cachet électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique pour garantir l’origine et l’intégrité de ces dernières.

cachet électronique avancé [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un cachet électronique qui satisfait aux exigences énoncées à l’article 36 [Règlement eIDAS n°910/2014 du 23 juillet 2014]. [NDLR : la lecture du Règlement eIDAS est particulièrement difficile du fait de ce type de définition]

cachet électronique qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un cachet électronique avancé qui est créé à l’aide d’un dispositif de création de cachet électronique qualifié et qui repose sur un certificat qualifié de cachet électronique.

centre de réception des appels d'urgence [Directive CCEE n°2018/1972 du 11 décembre 2018] : un lieu physique où est réceptionnée initialement une communication d’urgence sous la responsabilité d’une autorité publique ou d’un organisme privé reconnu par l’État membre.

certificat d'authentification de site internet [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une attestation qui permet d’authentifier un site internet et associe celui-ci à la personne physique ou morale à laquelle le certificat est délivré.

certificat de cachet électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une attestation électronique qui associe les données de validation d’un cachet électronique à une personne morale et confirme le nom de cette personne.

certificat de cybersécurité européen [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un document délivré par un organisme compétent attestant qu’un produit TIC, service TIC ou processus TIC donné a été évalué en ce qui concerne sa conformité aux exigences de sécurité spécifiques fixées dans un schéma européen de certification de cybersécurité.

certificat de signature électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une attestation électronique qui associe les données de validation d’une signature électronique à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne.

certificat qualifié d'authentification de site internet [Règlement eIDAS n°910/2014 du 23 juillet 2004] : un certificat d’authentification de site internet, qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées à l’annexe IV {du texte précité}.

certificat qualifié de cachet électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un certificat de cachet électronique, qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées à l’annexe III.

certificat qualifié de signature électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un certificat de signature électronique, qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées à l’annexe I {du texte précité}.

certification de sécurité [glossaire technique en ligne de l'ANSSI] : délivrée par l’ANSSI. Elle porte sur des produits de sécurité (matériels ou logiciels). Elle atteste de la conformité d’un produit de sécurité à un niveau de sécurité donné. Il s’agit d’une évaluation à l’état de l’art réalisée en fonction d’une cible de sécurité et d’un niveau de sécurité visé. Elle est matérialisée par un rapport de certification et un certificat tous deux signés par le Directeur Général de l’Agence. Le catalogue des produits de sécurité certifiés, accompagnés de leur cible de sécurité et de leur rapport de certification est publié sur le site Web de l’Agence. On parle de certification « premier niveau » (CSPN) ou de certification « Critères Communs ». Cette certification est délivrée par l’ANSSI sur la base des travaux dévaluation menés par un CESTI (Centre d’Evaluation de la Sécurité des Technologies de l’Information). Les CESTI sont des laboratoires accrédités par le COFRAC (Comité Français d’Accréditation) et agréés par l’ANSSI. Le catalogue des CESTI est publié sur le site Web de l’Agence. Au sein de l’ANSSI, c’est le Centre National de Certification de la Sous-direction Expertise qui remplit ces missions.

chaine de blocs [pas de définition légale] : ---> voir DEEP "Dispositif d'Enregistrement Electronique Partagé" [cliquez sur le lien ci-dessous pour accéder à cette définition légale]

cheval de Troie [glossaire technique en ligne de l'ANSSI] : programme donnant l’impression d’avoir une fonction utile, mais qui possède par ailleurs une fonction cachée et potentiellement malveillante.

chiffrement [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

• la pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

chiffrement [glossaire technique en ligne de l'ANSSI] : transformation cryptographique de données produisant un cryptogramme. NDLR : le terme scientifique désignant la science du chiffrement est la "cryptographie".

Chiffrement asymétrique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : L’opération publique de chiffrement transforme à l’aide de la clé publique P u un message clair M en un message chiffré C. L’opération privée de déchiffrement permet de recalculer M à partir de C et de la clé privée P r. Le chiffrement asymétrique permet donc à toute personne ayant accès à la clé publique de chiffrer des messages à l’intention du détenteur de la clé privée.

