180907-N-BK152-003 by NSWC Crane Corporate Communications is in the public domain

Glossaire

Accord de niveau de service : Partie du contrat d’informatique en nuage entre le fournisseur et le client où sont indiqués les services d’informatique en nuage couverts par le contrat et le niveau de service attendu ou à atteindre aux termes du contrat (voir les paramètres de performance).

Audit : Processus consistant à examiner le respect des exigences légales et contractuelles ou des normes techniques. Il peut couvrir des aspects techniques (tels que la qualité et la sécurité du matériel et des logiciels) ; le respect de toute norme sectorielle applicable ; et l’existence de mesures appropriées, y compris l’isolement, pour empêcher l’accès non autorisé au système et son utilisation et pour garantir l’intégrité des données. L’audit peut être interne ou externe ou être effectué par un tiers indépendant nommé par le fournisseur ou par le client, ou par les deux parties. L’accord de niveau de service peut contenir des paramètres de performance spécifiques en matière d’audit, par exemple prévoir que les services fournis au titre du contrat doivent être certifiés au moins une fois par an par un auditeur indépendant, à l’aide de la norme de sécurité prévue dans le contrat.

Données dérivées des services en nuage : Données placées sous le contrôle du fournisseur qui sont dérivées de l’utilisation, par le client, des services d’informatique en nuage proposés par ce fournisseur. Il s’agit notamment des métadonnées et de toutes autres données enregistrées générées par les fournisseurs, qui indiquent l’identité des utilisateurs des services, les dates et heures d’utilisation des services, ainsi que les fonctions et les types de données concernés. Elles peuvent également englober des renseignements sur les utilisateurs autorisés, leurs identifiants, et les configurations, personnalisations et modifications éventuelles.

Données personnelles : Données à caractère sensible ou non qui peuvent servir à identifier la personne physique à laquelle elles se rapportent. Dans certains pays, la définition des données personnelles peut englober toutes les données ou informations directement ou indirectement liées ou relatives à une personne identifiée ou identifiable (voir le sujet de données).

Droits des sujets de données : Droits associés aux données personnelles des sujets de données. En fonction de la législation, les sujets de données peuvent bénéficier du droit d’être informés de toutes les informations importantes relatives à leurs données personnelles, notamment l’emplacement de ces données, leur utilisation par des tiers, et d’éventuelles fuites et autres violations. Ils peuvent également disposer du droit d’accéder à tout moment à ces données personnelles, du droit à l’effacement (conséquence du droit à l’oubli), du droit d’en limiter le traitement et du droit à la portabilité de ces données.

Écrit ou par écrit : Informations accessibles de façon à pouvoir être utilisées ultérieurement à des fins de référence. Le terme s’applique aux informations disponibles sur papier ou contenues dans une communication électronique. Le mot « accessible » signifie que les informations se présentant sous la forme de données informatisées doivent pouvoir être lues et interprétées et que le logiciel qui pourrait être nécessaire pour assurer cette lisibilité doit être conservé. Les mots « être utilisées » visent tant l’usage par des personnes que le traitement informatique.

Exigences en matière de localisation des données : Exigences relatives à l’emplacement des données et d’autres contenus, des centres de données ou des fournisseurs. Elles peuvent interdire que certaines données (notamment des métadonnées et sauvegardes) soient stockées dans certains territoires ou pays, ou passent par ceux-ci, ou exiger pour ce faire l’autorisation préalable d’une instance publique compétente. Elles sont fréquemment énoncées dans des lois et règlements relatifs à la protection des données, lesquels sont susceptibles d’interdire en particulier que les données personnelles soient stockées ou passent dans des pays qui ne respectent pas certaines normes en matière de protection des données personnelles.

