tiers prestataire de services informatique [PROJET de Règlement DORA du 24 septembre 2020]

tiers prestataire de services informatique [PROJET de Règlement DORA du 24 septembre 2020 pour le secteur financier (Digital Operational Resilience Act)] :

une entreprise qui fournit des services numériques et de données, y compris les fournisseurs de services d’informatique en nuage, de logiciels, de services d’analyse de données, de centres de données, mais à l’exclusion des fournisseurs de composants matériels et des entreprises agréées en vertu du droit de l’Union qui fournissent des services de communications électroniques au sens de l’article 2, point 4), de la directive UE « CCEE3 n° 2018/1972 du 12 décembre 2018 « Code des Communications Electroniques Européen ».

Partagez sur

Il est difficile, pour les juristes comme pour les professionnel(le)s du numérique et de la sécurité des systèmes d’information de s’y retrouver dans le maquis des définitions légales, en vigueur ou à venir. Le dictionnaire LEGAL que nous vous proposons inclut les définitions des projets de Règlement et de Directive UE (très nombreuses mais pas toujours pertinentes…) et certaines définitions propres au droit français. Lorsque nos lois sont muettes, nous vous proposerons des définitions issues de notre pratique contractuelle.

Tapez un mot clé, un numéro de Directive/Règlement UE ou cherchez par ordre alphabétique : vous devriez trouver une définition légale.

Et à partir d’une définition, cliquez sur le lien qui vous est proposé pour accéder au texte légal qui vous intéresse.

A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
Generic selectors
Exact matches only
Cherchez dans le titre
Cherchez dans le contenu
Post Type Selectors

service de coffre-fort numérique [Loi République Numérique n°2016-1321 du 7 octobre 2016] :

un service de coffre-fort numérique est un service qui a pour objet :

1) La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l’exactitude de leur origine ;

2) La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l’utilisateur ;

3) L’identification de l’utilisateur lors de l’accès au service par un moyen d’identification électronique respectant l’article L. 136 ;

4) De garantir l’accès exclusif aux documents électroniques, données de l’utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de service de coffre-fort numérique, explicitement autorisés par l’utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l’utilisateur et après avoir recueilli son accord exprès dans le respect de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

5) De donner la possibilité à l’utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d’origine, dans des conditions définies par décret.

Le service de coffre-fort numérique peut également proposer des services de confiance au sens du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/ CE.

Ce service de coffre-fort numérique peut bénéficier d’une certification établie selon un cahier des charges proposé par l’autorité nationale de la sécurité des systèmes d’information après avis de la Commission nationale de l’informatique et des libertés et approuvé par arrêté du ministre chargé du numérique.

Les modalités de mise en œuvre du service de coffre-fort numérique et de sa certification par l’Etat sont définies par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés.

Partagez sur

résilience [wikipédia] :

« Résilience » désigne originellement la résistance d’un matériau aux chocs ; (le « fait de rebondir », du latin resilientia, de resiliens), définition ensuite étendue à la capacité d’un corps, d’un organisme, d’une espèce, d’un système, d’une structure à surmonter une altération de son environnement.

Ce concept est utilisé dans plusieurs contextes : …

  • en informatique, la résilience est la capacité d’un système ou d’une architecture réseau à continuer de fonctionner en cas de panne ;
  • dans le domaine de la cybersécurité, la cyber résilience est la capacité d’un système à assurer en permanence les fonctionnalités prévues malgré des cyber-événements indésirables ;
  • dans le domaine des télécommunications, la résilience des réseaux de télécommunication désigne le fait de pouvoir garantir aux utilisateurs d’un réseau de recevoir les services téléphoniques même lorsqu’une ligne ou un élément du réseau est hors d’usage ;

Partagez sur

stratégie nationale en matière de sécurité des réseaux et des systèmes d’information [Directive n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] :

un cadre prévoyant des objectifs et priorités stratégiques en matière de sécurité des réseaux et des systèmes d’information au niveau national.

Partagez sur

perte [de données à caractère personnel] [cité à l’article 32 « sécurité du traitement » Règlement RGPD n°2016/679 du 27 avril 2016] :

2 – Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite ».

—> NDLR : définition de « violation » de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

 

Partagez sur