de SONY
Online Entertainment 24 millions de comptes ont eacuteteacute visiteacutes 12 700 numeacuteros de cartes de creacutedit non ameacutericaines issus dune vieille base de donneacutees ont eacuteteacute rafleacutes par les pirates (httplexpansionlexpressfrhigh-techreseaux-pirates-quelle-facture-pour-sony_254765html )
Risque de perte de clientegravele
Risque de favoriser la concurrence
Etc
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 16
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Les normes applicables relatives aux donneacutees sensibles les donneacutees agrave caractegravere personnel Directive 9546CE Loi Informatique et liberteacutes recommandations CNIL
Les obligations du prestataire en matiegravere de protection des donneacutees
Inteacutegrer le sous-traitant dans le peacuterimegravetre de la seacutecuriteacute de lrsquoentreprise
Politique de droit drsquoaccegraves
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 17
Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)
bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie
bull Transmissions seacutecuriseacutees cryptage des donneacutees
bull Seacutecurisation de lrsquoheacutebergement
Obligations du prestataire en cas drsquoincident
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 12
LES QUESTIONS JURIDIQUES
POSEacuteES PAR LE CLOUD COMPUTING
Les diffeacuterents type de CLOUD Quelle reacuteglementation pour le CLOUD Quelques points drsquoattention dans les contrats CLOUD
Srsquoassurer drsquoun service de qualiteacute Garantir la protection des donneacutees La loi applicable au contrat Anticiper la rupture
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 13
Anticiper les difficulteacutes par lrsquoencadrement contractuel
Des clauses agrave neacutegocier autant que possible pour eacuteviter Risques sur la continuiteacute du service
Exposition au risque de piratage et de vol de donneacutees
Manque de maicirctrise des coucircts
Perte de gouvernance
Deacutependance technologique
Interopeacuterabiliteacute et respect des standards
Irresponsabiliteacute du prestataire
Contrat cloud = contrat drsquoadheacutesion Conditions geacuteneacuterales mises en ligne et modifiables par le prestataire de maniegravere
discreacutetionnaire
Evolutions du service sans information preacutealabledroit drsquoopposition du client
QUELQUES POINTS DrsquoATTENTION DANS LES CONTRATS CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 14
Deacutefinir les niveaux de services
Deacutelimitation des obligations du prestataire etou des sous traitants (pb chaicircnes de contrat)
Clauses de qualiteacute de service
Outils et proceacutedures de controcircle de la qualiteacute
COMMENT SrsquoASSURER DrsquoUNE QUALITEacute DE SERVICE MAXIMALE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 15
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Risque drsquoe-reacuteputation
Mai 2011 Piratage de SONY
Online Entertainment 24 millions de comptes ont eacuteteacute visiteacutes 12 700 numeacuteros de cartes de creacutedit non ameacutericaines issus dune vieille base de donneacutees ont eacuteteacute rafleacutes par les pirates (httplexpansionlexpressfrhigh-techreseaux-pirates-quelle-facture-pour-sony_254765html )
Risque de perte de clientegravele
Risque de favoriser la concurrence
Etc
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 16
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Les normes applicables relatives aux donneacutees sensibles les donneacutees agrave caractegravere personnel Directive 9546CE Loi Informatique et liberteacutes recommandations CNIL
Les obligations du prestataire en matiegravere de protection des donneacutees
Inteacutegrer le sous-traitant dans le peacuterimegravetre de la seacutecuriteacute de lrsquoentreprise
Politique de droit drsquoaccegraves
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 17
Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)
bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie
bull Transmissions seacutecuriseacutees cryptage des donneacutees
bull Seacutecurisation de lrsquoheacutebergement
Obligations du prestataire en cas drsquoincident
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 13
Anticiper les difficulteacutes par lrsquoencadrement contractuel
Des clauses agrave neacutegocier autant que possible pour eacuteviter Risques sur la continuiteacute du service
Exposition au risque de piratage et de vol de donneacutees
Manque de maicirctrise des coucircts
Perte de gouvernance
Deacutependance technologique
Interopeacuterabiliteacute et respect des standards
Irresponsabiliteacute du prestataire
Contrat cloud = contrat drsquoadheacutesion Conditions geacuteneacuterales mises en ligne et modifiables par le prestataire de maniegravere
discreacutetionnaire
Evolutions du service sans information preacutealabledroit drsquoopposition du client
QUELQUES POINTS DrsquoATTENTION DANS LES CONTRATS CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 14
Deacutefinir les niveaux de services
Deacutelimitation des obligations du prestataire etou des sous traitants (pb chaicircnes de contrat)
Clauses de qualiteacute de service
