jeton de monnaie électronique [PROJET de Règlement MICA du 24 septembre 2020 (Markets In Crypto-Assets)] :
un type de crypto-actif dont l’objet principal est d’être utilisé comme moyen d’échange et qui vise à conserver une valeur stable en se référant à la valeur d’une monnaie fiat qui a cours légal.
Il est difficile, pour les juristes comme pour les professionnel(le)s du numérique et de la sécurité des systèmes d’information de s’y retrouver dans le maquis des définitions légales, en vigueur ou à venir. Le dictionnaire LEGAL que nous vous proposons inclut les définitions des projets de Règlement et de Directive UE (très nombreuses mais pas toujours pertinentes…) et certaines définitions propres au droit français. Lorsque nos lois sont muettes, nous vous proposerons des définitions issues de notre pratique contractuelle.
Tapez un mot clé, un numéro de Directive/Règlement UE ou cherchez par ordre alphabétique : vous devriez trouver une définition légale.
Et à partir d’une définition, cliquez sur le lien qui vous est proposé pour accéder au texte légal qui vous intéresse.
vulnérabilité [ANSSI Référentiel PRIS v2 du 2 août 2017 (Prestataire de Réponse aux Incidents de Sécurité)] :
faiblesse d’un bien ou d’une mesure pouvant être exploitée par une menace ou un groupe de menaces.
—> à rapprocher de la définition de « vulnérabilité » [PROJET de Directive NIS2 du 16 décembre 2020 (Network Information Security)] :
une faiblesse, une susceptibilité ou la faille d’un bien, d’un système, d’un processus ou d’un contrôle qui peut être exploitée par une cybermenace.
mesures organisationnelles [ANSSI Référentiel « RGS » du 13 juin 2014 (Référentiel Général de Sécurité)] :
organisation des responsabilités (habilitation du personnel, contrôle des accès, protection physique des éléments sensibles…), gestion des ressources humaines (affectation d’agents responsables de la gestion du système d’information, formation du personnel spécialisé, sensibilisation des utilisateurs).
compromission [proposition de clause contractuelle v03-2022] :
désigne toute exploitation par un tiers d’une Vulnérabilité et/ou d’un Malware (i) qui porte atteinte au fonctionnement attendu par le PRESTATAIRE du Service ou du Logiciel et/ou du Système d’Information d’une partie; et (ii) qui est susceptible de constituer un délit ou un crime (par exemple une atteinte à un système de traitement automatisé de données au sens des articles 323-1 à 323-3 du Code pénal). Toute Compromission avérée et documentée, par exemple via des Traces, doit faire l’objet d’une information par la partie qui le subit au profit de l’autre. Les actions de remédiation aux Compromissions (appréciation de criticité, mise en œuvre de Correctifs, etc.) sont définies dans les obligations de Maintenance à la charge du PRESTATAIRE.
incidents affectant le fonctionnement ou la sécurité des systèmes d’information [d’importance Vitale] [article L.1332-6-2 Code de la défense]
Les opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 [opérateurs d’Importance Vitale] informent sans délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité des systèmes d’information mentionnés au premier alinéa de l’article L.1332-6-1 [Système d’Information d’Importance Vitale].
intégrité [cité à l’article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :
1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
|
a) |
la pseudonymisation et le chiffrement des données à caractère personnel; |
|
b) |
des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; |
|
c) |
des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique; |
|
d) |
une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. |
2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.
3. L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.
4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre.