Incident de sécurité : Événement indiquant que l’intégrité du système ou des données a été compromise ou que les mesures adoptées pour protéger ceux-ci n’ont pas été efficaces. Un incident de sécurité perturbe le fonctionnement normal. On mentionnera comme exemples une tentative d’accès de sources non autorisées aux systèmes ou aux données, une perturbation non planifiée des services ou un déni de service, le traitement ou le stockage non autorisés de données et l’introduction de changements non autorisés dans l’infrastructure du système.

Infrastructure en tant que service (IaaS) : Types de services d’informatique en nuage par le biais desquels le client peut obtenir et utiliser des ressources liées au traitement, au stockage et aux réseaux. Le client ne gère ni ne contrôle les ressources physiques ou virtuelles sous-jacentes, mais il contrôle les systèmes d’exploitation, les espaces de stockage et les applications déployées qui font usage de ces ressources. Il peut également exercer un contrôle restreint sur certaines composantes des réseaux (par exemple, les pare-feu hôtes).

Interopérabilité : Capacité de deux ou plusieurs systèmes ou applications à échanger des informations et à utiliser mutuellement les informations échangées.

Licence de propriété intellectuelle : Contrat conclu entre un titulaire de droits de propriété intellectuelle (donneur de licence) et une personne autorisée à utiliser ces droits (preneur de licence). Ces contrats imposent habituellement des restrictions et des obligations quant à la portée du contrat et à la manière dont le preneur de licence ou les tiers peuvent utiliser le bien sous licence. Par exemple, les logiciels et les contenus visuels (modèles, mises en pages et images) peuvent faire l’objet d’une licence en vue d’une exploitation spécifique, ne permettant pas la copie, la modification ou l’amélioration, et être limités à un support donné. Les licences peuvent être limitées à un marché particulier (par exemple, marché national ou (sous-)régional), à un nombre d’utilisateurs ou d’appareils donné, ou être limitées dans le temps. Les accords de sous-licence peuvent être interdits. Le donneur de licence peut exiger que le titulaire des droits de propriété intellectuelle soit mentionné chaque fois que ceux-ci sont utilisés.

Logiciel en tant que service (SaaS) : Types de services d’informatique en nuage par le biais desquels le client peut utiliser les applications du fournisseur dans le nuage.

Métadonnées : Informations de base sur les données (comme l’auteur, la date de création, la date de modification et la taille du fichier). Elles contribuent à faciliter la recherche et l’utilisation des données et peuvent être requises pour garantir l’authenticité des données enregistrées. Elles peuvent être générées par le client ou par le fournisseur.

Modèle ajusté aux fuseaux horaires (« Follow-the-sun ») : Modèle dans lequel la charge de travail est répartie entre plusieurs sites géographiques de façon à mieux équilibrer les ressources et la demande. Ce modèle peut viser à fournir des services 24 heures sur 24 et à minimiser la distance moyenne entre les serveurs et les utilisateurs finaux pour essayer de limiter les temps de latence et de maximiser la vitesse de transmission des données entre appareils (taux de transfert des données ou débit).

Modèles de déploiement : Différentes manières d’organiser les services d’informatique en nuage en fonction du contrôle et du partage des ressources physiques ou virtuelles :

a) Nuage public : Les services d’informatique en nuage sont susceptibles d’être proposés à n’importe quel client et les ressources sont contrôlées par le fournisseur ;

b) Nuage communautaire : Les services d’informatique en nuage sont mis à la disposition exclusive d’un groupe donné de clients liés les uns 

aux autres et ayant des exigences communes, et les ressources sont contrôlées

par au moins un membre de ce groupe ;

c) Nuage privé : Les services d’informatique en nuage sont mis à la disposition exclusive d’un seul client, qui contrôle les ressources ;

d) Nuage hybride : Solution faisant intervenir au moins deux modèles de déploiement différents.

Objectif de délai de reprise : Délai dans lequel tous les services d’informatique en nuage et les données doivent être rétablis à la suite d’une interruption imprévue.

