17. 09h15 – 10h00 - TABLE RONDE
Nouveau modèle pour les DSI,
mais aussi pour les éditeurs
avec
Pierre Calais, Membre du Syntec Numérique
Dominique Bayle, DSI de l’ICM, CHU Pitié-Salpêtrière
Gérard Russeil, DG de Chorégie et pilote du groupe de travail Saas au CIGREF
18. 10h00 – 10h20 - Avis d’expert
Évolution ou révolution pour la DSI ?
avec
Cédric Jean, Directeur commercial d’Agarik
Joël Bentolila, DSI TalentSoft
20. Evolution ou révolution ?
nos 10 années d'expérience
2006 2011
Rachat de Soft2You Lancement de l’offre
1er ASP français CloudArchitek
Voyage dans le Cloud
2002 2010 2011 - 2012
Lancement de l’offre Lancement de l’offre PaaS métier
ROD Mycloudmaker.com
(Ressource On Portail IaaS en ligne
demand)
20
22. Le groupe TalentSoft
• Leader européen de la Gestion Intégrée des
+ 2 de millions Talents et des Compétences en mode SaaS
d’utilisateurs • No 1 en France des éditeurs en mode SaaS
10 millions de candidats • 1ère solution de gestion des talents optimisée
dans 100 pays pour le Cloud
• 25% du CAC 40
• 100 collaborateurs dédiés
• + 300 consultants certifiés TS dans le monde
Paris
Londres
Mannheim 22
26. 10h50 – 11h10 - Avis d’expert
Comment l’entreprise peut-elle bétonner
un contrat SaaS ?
par
Maître Garance Mathias, avocate à la Cour
27. LE SAAS
Comment l’entreprise peut-elle
bétonner un contrat SAAS ?
Cabinet d’Avocats MATHIAS
9 rue Notre Dame de Lorette
75009 PARIS
garance@gmathias.com
28. ETAT DES LIEUX
• Le risque légal est la conséquence du risque
opérationnel
• Le risque métier est de fait induit par le risque
informationnel
• La sécurité des systèmes d’information vise 4 grands
objectifs:
• Disponibilité
• Intégrité des données
• Confidentialité
• Preuve
L’évaluation des risques pesant sur les systèmes d’information permet de
réduire les risques métiers et les risques légaux.
29. Définition du Cloud Computing
Le Cloud Computing fait référence à
l’utilisation des capacités de mémoire et de
calcul des ordinateurs et des serveurs
répartis dans le monde entier et liés par un
réseau.
Le Cloud Computing peut donc se définir
comme une accessibilité à des « services »
qui permettent d'accéder à des applications,
une puissance de calcul, des moyens de
stockage, etc.
30. Intérêt du Cloud Computing
L’accès aux données et aux
applications peut ainsi se faire à partir
de n’importe quel périphérique
connecté.
Permet de s’affranchir des contraintes
traditionnelles et d’avoir une approche
modulaire selon le besoin.
31. Les composantes du Cloud
Computing
De manière générale, les solutions Cloud
Computing reposent sur des technologies
de virtualisation et d’automatisation.
Le Cloud Computing peut être représenté
en trois composantes principales dont il
est indifféremment l’une, les deux ou
encore les trois combinées: le PaaS, le
IaaS et le SaaS.
32. Le SaaS
Sofware as a Service:
Il s'agit de la mise à disposition d'un logiciel, non pas sous la
forme d'un produit que le client installe en interne sur ses
serveurs mais en tant qu'application accessible à distance
comme un service, par le biais d'Internet et du web.
Les clients payent pour utiliser ces applications.
L'utilisation reste transparente pour les utilisateurs qui ne se
soucient ni de la plate-forme, ni du matériel qui sont mutualisés
avec d'autres entreprises.
Les principales applications actuelles de ce modèle sont la
relation client (CRM), la vidéoconférence, la gestion des
Ressources Humaines, etc.
34. Les caractéristiques clés du SaaS
Différences avec les solutions informatiques
traditionnelles:
des services à la place de produit technologiques
avec mise à jour en continue et automatique;
un self-service et un paiement à l’usage (en fonction
de ce que l’on consomme), ce qui induit des
économies budgétaires conséquentes;
une mutualisation et une allocation dynamique de
capacité (indépendant de toutes contingences
matérielles, logicielles).
35. Les caractéristiques clés du SaaS
Les utilisateurs restent propriétaires des
données qui y sont hébergées.
En revanche, ils ne sont pas propriétaires
des applications ou de l’architecture qui
permet leur utilisation ou leur
hébergement.
36. Enjeux juridiques du SaaS
Contrôle, sécurité et traçabilité des données:
Nécessaire mise en place de procédures d'habilitation
et de contrôle d'accès aux données.
Les entreprises doivent donc définir clairement leur
rôle et responsabilité, tout en recherchant des
solutions leur permettant de sécuriser l'externalisation
de leurs données.
Le contrat Cloud doit aborder la responsabilité de
chaque partie et définir le périmètre de la prestation.
37. Les risques juridiques du SaaS
L’externalisation est un choix stratégique de l’entreprise.
