L'expression " informatique en nuage " ou " Cloud computing " désigne le déport vers " le nuage Internet "* de données et d'applications qui auparavant étaient situées sur les serveurs et ordinateurs des sociétés, des organisations ou des particuliers. Le modèle économique associé s'apparente à la location de ressources informatiques avec une facturation en fonction de la consommation.

La gamme d'offres correspondantes a connu un fort développement ces quatre dernières années, notamment au travers du stockage et de l'édition en ligne de documents ou même des réseaux sociaux par exemple.

De nombreuses offres de services de Cloud computing sont désormais disponibles sur le marché, que ce soit pour l'hébergement d'infrastructures (IaaS – Infrastructure as a Service), la fourniture de plateformes de développement (PaaS – Platform as a Service) ou celle de logiciels en ligne (SaaS – Software as a Service). Ces offres sont proposées dans des Clouds publics (service partagé et mutualisé entre de nombreux clients), privés (Cloud dédié à un client) ou hybrides (combinaison des modèles public et privé).

Une nécessaire clarification du cadre juridique

Le Cloud computing représente pour les entreprises une évolution majeure de leurs services informatiques et propose de nombreux avantages, notamment celui de mutualiser les coûts d'hébergement et d'opérations.

Les questions de sécurité, de qualification du prestataire, de loi applicable et de transfert des données sont particulièrement délicates dans le cadre du Cloud computing. Les entreprises souhaitant recourir à ces services ont donc besoin d'une clarification des responsabilités y afférant qui leur est applicable.

La standardisation des offres et le recours par les prestataires de Cloud à des contrats d'adhésion pour formaliser leurs relations contractuelles avec leurs clients laissent peu de marge de négociation à ces derniers. De plus, il apparaît que les prestataires fournissent généralement peu d'informations à leurs clients quant aux mesures techniques et organisationnelles mises en oeuvre permettant de garantir la sécurité et la confidentialité des données traitées pour le compte des clients. Cette insuffisance de transparence de la part des prestataires fait défaut aux clients, puisqu'ils ne disposent pas de toutes les informations nécessaires leur permettant de remplir leurs obligations en tant que responsables de traitement.

Sur la base des 49 réponses à sa consultation publique, la CNIL précise aujourd'hui son analyse du cadre juridique du Cloud computing, Elle accompagne les entreprises qui souhaitent avoir recours à des prestations de Cloud et notamment les PME, en leur proposant des recommandations pratiques. Elle met aussi à leur disposition des modèles de clauses contractuelles qui peuvent être insérés dans les contrats de services de Cloud computing.

* Bien avant qu'apparaisse l'expression " Cloud Computing ", les architectes réseau schématisaient Internet par un nuage. En anglais, le terme " the Cloud " était couramment utilisé pour désigner Internet.

L'expression " informatique en nuage " ou " Cloud computing " désigne le déport vers " le nuage Internet "* de données et d'applications qui auparavant étaient situées sur les serveurs et ordinateurs des sociétés, des organisations ou des particuliers. Le modèle économique associé s'apparente à la location de ressources informatiques avec une facturation en fonction de la consommation.

La gamme d'offres correspondantes a connu un fort développement ces quatre dernières années, notamment au travers du stockage et de l'édition en ligne de documents ou même des réseaux sociaux par exemple.
De nombreuses offres de services de Cloud computing sont désormais disponibles sur le marché, que ce soit pour l'hébergement d'infrastructures (IaaS – Infrastructure as a Service), la fourniture de plateformes de développement (PaaS – Platform as a Service) ou celle de logiciels en ligne (SaaS – Software as a Service). Ces offres sont proposées dans des Clouds publics (service partagé et mutualisé entre de nombreux clients), privés (Cloud dédié à un client) ou hybrides (combinaison des modèles public et privé).


Une nécessaire clarification du cadre juridique
 

Le Cloud computing représente pour les entreprises une évolution majeure de leurs services informatiques et propose de nombreux avantages, notamment celui de mutualiser les coûts d'hébergement et d'opérations.
Les questions de sécurité, de qualification du prestataire, de loi applicable et de transfert des données sont particulièrement délicates dans le cadre du Cloud computing. Les entreprises souhaitant recourir à ces services ont donc besoin d'une clarification des responsabilités y afférant qui leur est applicable.

La standardisation des offres et le recours par les prestataires de Cloud à des contrats d'adhésion pour formaliser leurs relations contractuelles avec leurs clients laissent peu de marge de négociation à ces derniers. De plus, il apparaît que les prestataires fournissent généralement peu d'informations à leurs clients quant aux mesures techniques et organisationnelles mises en œuvre permettant de garantir la sécurité et la confidentialité des données traitées pour le compte des clients. Cette insuffisance de transparence de la part des prestataires fait défaut aux clients, puisqu'ils ne disposent pas de toutes les informations nécessaires leur permettant de remplir leurs obligations en tant que responsables de traitement.

