Aller au contenu
NNextHop
Références

Sources et bibliographie.

L'ensemble des textes légaux, référentiels techniques et flux de données publiques cités sur le site. Référence centralisée, mise à jour avec les pages méthodologie et changelog des scores.

Toutes les sources listées ici sont publiques et institutionnelles. Les liens pointent vers la page d'accueil ou la rubrique stable de l'organisme émetteur, jamais vers une URL de document susceptible d'évoluer.

Catégorie

Lois et règlements américains

Textes fédéraux US qui créent une exposition extraterritoriale pour les fournisseurs cloud soumis à la juridiction américaine.

CLOUD Act, Public Law 115-141 (2018)

Loi qui autorise les autorités US à exiger d'un fournisseur soumis à leur juridiction la remise de données stockées n'importe où dans le monde.

Foreign Intelligence Surveillance Act, Section 702

Outil légal du renseignement américain qui permet, sans mandat individuel, la collecte de communications de personnes non américaines situées hors USA auprès de fournisseurs de services électroniques américains.

Stored Communications Act, 18 U.S.C. Chapter 121

Cadre historique du droit d'accès aux données stockées par les fournisseurs de communications. Modifié par le CLOUD Act en 2018.

National Security Letters (NSL)

Injonctions administratives du FBI sans contrôle judiciaire préalable, assorties d'une obligation de silence. Concernent principalement les enregistrements de télécommunications.

Catégorie

Règlements européens

Cadre juridique applicable aux données personnelles et aux services numériques dans l'Union européenne.

Règlement (UE) 2016/679 (RGPD)

Règlement général sur la protection des données, applicable depuis le 25 mai 2018. Encadre tous les traitements de données personnelles d'individus situés dans l'UE.

Règlement (UE) 2023/2854 (Data Act)

Règlement sur les données, adopté fin 2023, qui régit le partage et la portabilité des données générées par les objets connectés et les services cloud. Comprend des obligations de switching et de protection contre les transferts illicites.

Règlement (UE) 2022/1925 (DMA)

Règlement sur les marchés numériques, qui encadre les pratiques des grands contrôleurs d'accès (gatekeepers) du numérique. Vise l'interopérabilité et la limitation des pratiques anti-concurrentielles.

Règlement (UE) 910/2014 (eIDAS)

Règlement sur l'identification électronique et les services de confiance. Définit notamment les niveaux de garantie pour la signature électronique, l'horodatage et l'archivage.

Règlement (UE) 2019/881 (Cybersecurity Act)

Renforce le mandat de l'ENISA et institue un cadre européen de certification de cybersécurité (base juridique de l'EUCS en préparation).

Catégorie

Lois et doctrines françaises

Textes nationaux structurants pour le numérique souverain en France.

Loi n 78-17 du 6 janvier 1978 (Informatique et Libertés)

Loi fondatrice de la protection des données personnelles en France. Modifiée pour s'articuler avec le RGPD depuis 2018. Reste la base juridique nationale et confère ses pouvoirs à la CNIL.

Référentiel SecNumCloud v3.2 (ANSSI)

Qualification ANSSI des prestataires de services cloud, version mars 2022. Inclut des exigences explicites d'immunité extraterritoriale et de contrôle capitalistique européen.

Doctrine cloud au centre (DINUM)

Circulaire du Premier ministre du 5 juillet 2021. Impose le recours à un service qualifié SecNumCloud pour les données les plus sensibles de l'État.

Règlement général de protection (RGS)

Référentiel général de sécurité applicable aux systèmes d'information des autorités administratives, complément transversal des qualifications sectorielles.

Catégorie

Jurisprudence européenne

Décisions structurantes de la Cour de justice de l'Union européenne sur les transferts internationaux de données personnelles.

Arrêt Schrems I, CJUE C-362/14 (2015)

Invalide l'accord Safe Harbor entre l'UE et les États-Unis. Premier signal sur les limites du droit américain au regard du standard européen de protection des données.

Arrêt Schrems II, CJUE C-311/18 (2020)

Invalide le Privacy Shield et conditionne tout transfert UE-USA via clauses contractuelles types à une analyse d'impact tenant compte du droit américain. Référence incontournable pour les choix cloud depuis 2020.

Catégorie

Standards techniques et certifications

Référentiels de sécurité techniques utilisés pour évaluer les fournisseurs sur le critère certifications.

ISO/IEC 27001

Norme internationale de management de la sécurité de l'information. Base minimale exigée pour la plupart des marchés publics et régulés.

ISO/IEC 27017

Code de bonnes pratiques pour les contrôles de sécurité spécifiques au cloud computing. Complète ISO 27001 dans le contexte des services cloud.

Esquema Nacional de Seguridad (ENS)

Schéma national espagnol de sécurité, équivalent fonctionnel des qualifications nationales européennes. Niveaux Bas, Medio, Alto.

ISAE 3402

Norme internationale d'audit applicable aux organisations de services, attestant des contrôles opérationnels par un tiers indépendant.

SOC 2 (AICPA)

Rapport d'audit américain sur les contrôles de sécurité, disponibilité, confidentialité et intégrité des fournisseurs de services. Très fréquent chez les acteurs US et SaaS mondiaux.

BSI Cloud Computing Compliance Criteria Catalogue (C5)

Référentiel allemand de l'office fédéral de la sécurité des systèmes d'information, fréquemment utilisé comme baseline pour les marchés publics allemands.

Hébergeur de Données de Santé (HDS)

Certification française obligatoire pour héberger des données de santé à caractère personnel. Gérée par l'Agence du numérique en santé.

Catégorie

Sources de données publiques

Flux de données externes utilisés sur NextHop pour enrichir les fiches fournisseurs et les modules d'analyse.

ANSSI, liste des prestataires qualifiés

Liste officielle des prestataires qualifiés SecNumCloud, HDS, PASSI, PDIS et autres. Mise à jour régulière par l'agence.

ENISA, bases de connaissance cybersécurité

Publications et inventaires de l'agence européenne de cybersécurité : guides, recommandations, études sectorielles.

Banque centrale européenne, taux de change de référence

Taux pivots EUR utilisés pour les conversions de prix multi-devises dans le catalogue cloud.

ElectricityMaps, intensité carbone du mix électrique

Données ouvertes sur l'intensité carbone horaire des réseaux électriques européens. Servent au calcul d'empreinte environnementale par région.

CNIL, décisions et lignes directrices

Décisions, sanctions et recommandations de l'autorité française de protection des données, mobilisées sur le critère immunité et hébergement.

EDPB, recommandations et avis

Avis du Comité européen de la protection des données, notamment les recommandations 01/2020 sur les mesures supplémentaires post-Schrems II.