Impact de la directive NIS sur les fournisseurs de services cloud

Eric Le Quellenec animera le 19 mai 2021 (9H – 11H) un petit déjeuner-débat en mode distanciel consacré à l’impact de la directive NIS sur les fournisseurs de services cloud (Inscription gratuite).

La directive « Network and Infomation Security » sur la sécurité des réseaux et des systèmes d’information, mieux connue sous l’appellation « directive NIS » est la première législation européenne sur la cybersécurité. Elle prévoit en effet des mesures juridiques pour augmenter le niveau général de cybersécurité dans l’UE.

Transposée en droit français par la Loi n° 2018-133 du 26 février 2018, elle a un impact très direct sur les conditions dans lesquelles s’inscrivent désormais les services liés au cloud computing.

Les fournisseurs de services cloud directement impactés

Les entreprises du cloud computing sont des fournisseurs de service numérique. Ils permettent en effet « l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées » (L. 2018-133 précitée, art. 10 à 15).

Cela implique d’identifier les risques qui menacent la sécurité de ces réseaux et systèmes d’information et de prendre les mesures techniques et organisationnelles nécessaires et proportionnées pour gérer ces risques.

L’utilisation du cloud, en raison du recours à des prestataires externes, impliquait déjà des problématiques de maîtrise des données, de réversibilité, de sécurité informatique et de souveraineté.

Avec la directive NIS, l’obligation de sécurité implique pour les fournisseurs de services cloud d’apporter davantage de garanties :

identifier les risques qui menacent la sécurité de ces réseaux et systèmes d’information et
prendre les mesures techniques et organisationnelles nécessaires et proportionnées pour gérer ces risques.

Les mesures de sécurité à mettre en œuvre

Ces mesures de sécurité prennent notamment en considération :

la sécurité des systèmes et des installations,
la gestion des incidents,
la gestion de la continuité des activités et des services,
le suivi, l’audit et le contrôle ainsi que
le respect des normes internationales

Pour le client d’un service cloud, tout doit être mis en œuvre pour qu’une altération ou interruption de service ait un impact limité.

La loi prévoit donc une obligation lourde pour le prestataire cloud concernant les mesures techniques et organisationnelles à prévoir. Ces mesures de sécurité doivent correspondre à l’état de l’art ; mais rien n’empêche par contrat de décrire précisément les outils et le niveau de sécurité attendu.

Les parties pourront également anticiper les futures évolutions de la législation, la directive NIS2 étant déjà annoncée !

Inscrivez-vous à la visioconférence qui se déroulera le mercredi 19 mai 2021 de 9h à 11h (gratuit).

Pour y assister, enregistrez-vous en renseignant les champs marqués d’un (*) :

Informations petit-déjeuner débat :
Date : 19-05-2021
Thème : « Impact de la directive NIS sur les fournisseurs de services cloud »
Encadré par : Eric Le Quellenec
Domaine technique : Informatique et Technologie
Domaine juridique : Informatique
Format de conférence : Distanciel

Formulaire d'inscription
Civilité
Nom*
Prénom*
Fonction*
Organisme*
Adresse
Code postal
Ville
Tél mobile
Tél fixe
Mél*
Domaine d'activité*
Présentiel/Distanciel
Présentiel/Distanciel :	Distanciel
S'abonner au petit-déjeuner débat
S'abonner à la lettre JurisTendances Télécoms, Informatique & Libertés
(*) Champs obligatoires

Le cabinet Alain Bensoussan Selas, responsable du traitement, met en oeuvre un traitement de données à caractère personnel ayant pour finalités l'organisation, la gestion, l'inscription ou le désabonnement aux petits-déjeuners débats qu'il organise, l'abonnement ou le désabonnement à ses lettres d'information, la communication sur des événements en relation avec l'activité du cabinet, la prospection et l'animation.

Les traitements mis en oeuvre pour réaliser ces finalités sont fondés sur l'intérêt légitime du cabinet de mettre en oeuvre de telles activités. Les données collectées via ce formulaire sont facultatives à l'exception de celles identifiées avec un astérisque. Elles sont destinées aux personnels du cabinet habilités ainsi qu'à ses prestataires sous-traitants.

Elles sont conservées :

- 3 ans à compter du dernier contact entrant de votre part si vous n'êtes pas par ailleurs référencé comme interlocuteur client ;
- en cas d'abonnement à une lettre d'information pendant la durée de l'abonnement ;
- si vous êtes interlocuteur d'un client du cabinet, pendant la durée de la relation augmentée de 3 ans.

Dans les conditions définies par la loi Informatique et libertés et le règlement européen sur la protection des données, les personnes physiques disposent d’un droit d’accès aux données les concernant, de rectification, d’interrogation, de limitation, de portabilité et d’effacement.

Les personnes concernées par les traitements mis en œuvre disposent également d’un droit de s’opposer à tout moment, pour des raisons tenant à leur situation particulière, à un traitement des données à caractère personnel ayant comme base juridique l’intérêt légitime du cabinet, ainsi que d’un droit d’opposition à la prospection commerciale.

Elles disposent également du droit de définir des directives générales et particulières définissant la manière dont elles entendent que soient exercés, après leur décès, les droits mentionnés ci-dessus par courrier électronique au Délégué à la protection des données à l’adresse suivante : dpo@alain-bensoussan.com ou par courrier postal à Alain Bensoussan Selas, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris, en justifiant de leur identité par tout moyen.

Enfin, vous avez le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés, autorité de contrôle en charge du respect des obligations en matière de protection des données à caractère personnel.

L’article Impact de la directive NIS sur les fournisseurs de services cloud est apparu en premier sur Lexing Alain Bensoussan Avocats.