Sur la base des 49 réponses à sa consultation publique, la CNIL précise aujourd'hui son analyse du cadre juridique du Cloud computing, Elle accompagne les entreprises qui souhaitent avoir recours à des prestations de Cloud et notamment les PME, en leur proposant des recommandations pratiques. Elle met aussi à leur disposition des modèles de clauses contractuelles qui peuvent être insérés dans les contrats de services de Cloud computing.
 
* Bien avant qu'apparaisse l'expression " Cloud Computing ", les architectes réseau schématisaient Internet par un nuage. En anglais, le terme " the Cloud " était couramment utilisé pour désigner Internet.

Le décret concerne les huissiers de justice, les avocats, mais aussi les particuliers.

L'objet de ce décret porte sur la création d'une signification par voie électronique des actes d'huissier de justice présentant des garanties identiques à celle de la remise physique de l'acte à son destinataire. Dispositions relatives aux notifications
internationales.

Le décret fixe les modalités de signification de l'acte par voie électronique : la signification ne peut être effectuée
qu'avec l'accord du destinataire, elle doit faire l'objet d'un avis électronique de réception indiquant la date et l'heure de
celle-ci, l'acte doit porter mention du consentement du destinataire à ce mode de signification, les originaux des actes
doivent mentionner les dates et heures de l'avis de réception émis par le destinataire. Le décret précise également que
la signification par voie électronique est une signification à personne dès lors que le destinataire de l'acte en a pris
connaissance le jour de la transmission. Lorsque le destinataire de l'acte n'en prend pas connaissance ou en prend
connaissance après ce délai, la signification est faite à domicile.

Le décret concerne également les notifications internationales.

Un arrêté du Garde des sceaux doit intervenir au plus tard le 1er septembre 2012 pour définir les garanties que doivent présenter les procédés utilisés par les huissiers de justice pour signifier les actes par voie électronique.

Source

Cet arrêté régularise le fichier mis en place à la La direction des libertés publiques et des affaires juridiques (DLPAJ). Ce fichier regroupe les cas signalés par les préfectures de fraudes ou d'usurpation d'identité qu'elles n'ont pas résolues.

Ainsi, toute atteinte aux données personnels doit donner lieu à une communication à la CNIL et à l'intéressé. L'article 38 impose cette obligation d'information :

Article 38
Il est inséré, après l'article 34 de la loi du 6 janvier 1978 susvisée, un article 34 bis ainsi rédigé : 
« Art. 34 bis.-I. ― Le présent article s'applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d'identification. 
« Pour l'application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques. 
« II. ― En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et des libertés. 
« Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai, l'intéressé. 
« La notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation. 
« A défaut, la Commission nationale de l'informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d'informer également les intéressés. 
« III. ― Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission. »

Lire l'ordonnance


30 mars 2011
La CNIL rend public le rapport définitif qu'elle a transmis au Premier Ministre concernant les investigations qu'elle a menées auprès de la gendarmerie nationale et sa réponse. Ces investigations n'ont pas permis de constater la mise en œuvre d'un fichier structuré et pérenne regroupant des données à caractère personnel de nature ethnique visant, en particulier, les "gens du voyage".

La CNIL a été saisie le 7 octobre 2010 d'une plainte émanant de quatre associations concernant la mise en œuvre supposée, par la gendarmerie nationale, d'un fichier des "Roms", dénommé "fichier MENS".

Dès le 8 octobre, la CNIL a mené deux premiers contrôles auprès de l'office central de lutte contre la délinquance itinérante (OCLDI) et du service technique de recherches judiciaires et de documentation (STRJD) de la gendarmerie nationale conformément aux pouvoirs qu'elle détient en application de l'article 44 de la loi du 6 janvier 1978 modifiée le 6 août 2004. Elle a rendu publiques ses premières conclusions le 14 octobre 2010.

Elle a effectué un contrôle supplémentaire auprès du service technique de recherches judiciaires et de documentation (STRJD) le 14 octobre 2010 et a exploité l'ensemble des documents et pièces copiés lors de ces contrôles.

Le 25 novembre 2010, la CNIL a informé le Premier ministre des conclusions de ces contrôles.

Elle rend publiques ses conclusions définitives ainsi que la réponse du Premier ministre.

Celles-ci montrent qu'aucun fichier structuré et pérenne regroupant des données à caractère personnel de nature ethnique visant, en particulier, les "gens du voyage" n'est mis en œuvre par la gendarmerie nationale.

La Commission a toutefois constaté une méconnaissance de certaines des obligations issues de la loi "Informatique et Libertés" lors du traitement par la gendarmerie nationale de données à caractère personnel dans le cadre de ses activités de renseignement. Ainsi, la transmission par messagerie électronique de données concernant les "gens du voyage", recueillies sur le terrain par les unités territoriales, constitue un traitement au sens de la loi et devrait faire l'objet de formalités auprès de la CNIL lorsqu'elles sont conservées par les personnels du STRJD ou de l'OCLDI.