Chiffrement authentifié [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Combine le chiffrement et l’authentification de message en un seul mécanisme, avec une seule clé. Certains mécanismes de chiffrement authentifié permettent de plus d’associer au message chiffré M un message clair M’ qui ne sera pas chiffré. L’authentification porte alors sur l’association du chiffré correspondant à M et de M’. Une telle combinaison peut être utile pour lier de façon authentique à une donnée chiffrée une donnée claire nécessaire à son traitement.).

Chiffrement de clé [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un mécanisme de chiffrement de clé permet le stockage ou la transmission sécurisée de clés, en garantissant leur confidentialité, leur intégrité et l’authenticité de leur origine. Un mécanisme de chiffrement de clé est un schéma de chiffrement authentifié. Le fait que les données protégées soient aléatoires permet d’utiliser un schéma de chiffrement authentifié déterministe.

Chiffrement non authentifié [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Un mécanisme de chiffrement symétrique permet, à l’aide d’une clé secrète K, de transformer un message clair M en un message chiffré C. L’accès à C (par exemple sur un canal de communication public) sans connaissance de K n’apporte pas d’information sur M. La même clé K permet de déchiffrer C pour retrouver M. Les bons procédés de chiffrement symétrique sont probabilistes, c’est-à-dire qu’ils utilisent en plus de la clé K une valeur aléatoire, ou bien à état persistant, ce qui permet de garantir à chaque chiffrement l’utilisation d’une valeur auxiliaire n’ayant jamais été utilisée précédemment conjointement avec la clé K. Dans les deux cas, cela permet d’introduire de la variabilité dans le chiffré C, de telle sorte qu’un même message M ne soit pas chiffré toujours en le même message C. Ainsi, il n’est pas possible, par exemple, de comparer des chiffrés entre eux pour déterminer si les messages clairs correspondants sont égaux.

classement [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : la priorité relative accordée aux biens ou services proposés par le biais de services d’intermédiation en ligne, ou la pertinence reconnue aux résultats de recherche par les moteurs de recherche en ligne, tels qu’ils sont présentés, organisés ou communiqués, respectivement, par les fournisseurs de services d’intermédiation en ligne ou par les fournisseurs de moteurs de recherche en ligne, quels que soient les moyens technologiques utilisés pour une telle présentation, organisation ou communication.

clause pénale [Cour de cassation Chambre civile 20 décembre 2006] : immeuble en l'état futur d'achèvement ... délai [contractuel de livraison] pas... respecté... indemnités de retard prévues par le contrat ; ... la preuve n'était pas rapportée que le retard ... dans la livraison ... ait causé un préjudice... ; ... la clause pénale, sanction du manquement d'une partie à ses obligations, s'applique du seul fait de cette inexécution.

clause pénale [Cour de cassation Chambre civile 3 septembre 2015] : par acte authentique, [les] vendeurs d'un immeuble, ont souscrit l'obligation... de faire enlever une jardinière établie sur le domaine public, sous astreinte journalière ; ...un juge de l'exécution a déclaré irrecevable la demande de ... liquidation de l'astreinte conventionnelle ; ... la clause litigieuse s'analysait en une clause pénale

clause pénale [Cour de cassation Chambre commerciale 14 juin 2016] : ... même si pour partie, l'indemnité de jouissance prévue par le contrat représente pour le bailleur une contrepartie du service dont le locataire continue de bénéficier après le terme de la location en conservant les matériels loués, cette indemnité vise également à contraindre le locataire à restituer le matériel loué et constitue une évaluation forfaitaire et anticipée du montant du préjudice résultant pour le bailleur de l'inexécution, qui s'applique du seul fait de celle-ci... la clause prévoyant cette indemnité devait être qualifiée de clause pénale.

clause pénale [Cour de cassation Chambre civile 14 février 2019] : une promesse de vente... comportant une clause pénale relative à l'exécution, par les vendeurs, de travaux de réparation... la clause pénale forfaitaire sanctionnait l'inexécution des travaux par les vendeurs... les acquéreurs ne pouvaient prétendre à une application cumulative de cette clause pénale avec des dommages-intérêts alloués en réparation des préjudices résultant de l'inexécution de travaux conformes à ceux définis par la promesse de vente.