Ce choix doit prendre en compte les règles juridiques
applicables
Notamment celles concernant les données à caractère
personnel.
La loi n°78-17 du 6 janvier 1978 dispose en son article 2 que
« Constitue un traitement de données à caractère personnel toute
opération ou tout ensemble d'opérations portant sur de telles
données, quel que soit le procédé utilisé, et notamment la collecte,
l'enregistrement, l'organisation, la conservation, l'adaptation ou la
modification, l'extraction, la consultation, l'utilisation, la
communication par transmission, diffusion ou toute autre forme de
mise à disposition, le rapprochement ou l'interconnexion, ainsi que
le verrouillage, l'effacement ou la destruction »
38. La problématique des données
personnelles
D'autant plus importante que les nouvelles
dispositions issues de l'ordonnance du 24 août
2011 transposant le paquet télécoms impliquent
une protection renforcée de la vie privée et, plus
précisément, des données personnelles.
Désormais, l'article 38 de l'ordonnance prévoit
une procédure spécifique de notification à la Cnil
et à l'utilisateur en cas de « faille de sécurité »
39. Les failles de sécurité
Article 38 de l’ordonnance du 24 août 2011 : l’obligation d’une notification des failles de sécurité
« En cas de violation de données à caractère personnel, le fournisseur de services de communications
électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et des
libertés. Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée
d'un abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai,
l'intéressé. »
Notion de « fournisseur de services de communications électroniques »?
Nécessaires précisions par les Tribunaux.
Exceptions:
« La notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire
si la Commission nationale de l'informatique et des libertés a constaté que des mesures de protection
appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à
toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite
violation. »
Sanctions en cas de violation de l’obligation de notifications du ressort de la CNIL:
150.000 €
300.000 € en cas de récidive
Risque d’image:
Possibilité de publication de la décision de la CNIL
40. Une solution: la
contractualisation
Cabinet d’Avocats MATHIAS
9 rue Notre Dame de Lorette
75009 PARIS
garance@gmathias.com
41. Négociations et sensibilisation aux
enjeux
La négociation contractuelle est impérative et requiert l'intervention
du juriste dès la phase de conception du projet Cloud et ce, afin de
circonscrire le périmètre de responsabilité.
L'entreprise est chargée de la protection de ses informations qui
constituent une valeur patrimoniale, convoitée par ses concurrents.
La nouvelle menace vise également l'intégrité et l'authentification de
l'identité. Dans ce contexte, outre la négociation du contrat,
l'entreprise doit sensibiliser son personnel à ces nouveaux risques.
Le Cloud Computing devenant une solution incontournable au sein
de l'entreprise, la protection des données, de quelque nature
qu'elles soient, passe obligatoirement par une responsabilisation et
une formation des utilisateurs.
En effet, dans ce domaine, la prévention s’avérera beaucoup plus
constructive pour l'entreprise que des éventuels contentieux.
42. Contexte international mutualisé
Le contrat SaaS nécessite la rédaction de
contrats:
afin d'appréhender les responsabilités de chacun
des intervenants;
ainsi que la prise en compte des formalités
imposées par la CNIL.
43. La notion de contrat
Différentes possibilités: mise à disposition à distance de
matériel:
Applications (SaaS)
Simplicité: un contrat unique / pas de gestion
d’ensembles contractuels lourds (licence, maintenance,
achat/crédit-bail, etc.)
Dangers du contrat de prestation de services:
Pas de régime légal supplétif (garanties, etc.)
Absence d’obligations de résultat et de conseil renforcé
Nécessaire exhaustivité du contrat:
Clauses juridiques (obligations de résultat et de conseil) et
opérationnelles (intégrité des données, conformité des traitements,
réactivité de la maintenance, etc.)
44. Le contrat de SaaS
Le contrat devra avant tout fixer les
frontières de la responsabilité de chacun.
Cette répartition sera définie notamment
au regard des documents réalisés en
amont du projet comme le cahier des
charges ou l'expression des besoins tant
fonctionnels que techniques du client
(responsable du traitement).
45. Délimitation de la prestation dans le cadre
contractuel
Nécessité d’une description exhaustive de la prestation
Ne pas se limiter à une expression de besoins fonctionnels
Mentionner les capacités de stockage et de traitement, la bande passante, etc.
Anticiper l’évolution du service : évolution des besoins du client, des logiciels mis
à disposition, etc.
Remarques :
Définir le processus de retour des données et les événements initiateurs
En cas d’applications stratégiques ou d’éditeurs vulnérables : mise en séquestre
des codes sources pour assurer la continuité de l’exploitation par le client en cas
de défaut du prestataire
Prévoir une garantie maison-mère ou une garantie bancaire à première
demande en cas d’envoi d’informations sensibles dans le Cloud
46. Les contrats dits « miroirs »
En outre, des contrats dits « miroirs » devront
être mis en place avec les sous-traitants.
Au sein de ses contrats, les contraintes et les
engagements assumés par le prestataire
devront être repris dans leur intégralité.
Les sous-traitants devront également assister
aux réunions des différents comités pilotant le
projet Cloud.
