Aller au contenu principal
MAFATE
Glossaire MAFATE

15+ définitions
cybersécurité & conformité

Définitions courtes, sources officielles (CNIL, ANSSI, NIST, EUR-LEX, ENISA), termes liés. Le glossaire de référence pour comprendre NIS2, DORA, RGPD, CLOUD Act et le chiffrement souverain.

Conformité
ACPR
L'Autorité de Contrôle Prudentiel et de Résolution est l'autorité administrative française qui supervise les banques et organismes d'assurance, adossée à la Banque de France. Elle conduit la mise en œuvre nationale du règlement DORA, de Solvabilité II et de Bâle III. Elle réalise des contrôles sur pièces et sur place, et peut prononcer des sanctions pécuniaires jusqu'à 10 % du chiffre d'affaires net annuel. En matière cyber, elle exige une déclaration des incidents majeurs sous 4 heures et la production annuelle d'un rapport ICAAP-ORSA. Elle coopère avec l'ANSSI et la CNIL via accords formels.
Conformité
AIPD (Analyse d'Impact sur la Protection des Données)
L'AIPD (Analyse d'Impact sur la Protection des Données, RGPD Article 35, DPIA en anglais) est obligatoire pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. La CNIL maintient une liste de traitements obligatoirement soumis à AIPD : profilage, surveillance systématique, données sensibles à grande échelle, données biométriques, etc. L'AIPD doit décrire le traitement, sa nécessité, les risques, et les mesures (dont le chiffrement) pour les atténuer. Document à fournir à la CNIL en cas de contrôle.
Conformité
Attestation de conformité
Une attestation de conformité est un document fourni par un organisme indépendant attestant qu'un produit, service ou processus respecte un référentiel donné (RGPD Article 32, NIS2 Article 21, HDS, ISO 27001, SecNumCloud, etc.). Distinguée de la certification (qui implique une portée et une durée formalisées par un organisme accrédité), l'attestation peut être délivrée par un cabinet d'audit, un organisme de qualification ou l'éditeur lui-même (auto-attestation, à crédibilité limitée). Pour le chiffrement souverain, les attestations recherchées par les acheteurs incluent SecNumCloud, HDS, ISO 27001 + 27018, SOC 2 Type II.
Conformité
Audit ACPR
L'audit ACPR est le contrôle prudentiel mené par l'Autorité de Contrôle Prudentiel et de Résolution sur les banques, assurances et établissements de monnaie électronique français. Il s'organise en contrôles sur pièces (revue documentaire annuelle) et sur place (mission d'inspection multipériode). Pour le volet DORA, les inspecteurs valident la cartographie des risques TIC, la couverture des plans de continuité, la qualité des tests de résilience opérationnelle digitale (DORA Article 25), et l'effectivité du registre des prestataires TIC. Les non-conformités donnent lieu à mise en demeure, plan correctif et, en cas de manquement grave, à sanction publique.
Conformité
DORA Article 9 : Gestion des risques TIC
L'article 9 du règlement DORA (UE 2022/2554) impose aux entités financières un cadre formalisé de gestion des risques liés aux technologies de l'information et de la communication, incluant gouvernance, identification, protection, détection, réponse, récupération, apprentissage, communication. Il exige une revue au moins annuelle de la politique TIC par l'organe de direction. Les contrôles spécifiques (Articles 11 à 14) couvrent protection physique et logique, gestion des changements, sauvegarde, restauration. Sanctions ACPR jusqu'à 1 % du chiffre d'affaires journalier en cas de manquement systémique.
Conformité
DPIA (Data Protection Impact Assessment)
Le DPIA, ou AIPD en français, est l'évaluation d'impact obligatoire au titre de l'article 35 du RGPD pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. La CNIL publie une liste des traitements qui en imposent systématiquement la réalisation (données de santé, surveillance, profilage à grande échelle). L'analyse comprend : description du traitement, évaluation de la nécessité et de la proportionnalité, évaluation des risques résiduels après mesures, consultation du DPO. Si les risques restent élevés, consultation préalable de la CNIL avant mise en œuvre.
Conformité
DPO (Data Protection Officer)
Le Délégué à la Protection des Données (DPO) est désigné en vertu des articles 37 à 39 du RGPD pour conseiller et contrôler la conformité d'une organisation au RGPD. Sa désignation est obligatoire pour les autorités publiques, les organismes effectuant un suivi régulier et systématique de personnes à grande échelle, ou traitant à grande échelle des données sensibles. Il doit pouvoir agir en toute indépendance, disposer de ressources suffisantes et rapporter au niveau hiérarchique le plus élevé. Sa désignation est notifiée à la CNIL. Sa responsabilité personnelle ne peut être engagée à raison de manquements de l'organisation.
Conformité
ISO/IEC 27001
ISO/IEC 27001:2022 est la norme internationale de référence pour la mise en place et la certification d'un Système de Management de la Sécurité de l'Information (SMSI). Elle définit 10 clauses normatives (contexte, leadership, planification, support, fonctionnement, évaluation, amélioration) et 93 contrôles annexés (Annexe A). La version 2022 a remanié les contrôles en 4 thèmes (organisationnels, humains, physiques, technologiques) et introduit notamment les Threat Intelligence, Cloud Services, ICT Readiness. La certification, délivrée par un organisme accrédité COFRAC en France, est valable 3 ans avec audits annuels.