Objectif de point de reprise : Durée maximale précédant une interruption de service imprévue pendant laquelle les modifications apportées à des données risquent d’être perdues. Si le contrat précise par exemple un objectif de point de reprise équivalent à deux heures avant l’interruption des services, cela signifie que toutes les données devraient être accessibles après la reprise dans la forme où elles existaient deux heures avant l’interruption.

Paramètres de performance : Paramètres quantitatifs (objectifs chiffrés, indicateurs ou fourchette de performance) ou qualitatifs (assurance de la qualité des services). Ils peuvent mesurer la conformité aux normes applicables, y compris la date d’expiration de toute certification de conformité (par exemple, le fournisseur doit avoir mis en œuvre une politique de gestion des clefs conforme à la norme internationale définie dans le contrat). Pour être significatifs, les paramètres devraient permettre au client de mesurer, de manière simple et vérifiable, les performances qui revêtent de l’importance pour lui. Ils peuvent varier en fonction des risques encourus et des besoins de l’entreprise (par exemple, la criticité de certains services, données ou applications et la priorité correspondante en matière de reprise). Par exemple, un système non essentiel conçu pour utiliser le nuage à des fins d’archivage n’aura pas besoin du même temps de disponibilité ou d’autres conditions de l’accord de niveau de service que des opérations essentielles ou en temps réel.

Partenaires de services d’informatique en nuage (notamment auditeurs de services en nuage, courtiers de services en nuage et intégrateurs de système) : Personnes qui mènent des activités de soutien ou auxiliaires à celles des fournisseurs, des clients ou des deux. Les auditeurs de services en nuage procèdent à des audits de la prestation et de l’utilisation de services d’informatique en nuage. Les courtiers de services en nuage ou les intégrateurs de système apportent leur assistance aux parties à divers égards, par exemple pour trouver la meilleure solution en matière de nuage, négocier des conditions acceptables et organiser la migration du client vers le nuage.

Pérennité du stockage de données : Probabilité que les données stockées dans le nuage ne soient pas perdues pendant la durée du contrat. Elle peut être exprimée dans le contrat sous la forme d’une cible mesurable par rapport à laquelle le client évaluera les mesures prises par le fournisseur pour assurer cette pérennité (par exemple, données intactes/données intactes + données perdues pendant un délai spécifié (par exemple, un mois calendaire)). Il faudra définir dans cette formule le type de données (par exemple, fichiers, bases de données, codes, applications) et l’unité de mesure (nombre de fichiers, longueur de bit).

Plateforme en tant que service (PaaS) : Types de services d’informatique en nuage par le biais desquels le client peut déployer, gérer et exploiter dans le nuage des applications ou des logiciels qu’il a créés ou acquis en utilisant un ou plusieurs langages de programmation et environnements d’exécution existants pris en charge par le fournisseur.

Politique d’utilisation acceptable : Partie du contrat d’informatique en nuage entre le fournisseur et le client où sont définies les limites de l’utilisation par le client et ses utilisateurs finaux des services d’informatique en nuage couverts par le contrat.

Portabilité : Capacité de transférer facilement des données, des applications et d’autres contenus d’un système à un autre (c’est-à-dire à faible coût, avec un minimum de perturbations et sans avoir à ressaisir les données, à réorganiser les processus ou à reprogrammer les applications). La portabilité est assurée s’il est possible de récupérer les données dans le format accepté dans un autre système ou par une transformation simple et directe à l’aide d’outils couramment disponibles. L’accord de niveau de service peut contenir des paramètres de performance liés à la portabilité, par exemple un paramètre selon lequel le client peut récupérer ses données par le biais d’un seul lien de téléchargement ou d’une interface de programmation d’applications (API) bien documentée ; ou selon lequel le format de données est structuré et documenté de manière suffisante pour permettre au client de le réutiliser ou de le restructurer dans un format différent s’il le désire.

Règlements sectoriels : Règlements relatifs aux finances, à la santé ou au secteur public, ou à d’autres secteurs ou professions particuliers (par exemple, en ce qui concerne le secret professionnel auquel sont tenus les avocats et les professionnels de santé) et règles relatives au traitement des informations classifiées (c’est-à-dire, au sens large, les informations dont la loi ou un règlement limitent l’accès à certaines catégories de personnes).