47. L’engagement de disponibilité et de
performance
L'engagement de disponibilité et de performance du
prestataire est un enjeu conséquent en terme de
responsabilité.
Plus précisément, cet engagement permet de mettre en
place des niveaux de service (délais d'intervention,
garantie de service, etc.) avec des éventuelles pénalités
à la charge du prestataire en cas de manquement à son
obligation.
Ces niveaux de service sont également considérés
comme des outils permettant, au fil de la relation
contractuelle, d'améliorer le service fourni par le
prestataire.
48. La sécurité et la confidentialité des
données
La sécurité et la confidentialité des données emporte des enjeux
considérables.
Il s'avère nécessaire de les aborder dans le contrat, notamment
pour ce qui est de la confidentialité des données personnelles et du
secret médical ou bancaire puisque dans ces hypothèses
particulières, il s'agit d'obligations imposées par la loi.
Le responsable du traitement devra donc s'assurer via les clauses
contractuelles – et il en va de sa responsabilité – que le prestataire
de Cloud respectera son obligation de confidentialité et de sécurité.
Il sera également nécessaire de délimiter strictement les cas de
force majeure (à titre d'illustration, un prestataire peut souhaiter
inclure les pannes de réseaux, d'électricité, etc.).
De même, une clause prévoyant l'obligation pour le prestataire de
Cloud de contracter une assurance pourra s'avérer intéressante en
cas de pertes d'exploitation pour le responsable du traitement.
49. La problématique des données
personnelles
Identification des parties et responsabilité
Il est indispensable d'identifier les parties et de les
qualifier en termes de responsabilité.
Le prestataire de Cloud Computing doit-il être considéré comme
un sous-traitant ou comme le responsable du traitement?
Le responsable du traitement se caractérise par son autonomie
dans la mise en place et la gestion du traitement, c'est la personne
qui détermine les finalités et les moyens du traitement et ce
conformément à l'article 3 de la loi du 6 janvier 1978.
Cette qualification va entraîner un engagement de responsabilité
différent pour le prestataire ou pour l'utilisateur.
Si des services supplémentaires sont fournis par l'hébergeur, lui
donnant ainsi la faculté de contrôler la manière dont les données
personnelles sont traitées, cela pourrait avoir pour conséquence de
modifier son statut de sous-traitant au profit de celui de responsable
de traitement.
50. La problématique des données
personnelles
Le responsable du traitement et le sous-traitant
La responsabilité première en matière de données personnelles
(sécurité, confidentialité, etc.) pèse sur le responsable du traitement
et non sur le sous-traitant.
Le sous-traitant, en application de l'article 35 de la loi n°78-17 du 6
janvier 1978, n'est tenu que par des obligations contractuelles de
confidentialité et de sécurité visant à protéger les données
personnelles contre la destruction accidentelle ou illicite, l'altération,
la diffusion ou l'accès non autorisés.
Article 35 de la loi du 6 janvier 1978 : « (...) Le contrat liant le sous-
traitant au responsable du traitement comporte l'indication des
obligations incombant au sous-traitant en matière de protection de la
sécurité et de la confidentialité des données et prévoit que le sous-
traitant ne peut agir que sur instruction du responsable du traitement. »
51. La problématique des données
personnelles
Le responsable du traitement et le sous-traitant
Le droit français à l'instar de la majorité des lois
nationales relatives à la protection des données
personnelles au sens de la directive n° 95/46/CE
du 24 octobre 1995, considère en principe ce
prestataire tiers (hébergeur du système de
Cloud Computing) comme un sous-traitant des
données agissant conformément aux
instructions d'un responsable des données.
52. Les critères dégagés par la CNIL
Le groupe de travail de la CNIL, afin de faciliter l'appréciation de la
fonction de prestataire, a dégagé plusieurs critères. Le faisceau
d'indices élaboré par la CNIL repose sur les critères suivants:
le niveau des instructions préalables données par le responsable du
traitement.
Il s'agit d'apprécier si le niveau d'instruction donné par le client au prestataire
dans le cadre du contrat d'externalisation est général ou précis.
le niveau du contrôle de l'exécution des prestations.
Il s'agit de vérifier le degré de supervision du client en tant que responsable
de traitement sur la prestation de son prestataire.
la transparence.
Il s'agit d'apprécier le degré de transparence du responsable de traitement
au niveau de la prestation de service.
l'expertise.
Il s'agit d'apprécier le degré d'expertise du prestataire par rapport au client.
53. Les critères dégagés par la CNIL
Ces critères doivent être appréciés dans leur
ensemble: seule la réalisation de plusieurs de
ces critères permettra de qualifier le prestataire.
Il convient d'aborder plus particulièrement la
question du transfert des données personnelles
dans le Cloud.
En effet, l'article 5 de la loi de 1978 modifiée soumet
à la loi française les traitements de données à
caractère personnel dont le responsable du
traitement est établi sur le territoire français ou dont
les moyens de traitement sont situés sur le territoire
français.
