Toutes les sources listées ici sont publiques et institutionnelles. Les liens pointent vers la page d'accueil ou la rubrique stable de l'organisme émetteur, jamais vers une URL de document susceptible d'évoluer.
Catégorie
Lois et règlements américains
Textes fédéraux US qui créent une exposition extraterritoriale pour les fournisseurs cloud soumis à la juridiction américaine.
Loi qui autorise les autorités US à exiger d'un fournisseur soumis à leur juridiction la remise de données stockées n'importe où dans le monde.
Outil légal du renseignement américain qui permet, sans mandat individuel, la collecte de communications de personnes non américaines situées hors USA auprès de fournisseurs de services électroniques américains.
Cadre historique du droit d'accès aux données stockées par les fournisseurs de communications. Modifié par le CLOUD Act en 2018.
Injonctions administratives du FBI sans contrôle judiciaire préalable, assorties d'une obligation de silence. Concernent principalement les enregistrements de télécommunications.
Catégorie
Règlements européens
Cadre juridique applicable aux données personnelles et aux services numériques dans l'Union européenne.
Règlement général sur la protection des données, applicable depuis le 25 mai 2018. Encadre tous les traitements de données personnelles d'individus situés dans l'UE.
Règlement sur les données, adopté fin 2023, qui régit le partage et la portabilité des données générées par les objets connectés et les services cloud. Comprend des obligations de switching et de protection contre les transferts illicites.
Règlement sur les marchés numériques, qui encadre les pratiques des grands contrôleurs d'accès (gatekeepers) du numérique. Vise l'interopérabilité et la limitation des pratiques anti-concurrentielles.
Règlement sur l'identification électronique et les services de confiance. Définit notamment les niveaux de garantie pour la signature électronique, l'horodatage et l'archivage.
Renforce le mandat de l'ENISA et institue un cadre européen de certification de cybersécurité (base juridique de l'EUCS en préparation).
Catégorie
Lois et doctrines françaises
Textes nationaux structurants pour le numérique souverain en France.
Loi fondatrice de la protection des données personnelles en France. Modifiée pour s'articuler avec le RGPD depuis 2018. Reste la base juridique nationale et confère ses pouvoirs à la CNIL.
Qualification ANSSI des prestataires de services cloud, version mars 2022. Inclut des exigences explicites d'immunité extraterritoriale et de contrôle capitalistique européen.
Circulaire du Premier ministre du 5 juillet 2021. Impose le recours à un service qualifié SecNumCloud pour les données les plus sensibles de l'État.
Référentiel général de sécurité applicable aux systèmes d'information des autorités administratives, complément transversal des qualifications sectorielles.
Catégorie
Jurisprudence européenne
Décisions structurantes de la Cour de justice de l'Union européenne sur les transferts internationaux de données personnelles.
Invalide l'accord Safe Harbor entre l'UE et les États-Unis. Premier signal sur les limites du droit américain au regard du standard européen de protection des données.
Invalide le Privacy Shield et conditionne tout transfert UE-USA via clauses contractuelles types à une analyse d'impact tenant compte du droit américain. Référence incontournable pour les choix cloud depuis 2020.
Catégorie
Standards techniques et certifications
Référentiels de sécurité techniques utilisés pour évaluer les fournisseurs sur le critère certifications.
Norme internationale de management de la sécurité de l'information. Base minimale exigée pour la plupart des marchés publics et régulés.
Code de bonnes pratiques pour les contrôles de sécurité spécifiques au cloud computing. Complète ISO 27001 dans le contexte des services cloud.
Schéma national espagnol de sécurité, équivalent fonctionnel des qualifications nationales européennes. Niveaux Bas, Medio, Alto.
Norme internationale d'audit applicable aux organisations de services, attestant des contrôles opérationnels par un tiers indépendant.
Rapport d'audit américain sur les contrôles de sécurité, disponibilité, confidentialité et intégrité des fournisseurs de services. Très fréquent chez les acteurs US et SaaS mondiaux.
Référentiel allemand de l'office fédéral de la sécurité des systèmes d'information, fréquemment utilisé comme baseline pour les marchés publics allemands.
Certification française obligatoire pour héberger des données de santé à caractère personnel. Gérée par l'Agence du numérique en santé.
Catégorie
Sources de données publiques
Flux de données externes utilisés sur NextHop pour enrichir les fiches fournisseurs et les modules d'analyse.
Liste officielle des prestataires qualifiés SecNumCloud, HDS, PASSI, PDIS et autres. Mise à jour régulière par l'agence.
Publications et inventaires de l'agence européenne de cybersécurité : guides, recommandations, études sectorielles.
Taux pivots EUR utilisés pour les conversions de prix multi-devises dans le catalogue cloud.
Données ouvertes sur l'intensité carbone horaire des réseaux électriques européens. Servent au calcul d'empreinte environnementale par région.
Décisions, sanctions et recommandations de l'autorité française de protection des données, mobilisées sur le critère immunité et hébergement.
Avis du Comité européen de la protection des données, notamment les recommandations 01/2020 sur les mesures supplémentaires post-Schrems II.