Par un courrier du 18 janvier 2011, le cabinet du Premier ministre à indiqué prendre les mesures nécessaires à la régularisation des pratiques de la gendarmerie nationale au regard de la loi informatique et libertés.

A ce titre, un décret n°2011-340 du 29 mars 2011 portant création du fichier GIPASP (gestion de l'information et la prévention des atteintes à la sécurité publique), pris après avis de la CNIL, régularise le traitement du renseignement de sécurité publique au sein de la gendarmerie nationale.

Le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne a été publié hier au Journal Officiel sans l'avis de la CNIL rendu le 20 décembre 2007. Cet avis a été rendu sur le fondement de l’article 11-4°a) de la loi informatique et libertés. Dans ce cas, l’avis de la CNIL n’est pas systématiquement publié.

Notre Commission a décidé de publier cet avis sur son site. Délibération n°2007-391 du 20 décembre 2007 portant avis sur le projet de décret pris pour l’application de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, et relatif à la conservation des données de nature à permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne.

La CNIL a adopté, le 10 mars 2011, une nouvelle autorisation unique . Celle-ci concerne les dispositifs biométriques reposant sur la reconnaissance de l’empreinte digitale pour le contrôle de l’accès aux ordinateurs portables professionnels.

Par une délibération en date du 10 mars 2011, la Commission a adopté une autorisation unique (AU 27) relative au contrôle de l’accès aux ordinateurs portables professionnels utilisant un dispositif de reconnaissance d’empreintes digitales intégré.

La Commission a considéré que de tels dispositifs pouvaient être assimilés à des supports individuels puisque les ordinateurs portables doivent être sous le contrôle exclusif et personnel de l’utilisateur à qui il a été confié.

La Commission rappelle aux organismes qui utilisent les empreintes digitales pour identifier les utilisateurs de PC portables leurs obligations déclaratives. Si leur dispositif est conforme à l’AU 27, ils doivent effectuer un engagement de conformité sur le site de la CNIL.

L’AU 27 ne concerne pas les traitements :
• mis en œuvre pour le compte de l’Etat,
• dont les utilisateurs sont des mineurs,
• permettant d’autres finalités que le contrôle d’accès à l’ordinateur portable (ex : contrôle des horaires),
• utilisant des lecteurs d’empreintes non intégrés à l’ordinateur portable.

Dans ces hypothèses, les responsables des traitements doivent déposer à la CNIL une demande d’autorisation spécifique.

Le parquet général près la Cour de cassation s'est déclaré, le 8 mars, favorable à l'inscription à l'état civil français des enfants nés de mères porteuses à l'étranger. Jusqu'à présent, le ministère public s'y était toujours opposé.

Depuis dix ans, Sylvie et Dominique Mennesson, à l'origine de ce dossier, mènent un combat judiciaire acharné pour faire inscrire à l'état civil français leurs jumelles, nées en 2000 d'une mère porteuse américaine. Désignés comme les parents outre-Atlantique, les époux Mennesson, de retour en France, se sont heurtés à la justice, qui a cherché à faire annuler la transcription sur les registres de l'état civil français, au motif que la gestation pour autrui (GPA) est illégale dans notre pays. En décembre 2005, le tribunal de grande instance de Créteil avait jugé cette demande irrecevable, ce qui avait été confirmé le 25 octobre 2007 par la cour d'appel de Paris. Mais le 17 décembre 2008, la Cour de cassation avait donné raison au ministère public et invalidé la transcription des actes.

Il clarifie le type de données que les prestataires de l’internet doivent détenir. Le texte commence par énumérer les informations que les fournisseurs d’accès doivent stocker pour chaque connexion de leurs abonnés. Il prévoit ensuite celles que les hébergeurs doivent conserver pour chaque opération de création de contenus. Les FAI et les hébergeurs sont par ailleurs tenus de détenir un certain nombre d’informations fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte. Cette obligation ne concerne que les informations que ces professionnels collectent habituellement. Et quand ces opérations sont effectuées à titre onéreux, les données liées au paiement doivent être également conservées.

Le texte définit par ailleurs les contours de la notion de création de contenu : elle comprend les opérations de création initiale, de modifications des contenus et des données liées aux contenus et de suppression. Le décret apporte aussi des précisions quant au point de départ du délai de conservation d’un an.

Ce décret très attendu va mettre fin aux désaccords entre juges du fond et des référés sur l’étendue de cette obligation : la cour d'appel de Paris en référé était restée minimaliste sur les données que l’hébergeur devait fournir alors qu’un jugement au fond du TGI de Paris s’était appuyé sur les obligations d’identification qui pèsent sur l’éditeur de contenus.

Source