54. Les grands principes du transfert
des données
Dans le cadre de l'externalisation, le responsable du traitement devra donc
s'assurer que le transfert de ses données dans ou via un pays s'effectue
dans un pays ayant un niveau de protection adéquat. Ce transfert doit
s’opérer dans le cadre des grands principes prévus par la loi Informatique et
Libertés :
les transferts en dehors de l’Union européenne sont interdits,
les exceptions à cette interdiction sont prévues par l’article 69 de la loi : ainsi, les
transferts en dehors de l’Union européenne sont autorisés si le pays ou
l’entreprise destinataire assure un niveau de protection adéquat aux données
transférées. Cette protection adéquate peut être apportée de plusieurs
manières :
légalement, si le pays destinataire des données personnelles a une législation
reconnue par la commission européenne comme offrant une protection adéquate ,
de manière contractuelle, par la signature de Clauses Contractuelles Types, adoptées
par la Commission européenne, entre l’entité exportatrice et l’entité importatrice de
données personnelles, ou par l’adoption de Règles Internes d’entreprises (Binding
Corporates Rules), qui constituent un code de conduite en matière de transferts de
données personnelles depuis l’Union européenne vers des pays tiers ou,
lorsque l’entité importatrice est basée aux Etats-Unis et qu’elle adhère aux principes du
Safe Harbor.
55. Le niveau de protection suffisante
Article 68 de la loi Informatiques et Libertés : « Le
responsable d'un traitement ne peut transférer des
données à caractère personnel vers un Etat
n'appartenant pas à la Communauté européenne que si
cet Etat assure un niveau de protection suffisant de la
vie privée et des libertés et droits fondamentaux des
personnes à l'égard du traitement dont ces données font
l'objet ou peuvent faire l'objet.
Le caractère suffisant du niveau de protection assuré par
un Etat s'apprécie en fonction notamment des
dispositions en vigueur dans cet Etat, des mesures de
sécurité qui y sont appliquées, des caractéristiques
propres du traitement, telles que ses fins et sa durée,
ainsi que de la nature, de l'origine et de la destination
des données traitées. »
56. Les transferts dans les situations
exceptionnelles
L’article 69 permet également d’opérer des transferts dans des situations
exceptionnelles.
Ces autres dérogations s’opèrent néanmoins avec un contrôle strict de la
CNIL qui délivre, le cas échéant, une autorisation.
A titre d’illustration, l’exception en cas de consentement exprès de la personne
est prévue dans le cadre de l’article 69.
Toutefois, la CNIL, se fondant sur la définition posée par la directive, rappelle
que ce consentement exprès doit être une manifestation positive de volonté (ce
qui exclut, par exemple, de recueillir le consentement des personnes sur un site
avec une case pré-cochée).
Ce consentement doit également être donné et pouvoir être retiré librement, ce
qui a pour conséquence d’invalider, en principe, le consentement de salariés
donné à l’employeur, compte tenu de la dépendance hiérarchique dans laquelle
ils se trouvent.
Le consentement de la personne doit enfin être spécifique. Ainsi, seront
considérés comme non valables les consentements donnés par anticipation à
des transferts futurs non définis. Par ailleurs, l’intégralité des informations
disponibles concernant le niveau de protection assuré par le pays destinataire
devra être communiquée aux personnes concernées.
57. Les autorisations et informations
préalables au transfert
Ces procédures de transfert doivent
préalablement:
recueillir l'autorisation de la CNIL;
Et être soumises pour information aux
institutions représentatives du personnel.
58. Les éventuelles réglementations
sectorielles
Indépendamment de respecter les procédures,
des réglementations sectorielles peuvent
permettre à des autorités nationales locales
d'accéder aux données.
Aux États-Unis, le Patriot Act permet au
gouvernement américain d'accéder à toute donnée
stockée sur son territoire, en cas d'urgence ou en cas
de nécessité pour la sécurité nationale.
59. Sécurité (conservation de la chose)
Le prestataire doit conserver la chose, sans vol, perte ou
détérioration
Nécessaire obligation de transparence
Informations techniques notamment la localisation du serveur
Informations en cas de sous-traitance
Communication des engagements de performance et de sécurité
auxquels le sous-traitant est soumis à l’égard du prestataire
Sécurité physique (surveillance) et logique (anti-virus, cryptage,
etc.)
Détermination des conditions d’archivage
Durée de conservation conformément aux obligations légales
Conditions de conservation
60. L’obligation de conseil
L'entreprise (responsable du traitement) devra mettre en
place des outils nécessaires au bon suivi du projet afin
de ne pas perdre le contrôle des données dont elle
demeure responsable.
Dans ce cadre, il est nécessaire d'insister sur le fait que
le prestataire (hébergeur) est soumis à une obligation de
conseil envers son client, et doit l'informer de tout
manquement par rapport au projet initialement défini.
Cette obligation de transparence doit se retrouver quant
à l'information sur la localisation des données.
61. La propriété intellectuelle
La titularité des droits de propriété devra être clairement
précisée dans le contrat.
Il sera nécessaire d'intégrer une clause de cession des
droits de propriété sur les développements spécifiques
réalisés par le prestataire pour les besoins de
l'entreprise décidant de recourir au Cloud.