Outils et proceacutedures de controcircle de la qualiteacute
COMMENT SrsquoASSURER DrsquoUNE QUALITEacute DE SERVICE MAXIMALE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 15
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Risque drsquoe-reacuteputation
Mai 2011 Piratage de SONY
Online Entertainment 24 millions de comptes ont eacuteteacute visiteacutes 12 700 numeacuteros de cartes de creacutedit non ameacutericaines issus dune vieille base de donneacutees ont eacuteteacute rafleacutes par les pirates (httplexpansionlexpressfrhigh-techreseaux-pirates-quelle-facture-pour-sony_254765html )
Risque de perte de clientegravele
Risque de favoriser la concurrence
Etc
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 16
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Les normes applicables relatives aux donneacutees sensibles les donneacutees agrave caractegravere personnel Directive 9546CE Loi Informatique et liberteacutes recommandations CNIL
Les obligations du prestataire en matiegravere de protection des donneacutees
Inteacutegrer le sous-traitant dans le peacuterimegravetre de la seacutecuriteacute de lrsquoentreprise
Politique de droit drsquoaccegraves
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 17
Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)
bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie
bull Transmissions seacutecuriseacutees cryptage des donneacutees
bull Seacutecurisation de lrsquoheacutebergement
Obligations du prestataire en cas drsquoincident
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 14
Deacutefinir les niveaux de services
Deacutelimitation des obligations du prestataire etou des sous traitants (pb chaicircnes de contrat)
Clauses de qualiteacute de service
Outils et proceacutedures de controcircle de la qualiteacute
COMMENT SrsquoASSURER DrsquoUNE QUALITEacute DE SERVICE MAXIMALE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 15
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Risque drsquoe-reacuteputation
Mai 2011 Piratage de SONY
Online Entertainment 24 millions de comptes ont eacuteteacute visiteacutes 12 700 numeacuteros de cartes de creacutedit non ameacutericaines issus dune vieille base de donneacutees ont eacuteteacute rafleacutes par les pirates (httplexpansionlexpressfrhigh-techreseaux-pirates-quelle-facture-pour-sony_254765html )
Risque de perte de clientegravele
Risque de favoriser la concurrence
Etc
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 16
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Les normes applicables relatives aux donneacutees sensibles les donneacutees agrave caractegravere personnel Directive 9546CE Loi Informatique et liberteacutes recommandations CNIL
Les obligations du prestataire en matiegravere de protection des donneacutees
Inteacutegrer le sous-traitant dans le peacuterimegravetre de la seacutecuriteacute de lrsquoentreprise
Politique de droit drsquoaccegraves
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 17
Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)
bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie
bull Transmissions seacutecuriseacutees cryptage des donneacutees
bull Seacutecurisation de lrsquoheacutebergement
Obligations du prestataire en cas drsquoincident
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 15
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Risque drsquoe-reacuteputation
Mai 2011 Piratage de SONY
Online Entertainment 24 millions de comptes ont eacuteteacute visiteacutes 12 700 numeacuteros de cartes de creacutedit non ameacutericaines issus dune vieille base de donneacutees ont eacuteteacute rafleacutes par les pirates (httplexpansionlexpressfrhigh-techreseaux-pirates-quelle-facture-pour-sony_254765html )
Risque de perte de clientegravele
Risque de favoriser la concurrence
Etc
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 16
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Les normes applicables relatives aux donneacutees sensibles les donneacutees agrave caractegravere personnel Directive 9546CE Loi Informatique et liberteacutes recommandations CNIL
Les obligations du prestataire en matiegravere de protection des donneacutees
Inteacutegrer le sous-traitant dans le peacuterimegravetre de la seacutecuriteacute de lrsquoentreprise
Politique de droit drsquoaccegraves
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 17
Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)
bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie
bull Transmissions seacutecuriseacutees cryptage des donneacutees
bull Seacutecurisation de lrsquoheacutebergement
Obligations du prestataire en cas drsquoincident
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 16
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Les normes applicables relatives aux donneacutees sensibles les donneacutees agrave caractegravere personnel Directive 9546CE Loi Informatique et liberteacutes recommandations CNIL
Les obligations du prestataire en matiegravere de protection des donneacutees
Inteacutegrer le sous-traitant dans le peacuterimegravetre de la seacutecuriteacute de lrsquoentreprise