Clé cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Séquence de symboles qui contrôle l’exécution d’une fonction cryptographique.

Clé secrète [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : clé cryptographique utilisée dans des techniques de cryptographie symétrique par un ensemble d’entités prédéfini.

Clés secrètes et biclés asymétriques [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Les clés mises en œuvre par les mécanismes cryptographiques doivent être construites à partir de valeurs aléatoires qui doivent impérativement provenir d’un générateur aléatoire de qualité, en général spécialement prévu pour cet usage 3 . Pour les mécanismes symétriques, ceci permet d’assurer leur résistance contre la recherche exhaustive, attaque générique consistant pour un adversaire à tester toutes les clés possibles. Pour les mécanismes asymétriques, ceci permet également d’assurer leur résistance contre la meilleure attaque générique, mais aussi de se prémunir contre les attaques reposant sur une connaissance partielle de la clé. En effet, dans le cas des mécanismes asymétriques, la recherche exhaustive n’est jamais la meilleure attaque, et une connaissance partielle de la clé peut en outre avoir des conséquences catastrophiques pour la sécurité.

cloud computing (informatique en nuage) [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : modèle permettant un accès aisé, généralement à la demande, et au travers d’un réseau, à un ensemble de ressources informatiques partagées et configurables.

cloud privé [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : offre spécifique de cloud computing reposant sur des infrastructures dédiées à une entité et dont les outils d’administration peuvent ne pas être exposés sur Internet.

cloud public [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : offre générique de cloud computing reposant sur la mutualisation par défaut de l’infrastructure (capacité d’exécution, mémoire vive, stockage, etc.) au profit de différents clients et dont les outils d’administration sont exposés exclusivement sur Internet.

code malveillant / logiciel malveillant [glossaire technique en ligne de l'ANSSI] : tout programme développé dans le but de nuire à ou au moyen d’un système informatique ou d’un réseau. Remarques : Les virus ou les vers sont deux types de codes malveillants connus.

commerce électronique [Loi LCEN n°2004-575 du 21 juin 2004] : l'activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou de services. Entrent également dans le champ du commerce électronique les services tels que ceux consistant à fournir des informations en ligne, des communications commerciales et des outils de recherche, d'accès et de récupération de données, d'accès à un réseau de communication ou d'hébergement d'informations, y compris lorsqu'ils ne sont pas rémunérés par ceux qui les reçoivent. Une personne est regardée comme étant établie en France au sens du présent chapitre lorsqu'elle s'y est installée d'une manière stable et durable pour exercer effectivement son activité, quel que soit, s'agissant d'une personne morale, le lieu d'implantation de son siège social.

communication au public en ligne [Loi LCEN n°2004-575 du 21 juin 2004] : toute transmission, sur demande individuelle, de données numériques n'ayant pas un caractère de correspondance privée, par un procédé de communication électronique permettant un échange réciproque d'informations entre l'émetteur et le récepteur.

communication au public par voie électronique [Loi LCEN n°2004-575 du 21 juin 2004] : toute mise à disposition du public ou de catégories de public, par un procédé de communication électronique, de signes, de signaux, d'écrits, d'images, de sons ou de messages de toute nature qui n'ont pas le caractère d'une correspondance privée.

communication commerciale [Directive Commerce électronique n°2000/31/CE du 8 juin 2000] : toute forme de communication destinée à promouvoir, directement ou indirectement, des biens, des services, ou l’image d’une entreprise, d’une organisation ou d’une personne ayant une activité commerciale, industrielle, artisanale ou exerçant une profession réglementée. Ne constituent pas en tant que telles des communications commerciales : — les informations permettant l’accès direct à l’activité de l’entreprise, de l’organisation ou de la personne, notamment un nom de domaine ou une adresse de courrier électronique, — les communications relatives aux biens, aux services ou à l’image de l’entreprise, de l’organisation ou de la personne élaborées d’une manière indépendante, en particulier lorsqu’elles sont fournies sans contrepartie financière.

communication d'urgence [Directive CCEE n°2018/1972 du 11 décembre 2018] : une communication effectuée au moyen de services de communications interpersonnelles, entre un utilisateur final et le PSAP, dont le but est de demander et de recevoir des secours d’urgence de la part de services d’urgence.