Cette cession pourra également concerner les modalités
effectives d'accès par le responsable du traitement aux
codes sources des applications mises en place par le
prestataire à l'occasion d'éventuelles défaillances de ce
dernier.
62. Continuité du service
Définition de la qualité de la prestation de service
Qualité et performance : délai de réalisation des obligations, hors défauts de
connexion), outils de mesure et droit d’audit
Convention de niveau de service (SLA)
Éléments préventifs et curatifs : audit des plans de back up et de continuité
La responsabilité de la connexion
Sur qui porte la responsabilité de la connexion, de sa performance et de sa
sécurité ?
Le prestataire ne pourra exclure sa responsabilité que pour la partie
strictement publique (Internet)
Il incombera au prestataire de sécuriser l’accès (procédures d’alerte et
redondance en cas de panne)
Audit technique et contractuel des solutions de connexions
La phase de test
63. Plan de réversibilité
Organisation du transfert de données vers un tiers prestataire :
TRANSFERABILITE
Organisation du transfert de données chez le client:
REINTERNALISATION
Carence du prestataire
Délais de préavis
Libre choix du client
Coût
Mise à jour régulière du plan de réversibilité tenant compte de
l’évolution du périmètre de la prestation
Transfert de responsabilité
64. La clause de réversibilité
Cette clause de réversibilité doit organiser la possibilité
de revenir à une situation antérieure si celle-ci est
toujours viable.
La conception de la réversibilité doit être envisagée
largement, notamment en prévoyant, le cas échéant, le
transfert du système chez un autre prestataire.
De manière usuelle, la clause de réversibilité est fonction
de la durée du contrat ou de ses modes de résiliation.
À titre d'illustration, cette clause peut être définie sur le
plan technique dans le cadre d'une annexe qui précisera
indépendamment du coût, le format des données et
applications qui seront restituées.
65. Article 97 du Code de Procédure
Pénale
L'article 97 du Code de Procédure Pénale indique que
l'hébergeur doit être en mesure d'extraire de son Cloud
les éléments recherchés ou l'ensemble des informations
concernant un client particulier.
« Lorsqu'il y a lieu, en cours d'information, de rechercher des
documents ou des données informatiques et sous réserve des
nécessités de l'information et du respect, le cas échéant, de
l'obligation stipulée par l'alinéa 3 de l'article précédent, le juge
d'instruction ou l'officier de police judiciaire par lui commis a seul
le droit d'en prendre connaissance avant de procéder à la saisie.
(…) Il est procédé à la saisie des données informatiques
nécessaires à la manifestation de la vérité en plaçant sous main
de justice soit le support physique de ces données, soit une
copie réalisée en présence des personnes qui assistent à la
perquisition. »
66. La compétence territoriale et le
droit applicable au contrat
Le droit choisi et le tribunal compétent doivent
être expressément mentionnés au contrat.
A défaut, en cas de litige, la juridiction
compétente et le droit applicable seront
déterminés par application des règles de droit
international privé.
Ces règles sont d'une grande complexité et leur
application peut difficilement être anticipée, ce
qui génère une insécurité juridique.
67. Le droit applicable au contrat
Même si le bloc européen tend à s'harmoniser, pour
autant, chaque système de droit conserve ses
spécificités.
En effet, les lois impératives, c'est-à-dire celles qui se
superposent aux dispositions du contrat, sont différentes
d'un pays à l'autre.
Aussi, une disposition valable par exemple en droit
anglo-saxon comme une exclusion de responsabilité se
révélera non conforme au droit français.
En outre, la jurisprudence varie d'un pays à l'autre et sa
prise en compte permet de mieux appréhender
l'interprétation du contrat.
68. La compétence territoriale
Dès lors que les parties n'optent pas pour
l'arbitrage, il est indispensable de la mettre en
cohérence avec le droit choisi.
Le choix du droit et de la juridiction résulte d'une
véritable réflexion stratégique, qui commande de
prendre en compte la taille respective des
contractants, l'existence ou non d'implantations
de l'un ou de l'autre dans le pays où la décision
sera rendue et la facilité d'obtention de
l'exéquatur de la décision dans le pays de l'autre
partie.
69. Proposition de
RÈGLEMENT DU
PARLEMENT EUROPÉEN
ET DU CONSEIL
relatif à la protection des personnes physiques à
l'égard du traitement des données à caractère
Cabinet d’Avocats MATHIAS personnel et à la libre circulation de ces données
9 rue Notre Dame de Lorette (règlement général sur la protection des
75009 PARIS
garance@gmathias.com
données)
70. Un champ d’application étendu au-
delà des frontières européennes
Article 3 – Champ d’application territorial : extension du
champ du règlement à tout traitement visant un citoyen
de l’UE, que le responsable du traitement ou le
traitement soit ou non établi sur le sol européen.
abolition de la notion de frontières géographiques dès
lors qu’il s’agit de flux de données
prise en compte explicite des échanges via internet
et de l’utilisation de services basés à l’étranger,
comme des réseaux sociaux, des moteurs de recherche,
etc. qui en cas de litiges se retranchent derrière des
juridictions nationales parfois très laxistes
71. Des définitions élargies
Article 4 - Définitions : renforcement des définitions de la Directive 95/45/EC du 25
octobre 1995.