Conformité
ISO/IEC 27018
ISO/IEC 27018:2019 est le code de bonnes pratiques pour la protection des données à caractère personnel dans le cloud public agissant en tant que sous-traitant (Cloud PII processor). Elle complète ISO 27001/27002 par des exigences spécifiques au cloud : transparence sur la localisation des données et la chaîne de sous-traitance, restitution et suppression en fin de contrat, restrictions sur le marketing direct, traçabilité des accès administratifs. Les principaux fournisseurs cloud (AWS, Azure, GCP, OVH) sont certifiés. Elle aide à démontrer la conformité Article 28 RGPD côté sous-traitant.
Conformité
Prestataire TIC critique
Au sens du règlement DORA (articles 28 à 44), un prestataire TIC critique est un fournisseur de services informatiques dont la défaillance entraînerait des conséquences systémiques sur le secteur financier européen. La désignation est opérée par les autorités européennes de surveillance (EBA, EIOPA, ESMA) selon des critères de concentration de marché, d'effet de réseau, et de complexité de remplacement. Une fois désignés, ces prestataires sont soumis à une supervision directe par un "Lead Overseer" : audits, plans correctifs, sanctions jusqu'à 1 % du chiffre d'affaires journalier en cas de manquement. Premières désignations attendues en 2026.
Conformité
Registre des traitements
Le registre des activités de traitement, prévu par l'article 30 du RGPD, est la documentation obligatoire tenue par le responsable de traitement (et son sous-traitant, distinct) listant les traitements de données personnelles : finalité, catégories de personnes et données, destinataires, transferts internationaux, durées de conservation, mesures de sécurité. Outil central de la démarche d'accountability, il doit être tenu sous forme écrite (papier ou électronique) et fourni sur demande à la CNIL. La dispense pour les entités < 250 salariés ne s'applique presque jamais car elle est conditionnée à l'absence de traitements à risque.
Conformité
RGPD Article 32 (Sécurité du traitement)
L'Article 32 du RGPD impose au responsable du traitement et au sous-traitant de mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Cite explicitement : pseudonymisation et chiffrement des données personnelles ; capacité à garantir la confidentialité, l'intégrité et la disponibilité ; rétablissement en cas d'incident ; tests réguliers. Standard de fait : "chiffrement au repos + chiffrement en transit" : c'est le minimum exigé par la CNIL en cas d'audit. Le chiffrement par MAFATE remplit cette obligation.
Conformité
RGPD Article 34 (Notification aux personnes concernées)
L'Article 34 du RGPD impose au responsable du traitement de notifier individuellement les personnes concernées en cas de violation de données présentant un risque élevé pour leurs droits et libertés. EXEMPTION CRITIQUE : la notification n'est pas requise si "le responsable du traitement a mis en œuvre les mesures techniques et organisationnelles appropriées de protection (...) telles que le chiffrement, qui rendent les données personnelles incompréhensibles à toute personne qui n'est pas autorisée". C'est l'argument-clé pour MAFATE : chiffrer permet d'éviter le scandale médiatique d'une notification de masse.
Conformité
SOC 2
SOC 2 (System and Organization Controls 2) est un cadre d'audit indépendant édité par l'AICPA (American Institute of CPAs) attestant qu'un prestataire de services maîtrise ses contrôles internes sur cinq critères dits "Trust Services" : Sécurité, Disponibilité, Intégrité du traitement, Confidentialité, Vie privée. Il existe deux types de rapports : Type I (description à un instant donné) et Type II (efficacité opérationnelle sur 6 à 12 mois). Standard de facto pour les éditeurs SaaS adressant le marché américain, il est complémentaire et non exclusif d'ISO 27001, qui couvre la gouvernance d'un SMSI tandis que SOC 2 audite l'efficacité des contrôles.
Conformité
Sous-traitant RGPD
Au sens de l'article 4(8) du RGPD, le sous-traitant est la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement (par exemple un prestataire SaaS, un hébergeur, un service d'envoi d'e-mails). Sa relation avec le responsable doit être encadrée par un contrat de sous-traitance (DPA) conforme à l'article 28, qui définit ses obligations : agir sur instructions documentées, garantir la confidentialité, mettre en œuvre des mesures de sécurité, assister le responsable, autoriser les audits, restituer ou supprimer les données en fin de contrat.

Besoin d'aide pour appliquer ces concepts ?

MAFATE livre les attestations de chiffrement réglementaires en 1 clic. NIS2, DORA, RGPD, HDS — tout est couvert.

Demander une démoVoir la conformité

Ce site utilisé uniquement des cookies strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire ou de traçage n'est utilisé.