Politique de droit drsquoaccegraves
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 17
Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)
bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie
bull Transmissions seacutecuriseacutees cryptage des donneacutees
bull Seacutecurisation de lrsquoheacutebergement
Obligations du prestataire en cas drsquoincident
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 17
Seacutecuriser les accegraves Niveaux de seacutecuriteacute diffeacuterents selon les informations (donneacutees bancaires etc)
bull Dispositifs drsquoaccegraves plus eacutelaboreacutes certificat eacutelectronique sur cleacute USB carte voire biomeacutetrie
bull Transmissions seacutecuriseacutees cryptage des donneacutees
bull Seacutecurisation de lrsquoheacutebergement
Obligations du prestataire en cas drsquoincident
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 18
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Circulation des donneacutees en Europe pas de conditions
Transfert hors UE
Vers un pays assurant un niveau de protection adeacutequat
(ex Canada Argentine)
Vers un pays non adeacutequat
(ex USA)
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 19
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Notification des fuites de donneacutees
Aujourdrsquohui applicable aux fournisseurs au public de services de communications eacutelectroniques sur les reacuteseaux de communications eacutelectroniques ouverts au public
3 conditions (art 34 bis de la loi informatique et liberteacutes)
bull Il faut quil y ait un traitement de donneacutees agrave caractegravere personnel
bull mis en œuvre par un fournisseur de services de communications eacutelectroniques
bull dans le cadre de son activiteacute de fourniture de services de communications eacutelectroniques
Article 226-17-1 du code peacutenal Non notification =gt cinq ans demprisonnement et de 300 000 euro damende
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 20
PROTECTION DES DONNEacuteES DE LrsquoENTREPRISE DANS LE CLOUD
Seraient constitutifs dune violation
bull Une intrusion dans la base de donneacutees de gestion clientegravele dun fournisseur daccegraves internet (FAI)
bull Une faille dans la boutique en ligne dun opeacuterateur mobile permettant de reacutecupeacuterer les numeacuteros de cartes de creacutedits des clients ayant commandeacute un nouveau teacuteleacutephone associeacute agrave un forfait (car ce sont les donneacutees clients collecteacutees en tant quopeacuterateur)
bull Un email confidentiel destineacute agrave un client dun FAI diffuseacute par erreur agrave dautres personnes
bull La perte dun contrat papier dun nouveau client par un agent commercial dun opeacuterateur mobile dans une boutique
httpwwwcnilfrla-cnilactualitearticlearticlela-notification-des-violations-de-donnees-a-caractere-personneltx_ttnews5BbackPid5D=2ampcHash=aa91fbb3043b82345928f38efeeb7da2
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 21
Loi applicable
bull Clause speacutecifique du contrat deacutesignant la loi applicable
bull A deacutefaut application du Regraveglement ndeg 5932008 du 17 juin 2008 dit Rome 1 laquo le contrat de prestation de services est reacutegi par la loi du pays dans lequel le prestataire de services a sa reacutesidence habituelle raquo (art 4 b)
Juridiction compeacutetente Regraveglement (CE) ndeg442001 Juridiction compeacutetente = celle de lrsquoEtat membre dans lequel le demandeur a son domicile
Application des lois de police
Loi IampL Responsable de traitement reacutesidant en France ou reacutesidant hors UE et qui a recours agrave des moyens de traitement situeacutes en France (art 5 Loi IampL)
QUELLE LOI APPLICABLE AU CONTRAT
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 22
deacutefinition de lrsquoobjet et de la dureacutee du contrat
les clauses de reprise des donneacutees reacuteversibiliteacute (processus eacutevegravenements deacuteclencheurs coucirct deacutelaihellip)
selon le niveau de criticiteacute des donneacutees Effacement Restitution des supports de stockage Destruction physique
Preacutevoir les garanties deacutefinir les cas ougrave la responsabiliteacute est engageacutee le cas de la reacutesiliation
ANTICIPER LA RUPTURE
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012
wwwulysnet - wwwdroit-technologieorg - copy ULYS 2012 23
New Technologies Privacy amp ICT
Intellectual Property
Cinema Media amp Entertainment
E-Payment E-Finance amp Internet Banking
Sport amp Gaming
Commercial Law
ULYS un Cabinet drsquoavocats moderne et humain au service de lrsquoinnovation
MERCI POUR VOTRE ATTENTION
DO
MA
INES
D
rsquoINTE
RV
ENTI
ON
Me JOLY Cathie-Rosalie
Avocat Associeacute Cabinet Ulys Docteur en droit thegravese sur les paiements en ligne
Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E)
Chargeacutee drsquoenseignement agrave lrsquoUniversiteacute Paul Cezanne (Aix Marseille III) Responsable de lrsquoAtelier Paiement et monnaie eacutelectronique de lrsquoADIJ
Formateur sur le Cloud Computing (formation Comundi) cathierosaliejolyulysnet
SALON MED-IT CASABLANCA 13-15112012