« ’’personne concernée’’: une personne physique identifiée ou une personne
physique qui peut être identifiée, directement ou indirectement, par des moyens
raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par
toute autre personne physique ou morale, notamment par référence à un numéro
d’identification, à des données de localisation, à un identifiant en ligne ou à un ou
plusieurs éléments spécifiques, propres à son identité physique, physiologique,
génétique, psychique, économique, culturelle ou sociale; ».
Cela fait explicitement rentrer dans le champ du règlement « l’adresse IP », les
« coordonnées GPS », « l’adresse MAC » d’un équipement, etc.
La notion de "consentement" est précisée comme étant « toute manifestation de
volonté, libre, spécifique, informée et explicite par laquelle la personne concernée
accepte, par une déclaration ou par un acte positif univoque, que des données à
caractère personnel la concernant fassent l'objet d'un traitement; ».
Ce consentement ne peut être valable lorsqu’il est donné par un mineur sans l’accord d’un
de ses parents ni lorsqu’il est donné dans le cadre d’une relation déséquilibrée de
dépendance entre la personne concernée et le responsable de traitement (on pense
évidemment à la relation de travail).
Nouvelles définitions : il y a en tout 19 définitions.
72. Des « grands » principes renforcés
et étendus
Article 5 - Principes relatifs au traitement des données à
caractère personnel
1(c) : principe de « minimisation » des données
collectées : les données à caractère personnel doivent
être adéquates, pertinentes et limitées au minimum
nécessaire au regard des finalités pour lesquelles elles
sont traitées
1(f) : principe de « responsabilité » du Responsable de
traitement qui doit veiller à la conformité de chaque
opération de traitement avec les dispositions du présent
règlement et en apporter la preuve .
73. Les droits des personnes
concernées sont complétés
Article 17 - Droit à l'oubli numérique et à l'effacement: introduction
d’une nouvelle vision du droit à l’oubli : la non-diffusion des données
à caractère personnel d’une Personne concernée qui pourra, en cas
de diffusion publique, demander au Responsable de traitement une
suppression des informations concernées ainsi que des copies et
des liens pointant vers ces informations accessibles depuis tout
moteur de recherche.
Article 18 – Droit à la portabilité des données : introduction d’un
droit à la portabilité des données qui doit permettre à la Personne
concernée de pouvoir disposer de ses données dans un « format
électronique structuré » que le Responsable de traitement lui fournit,
sur demande.
74. La protection des données à caractère
personnel par conception et par défaut
devient un pré-requis
Article 23 – Protection des données dès la
conception et protection des données par
défaut: introduction dans les obligations du
Responsable de traitement qui doit dès la
conception d’un traitement inclure les mesures
techniques et organisationnelles nécessaires à
la protection des données à caractère
personnel traitées et, également, mettre à jour et
adapter ces mesures tout au long de l’existence
du traitement.
75. La notification des failles de sécurité devient
obligatoire dans un délai de 24h
Article 31 - Notification à l'autorité de contrôle d'une violation de
données à caractère personnel : en cas d’une « violation de
données à caractère personnel », le Responsable de traitement
doit en informer l’Autorité de contrôle nationale (CNIL) sans
délai et d’une façon générale pas au-delà de 24 h après la
découverte de la défaillance.
Si cette défaillance est susceptible d’affecter les personnes
concernées, alors l’Article 32 - Communication à la personne
concernée d'une violation de données à caractère personnel
dispose que le Responsable de traitement doit aussi en informer les
personnes concernées « sans retard indu ».
76. L’étude d’impact
Article 33 – Analyse d’impact relative à la protection des
données: introduction de la réalisation d’étude
d’impact dans les obligations du Responsable de
traitement lorsque les traitements concernés sont
susceptibles de faire naître des risques particuliers pour
les droits et les libertés des personnes concernées.
Parmi ces traitements à risque figurent :
les traitements de données sensibles
la surveillance des espaces publics
et des traitements utilisés pour faire du profilage automatique.
77. Le « Correspondant Informatique et Libertés »
devient obligatoire et la fonction est renforcée
Article 35 - Désignation du délégué à la protection des
données: confirmation de la fonction de data protection
officer introduite par la Directive et traduite en français
par « Correspondant Informatique et Libertés » (CIL).
Le CIL devient obligatoire dans trois cas :
pour les autorités ou organismes publics;
pour les entreprises employant 250 personnes ou plus;
et pour tout organisme dont les activités de base du responsable
du traitement ou du sous-traitant consistent en des traitements
qui, du fait de leur nature, de leur portée et/ou de leurs finalités,
exigent un suivi régulier et systématique des personnes
concernées.
78. Les transmissions d’informations dans le cadre de
procédures de « discovery » devront recevoir une
autorisation préalable
Article 42 - Disclosures not authorized by
Union law : toutes les demandes de
transmission d’informations à des pays
tiers (non membres de l’UE) dans le cadre
de procédures judiciaires de type
« discovery » ou autres seront soumises à
l’autorisation préalable de l’Autorité de
contrôle nationale (CNIL).