Représentant de l’insolvabilité : Personne ou organe habilité à administrer le redressement ou la liquidation des biens du débiteur insolvable dans le cadre d’une procédure d’insolvabilité.

Responsable du contrôle des données : Personne qui décide de l’objet et des moyens du traitement des données personnelles.

Responsable du traitement des données : Personne qui traite les données pour le compte du responsable du contrôle des données.

Réversibilité : Processus permettant au client d’extraire ses données, applications et autres contenus connexes du nuage, et au fournisseur de supprimer les données du client et autres contenus connexes après une période convenue.

Services d’informatique en nuage : Services en ligne caractérisés par :

a) Un large accès via le réseau, ce qui signifie qu’il est possible d’accéder aux services par l’intermédiaire du réseau à partir de tout endroit où celui-ci est disponible (par exemple, par Internet), au moyen de divers appareils tels que téléphones portables, tablettes et ordinateurs portables ;

b) Le service mesuré, caractéristique qui permet de contrôler l’utilisation des ressources et de facturer le client en conséquence (facturation à l’usage) ;

c) L’architecture multilocataire, c’est-à-dire l’allocation des ressources physiques et virtuelles à de multiples utilisateurs dont les données sont conservées séparément et inaccessibles aux autres ;

d) Le libre-service à la demande, ce qui signifie que le client utilise les services selon ses besoins, automatiquement ou moyennant une interaction minime avec le fournisseur ;

e) L’élasticité et l’extensibilité, c’est-à-dire la capacité d’adaptation rapide à la hausse ou à la baisse de la consommation de services selon les besoins du client, y compris pour s’adapter aux tendances à grande échelle de l’usage de ressources (par exemple, variations saisonnières) ;

f) La mutualisation des ressources, c’est-à-dire la possibilité qu’a le fournisseur de regrouper les ressources physiques ou virtuelles pour servir un ou plusieurs clients, sans que ceux-ci contrôlent les processus en jeu ou en aient connaissance ;

g) Une large gamme de services, allant de la fourniture et de l’utilisation de services de connectivité et d’informatique de base (comme le stockage, les courriers électroniques et les applications bureautiques) à la fourniture et à l’utilisation de l’ensemble des infrastructures informatiques physiques (par exemple, serveurs et centres de données) et des ressources virtuelles nécessaires pour que le client puisse créer sa propre plateforme informatique, ou déployer, gérer et exploiter des applications ou des logiciels créés ou acquis par le client. L’infrastructure en tant que service (IaaS), la plateforme en tant que service (PaaS) ou le logiciel en tant que service (SaaS) sont des types de services d’informatique en nuage.

Services d’informatique en nuage en couches : Dans ce cadre, le fournisseur n’est pas le propriétaire de l’ensemble, ou d’une partie, des ressources informatiques qu’il utilise pour fournir des services d’informatique en nuage à ses clients ; il est lui-même le client de tout ou partie des services d’informatique en nuage. Par exemple, le fournisseur de services de type PaaS ou SaaS peut utiliser les infrastructures de stockage et de serveur (centres de données, serveurs de données) dont une autre entité est propriétaire ou qu’elle fournit. Par conséquent, un ou plusieurs sous-fournisseurs peuvent intervenir dans la prestation des services d’informatique en nuage au client. Ce dernier ne saura pas nécessairement quelles couches participent à la prestation de services à un moment donné, ce qui complique l’identification et la gestion des risques. Les services d’informatique en nuage en couches sont fréquents dans le modèle SaaS en particulier.