communication de prospection directe [PROJET Règlement e-Privacy v1 du 10 janvier 2017] : toute forme de publicité, tant écrite qu'orale, envoyée à un ou plusieurs utilisateurs finaux, identifiés ou identifiables, de services de communications électroniques, y compris au moyen de systèmes de communication et d'appel automatisés, avec ou sans intervention humaine, par courrier électronique, par SMS, etc.

compatibilité [Directive UE n°2019/770 du 20 mai 2019] : la capacité du contenu numérique ou du service numérique à fonctionner avec du matériel informa­ tique ou des logiciels avec lesquels des contenus numériques ou des services numériques de même type sont nor­malement utilisés, sans qu’il soit nécessaire de convertir le contenu numérique ou le service numérique.

composant de sécurité [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : composant électronique d’un titre d’identité, utilisé comme support de stockage sécurisé des données d’état civil ainsi que de la photographie du légitime détenteur de ce titre. L’accès aux informations contenues dans le composant de sécurité d’un titre d’identité peut faire l’objet de restrictions dans le droit national des États

composant de sécurité d'un produit ou d'un système [PROJET de Règlement IA du 21 avril 2021] : un composant d’un produit ou d’un système qui remplit une fonction de sécurité pour ce produit ou ce système ou dont la défaillance ou le dysfonctionnement met en danger la santé et la sécurité des personnes ou des biens.

compromission [proposition de clause contractuelle v03-2022] : désigne toute exploitation par un tiers d'une Vulnérabilité et/ou d'un Malware (i) qui porte atteinte au fonctionnement attendu par le PRESTATAIRE du Service ou du Logiciel et/ou du Système d'Information d'une partie; et (ii) qui est susceptible de constituer un délit ou un crime (par exemple une atteinte à un système de traitement automatisé de données au sens des articles 323-1 à 323-3 du Code pénal). Toute Compromission avérée et documentée, par exemple via des Traces, doit faire l'objet d'une information par la partie qui le subit au profit de l'autre. Les actions de remédiation aux Compromissions (appréciation de criticité, mise en œuvre de Correctifs, etc.) sont définies dans les obligations de Maintenance à la charge du PRESTATAIRE.

compte privilégié [glossaire technique en ligne de l'ANSSI] : un compte privilégié est un compte bénéficiant de droits d’accès étendus permettant à des utilisateurs malveillants de porter plus facilement ou plus gravement atteinte à la sécurité ou au fonctionnement du SIIV. Les comptes privilégiés sont par exemple des comptes d’administrateurs ou des comptes d’utilisateurs disposant de droits à fort impact métier dans une application.

conditions générales [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : toutes les conditions générales ou spécifications, quelle que soit leur dénomination ou leur forme, qui régissent la relation contractuelle entre le fournisseur de services d’intermédiation en ligne et ses entreprises utilisatrices et qui sont fixées unilatéralement par le fournisseur de services d’intermédiation en ligne; une telle détermination unilatérale est évaluée sur le fondement d’une évaluation globale, pour laquelle l’importance relative des parties concernées, le fait qu’une négociation a eu lieu ou le fait que certaines dispositions aient pu faire l’objet d’une telle négociation et être déterminées ensemble par le fournisseur concerné et l’entreprise utilisatrice n’est pas, en soi, décisif.

Confidentialité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Propriété qui assure qu’une information n’est ni disponible ni divulguée à des entités non autorisées.

confidentialité [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

• la pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

confidentialité [NORME internationale ISO 27000:2018] : propriété selon laquelle l'information n'est pas diffusée ni divulguée à des personnes, des entités ou des processus non autorisés.

confidentialité [wikipédia "objectif de sécurité des systèmes d'information"] : Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » La sécurité des systèmes d'information vise les objectifs suivants (C.A.I.D.) :

1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
2. Authenticité : les utilisateurs doivent prouver leur identité par l'usage de code d'accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l'utilisateur n'est reconnu que par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un secret est le mécanisme permettant de garantir l'authenticité de l'identifiant. Cela permet de gérer les droits d'accès aux ressources concernées et maintenir la confiance dans les relations d'échange.
3. Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.
4. Disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.

connexion à distance [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : depuis un poste de travail, la connexion à distance consiste à se connecter sur un autre environnement (physique ou virtuel) afin d’y ouvrir une session graphique (au travers de protocoles tels que Remote Desktop Protocol [RDP] ou Independent Computing Architecture) ou console (au travers de protocoles tels que Secure SHell ou des outils tels que PowerShell).