79. Merci pour votre attention !
Questions
Cabinet d’Avocats MATHIAS
9 rue Notre Dame de Lorette
75009 PARIS
garance@gmathias.com
80. 11h10 – 11h30 - Avis d’expert
La DSI fournisseur de services SaaS ?
par
Benoît Huard, Directeur commercial, Navaho
Patrice Salsa, DSI de la CFDT
81. LA DSI FOURNISSEUR DE
SERVICES SAAS
Mardi 13 mars 2012
Benoit HUARD
Navaho est une marque de Risc Group IT Solutions
82. CLOUD = IAAS + PAAS + SAAS
Modèle classique IAAS PAAS SAAS
L’Entreprise
APPLICATION APPLICATION APPLICATION APPLICATION
L’Entreprise
RUNTIMES RUNTIMES RUNTIMES RUNTIMES
INTEGRATION SOA INTEGRATION SOA INTEGRATION SOA INTEGRATION SOA
Partenaire CLOUD
BASE DE DONNEES BASE DE DONNEES BASE DE DONNEES BASE DE DONNEES
Partenaire CLOUD
L’Entreprise
LOGICIEL SERVEUR LOGICIEL SERVEUR LOGICIEL SERVEUR LOGICIEL SERVEUR
Partenaire CLOUD
VIRTUALISATION VIRTUALISATION VIRTUALISATION VIRTUALISATION
MATERIEL SERVEUR MATERIEL SERVEUR MATERIEL SERVEUR MATERIEL SERVEUR
STOCKAGE STOCKAGE STOCKAGE STOCKAGE
RESEAU RESEAU RESEAU RESEAU
Navaho est une marque de Risc Group IT Solutions
83. INFRASTRUCTURE AS A SERVICE (IAAS)
VIRTUALISATION
HYPERVISION
APPLICATION
L’Entreprise
RUNTIMES HÉBERGEMENT
INTEGRATION SOA
BASE DE DONNEES
LOGICIEL SERVEUR SAN ON DEMAND
VIRTUALISATION WAN – MPLS - VPN
MATERIEL SERVEUR
STOCKAGE
ACCÈS INTERNET
RESEAU
Navaho est une marque de Risc Group IT Solutions
84. PLATFORM AS A SERVICE (PAAS)
L’Entreprise
APPLICATION
RUNTIMES
INFOGÉRANCE
INTEGRATION SOA
BASE DE DONNEES
LOGICIEL SERVEUR WEB TECHNOLOGIES
WEB SERVICES
VIRTUALISATION
MATERIEL SERVEUR
STOCKAGE
RESEAU
Navaho est une marque de Risc Group IT Solutions
85. SOFTWARE AS A SERVICE (SAAS)
APPLICATION
MICROSOFT
RUNTIMES
INTEGRATION SOA
CONFIANCE NUMERIQUE
BASE DE DONNEES SIGNATURE ÉLÉCTRONIQUE
HORODATAGE
COFFRE FORT ÉLÉCTRONIQUE
LOGICIEL SERVEUR LETTRE RECOMMANDÉE ELECTRONIQUE
ARCHIVAGE A VALEUR PROBANTE
VIRTUALISATION
TÉLÉPHONIE IP
CENTREX IP
MATERIEL SERVEUR BUSINESS TRUNKING
STOCKAGE
TELESAUVEGARDE
PC / LAPTOP
RESEAU SERVEURS
Navaho est une marque de Risc Group IT Solutions
86. NAVAHO EN
OPÉRATEUR GLOBAL DE SERVICES MANAGÉS
Date Création 1990 Evolution du Chiffre d’Affaire en K€
Activité Fédérateur de services IP
Chiffre d’Affaires 25 M€
Effectif 150
Nombre de clients + 1.200
Nombre de contrats + 3.000
• Certification ISO 9001:2008
• Agrément archiviste intermédiaire SIAF
(Service Interministériel des Archives de France)
Navaho est une marque de Risc Group IT Solutions
87. NOS OFFRES DE SERVICE
Navaho Navaho
Network Hosting
Navaho Navaho
Telephony Collaborative
Navaho Navaho
Backup Digital Trust
Navaho est une marque de Risc Group IT Solutions
90. 11h30 – 12h15 - Table Ronde
La phobie sécuritaire liée au SaaS
est-elle justifiée ?
avec
Mahmoud Denfer, Group Information Security Officer , Vallourec
Jean-Marc Grémy , membre du Clusif
91. 12h15 – 12h35 - Avis d’expert
Mythes et légendes
des aspects financiers du SaaS
par
Laurent Gasser, CEO Revevol
93. The Game Changer in Cloud Business
Mythes et légendes des aspects
financiers du SaaS.
Maitrise des coûts, économies et
retour sur investissement.
Que gagne la DSI, et qu’est-ce qui
profite aux métiers ?
par Laurent Gasser - CEO Revevol
96. Multitenant = la clé des économies
CA= 15 Milliards$ CA= 2 Milliards$
97. Multitenant = la clé des économies
Quelle version avez vous ?