Solutions d’informatique en nuage normalisées pour multiabonnés : Services d’informatique en nuage fournis à un nombre illimité de clients en tant que ressource ou produit de masse, à des conditions standard non négociables déterminées par le fournisseur. Dans ce type de solutions, on trouve fréquemment des clauses de non-responsabilité générales et d’exonération de responsabilité du fournisseur. Le client pourra comparer différents fournisseurs et les contrats qu’ils proposent et choisir celui qui correspondra le mieux à ses besoins, mais il ne pourra pas négocier son contrat.

Sujet de données : Personne physique qui peut être identifiée, directement ou indirectement, par des données, notamment des identifiants tels que le nom, un numéro d’identification, un emplacement et tout facteur se rapportant à l’identité physique, génétique, mentale, économique, culturelle ou sociale de la personne. Dans un certain nombre de pays, les sujets de données jouissent, en vertu des règles de protection des données ou de confidentialité, de certains droits relatifs aux données susceptibles de les identifier. Ces règles peuvent encourager l’inclusion, dans l’accord de niveau de service, de paramètres de performance se rapportant spécifiquement à la protection des données, par exemple un paramètre selon lequel les services fournis au titre du contrat doivent être certifiés au moins une fois par an par un auditeur indépendant qui applique la norme de protection des données/confidentialité prévue dans le contrat. (Voir aussi les définitions des droits des sujets de données et des données personnelles.)

Suppression des données : Série d’opérations visant à supprimer de manière irréversible des données, y compris les sauvegardes et métadonnées correspondantes, et autres contenus de l’infrastructure d’informatique en nuage (physique et virtuelle). Dans certains cas, la suppression des données exige la destruction de l’infrastructure physique (par exemple, serveurs) sur laquelle celles-ci sont stockées. L’accord de niveau de service peut contenir un paramètre de performance spécifique lié à la suppression des données, par exemple selon lequel le fournisseur doit veiller à ce que les données du client soient supprimées de manière effective, irrévocable et définitive à la demande de celui-ci dans un certain délai précisé dans le contrat et conformément à la norme ou méthode prévue dans le contrat.

Temps d’arrêt ou d’interruption : Période pendant laquelle les clients n’ont pas accès aux services d’informatique en nuage. Cette période est exclue du calcul du temps de disponibilité ou de fonctionnement sans interruption. On inclut généralement dans le temps d’arrêt le temps nécessaire pour la maintenance et les mises à jour. Dans l’accord de niveau de service, cette période peut être définie comme le nombre d’interruptions d’une durée limitée acceptables pendant une certaine période de temps, par exemple pas plus d’une interruption d’une heure par jour, celle-ci ne pouvant intervenir entre 8 heures et 17 heures.

Temps de disponibilité : Période pendant laquelle les services d’informatique en nuage sont accessibles et susceptibles d’être utilisés. Elle peut être exprimée en tant que quantité ou pourcentage, en tant que formule détaillée ou encore en tant que dates ou jours et heures spécifiques pendant lesquels le service d’une application particulière doit absolument être disponible.

Temps de latence : Temps qui s’écoule entre la demande du client et la réponse du fournisseur. Ce temps, qui affecte l’exploitabilité pratique des services d’informatique en nuage, est généralement exprimé en millisecondes dans l’accord de niveau de service.

Temps de réaction initiale : Délai qui s’écoule entre le moment où un client signale un incident et la première réaction du fournisseur.

Traitement des données personnelles : Collecte, enregistrement, organisation, stockage, adaptation ou altération, extraction, consultation, utilisation, divulgation par transmission, diffusion ou toute autre forme de mise à disposition, alignement ou combinaison, blocage, effacement ou destruction de données personnelles.

Verrouillage : Situation dans laquelle le client dépend d’un fournisseur unique parce que les coûts liés à un changement de prestataire sont considérables. Dans ce contexte, la notion de coût s’entend au sens large comme englobant non seulement les dépenses monétaires, mais aussi l’effort, le temps et les aspects relationnels.

• Vers la page principale
• Vers les principaux aspects précontractuels
• Vers la rédaction d'un contrat
• Vers les autres termes du glossaire