Construction cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Mécanisme cryptographique construit à partir d’au moins un autre mécanisme cryptographique.

contenu de communications électroniques [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : le contenu échangé au moyen de services de communications électroniques, notamment sous forme de texte, de voix, de documents vidéo, d'images et de son.

contenu numérique [Directive UE n°2019/770 du 20 mai 2019] : des données produites et fournies sous forme numérique. NDLR : définition à rapprocher de celle de "données de communications électroniques" proposée dans le PROJET de Règlement UE "e-Privacy" du 10 janvier 2017 (sensé un jour abroger la Directive 2002/58/CE dite "e-Privacy").

contrat à distance [Directive UE 2011/83/UE du 25 octobre 2011 relative aux droits des consommateurs] : tout contrat conclu entre le professionnel et le consommateur, dans le cadre d’un système organisé de vente ou de prestation de service à distance, sans la présence physique simultanée du professionnel et du consommateur, par le recours exclusif à une ou plusieurs techniques de communication à distance, jusqu’au moment, et y compris au moment, où le contrat est conclu.

contremarque de temps [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : donnée signée qui lie une représentation d'une donnée à un temps particulier, exprimé en heure UTC, établissant ainsi la preuve que la donnée existait à cet instant là.

contrevenant [Directive Secrets d'affaires n°2016/943 du 8 juin 2016] : toute personne physique ou morale qui a obtenu, utilisé ou divulgué un secret d'affaires de façon illicite.

contribution à une création de contenu [Décret métadonnées LCEN n°2021-1362 du 20 octobre 2021] : La contribution à une création de contenu mentionnée au dernier alinéa des articles 5 et 6 du présent décret comprend les opérations portant sur : 1° Des créations initiales de contenus ; 2° Des modifications des contenus et de données liées aux contenus ; 3° Des suppressions de contenus.

contrôle d'accès [NORME internationale ISO 27000:2018] : moyens mis en œuvre pour assurer que l'accès aux actifs est autorisé et limité selon les exigences (3.56) propres à la sécurité et à l'activité métier.

cookie [pas de définition légale] : ---> voir "traceur" : les cookies HTTP … les « local shared objects » appelés parfois les « cookies Flash », le « local storage » mis en œuvre au sein du standard HTML 5, les identifications par calcul d’empreinte du terminal ou « fingerprinting », les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil).

courrier électronique [Loi LCEN n°2004-575 du 21 juin 2004] : tout message, sous forme de texte, de voix, de son ou d'image, envoyé par un réseau public de communication, stocké sur un serveur du réseau ou dans l'équipement terminal du destinataire, jusqu'à ce que ce dernier le récupère.

courrier électronique [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : tout message électronique contenant des informations sous forme de texte, de voix, de son ou d'image, envoyé par un réseau public de communications, qui peut être stocké dans le réseau, dans des installations informatiques connexes ou dans l'équipement terminal de son destinataire.

créateur de cachet [Règlement eIDAS n°910/2014 du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques] : une personne morale qui crée un cachet électronique.

cyber menace [Règlement UE "CyberSecurity Act" n°2019/881 du 17 avril 2019] : toute circonstance, tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d’information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes.

[cyber] résilience [wikipédia] : « Résilience » désigne originellement la résistance d'un matériau aux chocs ; (le « fait de rebondir », du latin resilientia, de resiliens), définition ensuite étendue à la capacité d'un corps, d'un organisme, d'une espèce, d'un système, d'une structure à surmonter une altération de son environnement. Ce concept est utilisé dans plusieurs contextes : ...