Coût de la prochaine montée de version ?
98. Datacenter - Industrialisation
Google - Microsoft - Amazon : 500 Millions à 1 Milliard$
Apple : 1 Milliard $
Facebook: 600 Millions $
Seul Investissement "privé"
équivalent: NSA aux US
Cyber Security Center
1,5 Milliard $
99. Datacenter - Industrialisation
Comparaison entre 1.000 serveurs et 1.000 parmi 100K serveurs
• Efficiency ratio for Networks = 7,3
• Efficiency ratio for Storage = 5,7
• Efficiency ratio for administration (people/server) = 7,1
101. ROI - Concur - Travel expenses management - Forrester
Payback = 10 mois
102. ROI - Salesforce - CRM - par Nucleus Research
ROI
entre
108% et 216%
Payback period
entre
7 mois et 2 ans
103. Quel poste d'accès = La question des années à venir
Avec quelle politique de BYOD ?
Avec quelle politique de choix ?
104. Maîtrise des coûts ?
Tout en OPEX
Fini les CAPEX
OPEX variable par user
Fini les montées de version
Migration facilitée grâce aux standards du web
Retour sur investissement ?
ROI en mode "green field" sont un acquis
Vos Capex sont ils amortis ?
Votre personnel administrant les infra & applications ?
Gains métiers ?
Evolution plus rapide
Quick win for the business
Quels sont vos temps de réponse aux demandes des
métiers
105. Que gagne la DSI ?
Qu'est ce qui profite aux
métiers ?
106. 12h35 – 12h50 - Conclusion
Le SaaS va-t-il réellement bouleverser le secteur
informatique ?
par
Henry-Michel Rozenblum, Directeur délégué, Eurocloud
108. EuroCloud France est la branche française de
l’organisation européenne EuroCloud, premier
réseau d’acteurs du Cloud en Europe avec une
présence dans 28 pays européens
www.eurocloud.fr
109. EuroCloud France
• Objectif : aider au développement du Cloud en
France
• Des commissions, forces de proposition
• Les Etats Généraux du Cloud, chaque année depuis
2006
• Un lieu de rencontre et de partenariats
109
110. 140 sociétés adhérentes
Hébergeur
Grossistes
Cloud providers
Intégrateurs Editeurs de
Constructeurs
VARs logiciels
SSII Telecom
110
111. Nos initiatives récentes
• Le livre blanc « Le Cloud et la distribution »
• 17 propositions pour « Gagner les 3 batailles de
l’informatique en nuage » remises au ministre Eric
Besson
• Le livre blanc « L’évolution maitrisée vers le
IaaS/PaaS »
111
112. 7èmes Etats Généraux du Cloud : 21
mars
• 5 Conférences
• 12 tables rondes
• 3 moments forts :
– Remise des 6èmes trophées EuroCloud
– Débat UMP - PS sur l’Economie numérique et le Cloud
– Annonce d’un programme très ambitieux en direction de
la « distribution informatique »
• Lieu : CCIP
• Etats-generaux.eurocloud.fr
112
114. Le SaaS va-t-il réellement bouleverser
le secteur informatique ?
Bouleversement ?
Révolution ?
Tsunami ?
114
115. Le SaaS va-t-il réellement bouleverser
le secteur informatique ?
Bouleversement ?
Révolution ?
Tsunami ?
115
116. Evolution
Arrêtons de se faire peur.
Les fondamentaux demeurent.
• Informatique =
– Unités de traitement
– Unités de stockage
– Unités d’interface humaine
116
117. Le « bouleversement » a lieu…
…Mais pas chez vous !
• Regardez ce qui se passe dans les PME /
TPE
• Panique chez les éditeurs de gestion
« traditionnels »
• Grosse fatigue chez les intégrateurs et SSII
117
118. Les éditeurs « métiers »
• Redistribution des cartes
– Disparition
– Rachat
– Réorganisation
• Mondialisation rapide
118
119. Les grands éditeurs « IaaS »
• Font ce qu’ils font
depuis quelques années
• Accélération avec
Microsoft
• Arrivée des Telecom
119
120. Un bug chez les intermédiaires
• Indispensables pour intégrer
• Le dernier kilomètre
• Le chainon manquant au modèle
120
121. Un bug chez les intermédiaires ?
• Indispensables pour intégrer
• Le dernier kilomètre
• Le chainon manquant au modèle
121
122. DSI – D comme Disparition
Combien de fois n’a-t-on pas
prédit la disparition des DSI ?
Cloud could not !
122
123. DSI – I comme Increvable
Vous résistez à tous les virus :
• PC
• Client/serveur
• Internet
• BYOD
123
124. DSI – S comme…Services
Nous ne voyons pas de changement
fondamental de la mission d’un DSI.
• Comparable à un avionneur (r)assembleur
• Penser « en avance de phase » comment
l’informatique peut améliorer le fonction-
nement de l’entreprise
124
125. Ca va devenir méchamment compliqué
• La maîtrise de l’information et non de
l’informatique
• Gérer le savoir partagé
• Société du « Savoir » ou du « voir » ?
125
