Toutes les sources listees ici sont publiques et institutionnelles. Les liens pointent vers la page d'accueil ou la rubrique stable de l'organisme emetteur, jamais vers une URL de document susceptible d'evoluer.
Categorie
Lois et reglements americains
Textes federaux US qui creent une exposition extraterritoriale pour les fournisseurs cloud soumis a la juridiction americaine.
Loi qui autorise les autorites US a exiger d'un fournisseur soumis a leur juridiction la remise de donnees stockees n'importe ou dans le monde.
Outil legal du renseignement americain qui permet, sans mandat individuel, la collecte de communications de personnes non americaines situees hors USA aupres de fournisseurs de services electroniques americains.
Cadre historique du droit d'acces aux donnees stockees par les fournisseurs de communications. Modifie par le CLOUD Act en 2018.
Injonctions administratives du FBI sans controle judiciaire prealable, assorties d'une obligation de silence. Concernent principalement les enregistrements de telecommunications.
Categorie
Reglements europeens
Cadre juridique applicable aux donnees personnelles et aux services numeriques dans l'Union europeenne.
Reglement general sur la protection des donnees, applicable depuis le 25 mai 2018. Encadre tous les traitements de donnees personnelles d'individus situes dans l'UE.
Reglement sur les donnees, adopte fin 2023, qui regit le partage et la portabilite des donnees generees par les objets connectes et les services cloud. Comprend des obligations de switching et de protection contre les transferts illicites.
Reglement sur les marches numeriques, qui encadre les pratiques des grands controleurs d'acces (gatekeepers) du numerique. Vise l'interoperabilite et la limitation des pratiques anti-concurrentielles.
Reglement sur l'identification electronique et les services de confiance. Definit notamment les niveaux de garantie pour la signature electronique, l'horodatage et l'archivage.
Renforce le mandat de l'ENISA et institue un cadre europeen de certification de cybersecurite (base juridique de l'EUCS en preparation).
Categorie
Lois et doctrines francaises
Textes nationaux structurants pour le numerique souverain en France.
Loi fondatrice de la protection des donnees personnelles en France. Modifiee pour s'articuler avec le RGPD depuis 2018. Reste la base juridique nationale et confere ses pouvoirs a la CNIL.
Qualification ANSSI des prestataires de services cloud, version mars 2022. Inclut des exigences explicites d'immunite extraterritoriale et de controle capitalistique europeen.
Circulaire du Premier ministre du 5 juillet 2021. Impose le recours a un service qualifie SecNumCloud pour les donnees les plus sensibles de l'Etat.
Referentiel general de securite applicable aux systemes d'information des autorites administratives, complement transversal des qualifications sectorielles.
Categorie
Jurisprudence europeenne
Decisions structurantes de la Cour de justice de l'Union europeenne sur les transferts internationaux de donnees personnelles.
Invalide l'accord Safe Harbor entre l'UE et les Etats-Unis. Premier signal sur les limites du droit americain au regard du standard europeen de protection des donnees.
Invalide le Privacy Shield et conditionne tout transfert UE-USA via clauses contractuelles types a une analyse d'impact tenant compte du droit americain. Reference incontournable pour les choix cloud depuis 2020.
Categorie
Standards techniques et certifications
Referentiels de securite techniques utilises pour evaluer les fournisseurs sur le critere certifications.
Norme internationale de management de la securite de l'information. Base minimale exigee pour la plupart des marches publics et regules.
Code de bonnes pratiques pour les controles de securite specifiques au cloud computing. Complete ISO 27001 dans le contexte des services cloud.
Schema national espagnol de securite, equivalent fonctionnel des qualifications nationales europeennes. Niveaux Bas, Medio, Alto.
Norme internationale d'audit applicable aux organisations de services, attestant des controles operationnels par un tiers independant.
Rapport d'audit americain sur les controles de securite, disponibilite, confidentialite et integrite des fournisseurs de services. Tres frequent chez les acteurs US et SaaS mondiaux.
Referentiel allemand de l'office federal de la securite des systemes d'information, frequemment utilise comme baseline pour les marches publics allemands.
Certification francaise obligatoire pour heberger des donnees de sante a caractere personnel. Geree par l'Agence du numerique en sante.
Categorie
Sources de donnees publiques
Flux de donnees externes utilises sur NextHop pour enrichir les fiches fournisseurs et les modules d'analyse.
Liste officielle des prestataires qualifies SecNumCloud, HDS, PASSI, PDIS et autres. Mise a jour reguliere par l'agence.
Publications et inventaires de l'agence europeenne de cybersecurite : guides, recommandations, etudes sectorielles.
Taux pivots EUR utilises pour les conversions de prix multi-devises dans le catalogue cloud.
Donnees ouvertes sur l'intensite carbone horaire des reseaux electriques europeens. Servent au calcul d'empreinte environnementale par region.
Decisions, sanctions et recommandations de l'autorite francaise de protection des donnees, mobilisees sur le critere immunite et hebergement.
Avis du Comite europeen de la protection des donnees, notamment les recommandations 01/2020 sur les mesures supplementaires post-Schrems II.