• dans le domaine de la cyber-sécurité, la cyber résilience est la capacité d'un système à assurer en permanence les fonctionnalités prévues malgré des cyber-événements indésirables

cyber sécurité [Règlement UE Cyber Security Act n°2019/881 du 17 avril 2019] : les actions nécessaires pour protéger les réseaux et les systèmes d’information, les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces.

cyber menace importante [Directive NISv2 - 2022/2555 - 14 décembre 2022] : une cyber menace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable.

cybermenace importante [Règlement DORA n°2022/2554 du 14 décembre 2022] : une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement.

cyberattaque [Règlement DORA n°2022/2554 du 14 décembre 2022] : un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace.

changement majeur [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : toute action planifiée par le prestataire et susceptible, par sa nature ou sa portée, de compromettre la sécurité du service (exemple : modification de l’organisation, modification d’une procédure, ajout, modification ou suppression d’un composant de l’infrastructure technique).

cloud computing (informatique en nuage) [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : modèle permettant un accès aisé, généralement à la demande, et au travers d’un réseau, à un ensemble de ressources informatiques partagées et configurables.

commanditaire [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : entité faisant appel à un prestataire de services d’informatique en nuage.

conteneur (container) [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : instance d’exécution en espace utilisateur, isolée des autres instances par des mécanismes d’abstraction fournis par le noyau d’un système d’exploitation.

contenu illicite [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : toute information qui, en soi ou par rapport à une activité, y compris la vente de produits ou la fourniture de services, n’est pas conforme au droit de l’Union ou au droit d’un État membre qui est conforme au droit de l’Union, quel que soit l’objet précis ou la nature précise de ce droit ;

contrat à distance [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : le “contrat à distance” tel qu’il est défini à l’article 2, point 7), de la directive 2011/83/UE (tout contrat conclu entre le profes­ sionnel et le consommateur, dans le cadre d’un système organisé de vente ou de prestation de service à distance, sans la présence physique simultanée du professionnel et du consommateur, par le recours exclusif à une ou plusieurs techniques de communication à distance, jusqu’au moment, et y compris au moment, où le contrat est conclu) .

coordinateur pour les services numériques de l’État membre d’établissement [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : le coordinateur pour les services numériques de l’État membre dans lequel l’établissement principal d’un fournisseur d’un service intermédiaire est situé, ou dans lequel son représentant légal réside ou est établi.

coordinateur pour les services numériques de l’État membre de destination [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : le coordinateur pour les services numériques d’un État membre dans lequel le service intermédiaire est fourni.

conditions générales [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : toutes les clauses, quelle que soit leur dénomination ou leur forme, qui régissent la relation contractuelle entre le fournisseur de services intermédiaires et les destinataires du service.

communication commerciale [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : la “communication commerciale” telle qu’elle est définie à l’article 2, point f), de la directive 2000/31/CE (toute forme de communication destinée à promouvoir, directement ou indirectement, des biens, des services, ou l'image d'une entreprise, d'une organisation ou d'une personne ayant une activité commerciale, industrielle, artisanale ou exerçant une profession réglementée. Ne constituent pas en tant que telles des communications commerciales: - les informations permettant l'accès direct à l'activité de l'entreprise, de l'organisation ou de la personne, notamment un nom de domaine ou une adresse de courrier électronique, - les communications relatives aux biens, aux services ou à l'image de l'entreprise, de l'organisation ou de la personne élaborées d'une manière indépendante, en particulier lorsqu'elles sont fournies sans contrepartie financière) ;

chiffre d’affaires [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : le montant atteint par une entreprise au sens de l’article 5, paragraphe 1, du règlement (CE) n° 139/2004 du Conseil (Le chiffre d'affaires total au sens du présent règlement comprend les montants résultant de la vente de produits et de la prestation de services réalisées par les entreprises concernées au cours du dernier exercice et correspondant à leurs activités ordinaires, déduction faite des réductions sur ventes ainsi que de la taxe sur la valeur ajoutée et d'autres impôts directement liés au chiffre d'affaires. Le chiffre d'affaires total d'une entreprise concernée ne tient pas compte des transactions intervenues entre les entreprises visées au paragraphe 4 du présent article. Le chiffre d'affaires réalisé soit dans la Communauté, soit dans un État membre, comprend les produits vendus et les services fournis à des entreprises ou des consommateurs soit dans la Communauté, soit dans cet État membre.).