Aller au contenu principal
MAFATE
Glossaire MAFATE

18+ définitions
cybersécurité & conformité

Définitions courtes, sources officielles (CNIL, ANSSI, NIST, EUR-LEX, ENISA), termes liés. Le glossaire de référence pour comprendre NIS2, DORA, RGPD, CLOUD Act et le chiffrement souverain.

Régulations
AI Act
Le règlement européen sur l'intelligence artificielle (UE 2024/1689), entré en vigueur le 1er août 2024, est le premier cadre juridique horizontal mondial sur l'IA. Il classifie les systèmes par niveau de risque : interdits (ex : notation sociale), haut risque (RH, éducation, justice), à transparence (chatbots, deepfakes) ou risque minimal. Pour les modèles à usage général (GPAI), il impose documentation technique, traçabilité d'entraînement et évaluation des risques systémiques. Application échelonnée : pratiques interdites en février 2025, GPAI en août 2025, IA à haut risque en août 2026.
Régulations
CLOUD Act (Loi américaine, 2018)
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi américaine de 2018 qui oblige les fournisseurs de services cloud sous juridiction US (AWS, Azure, Google Cloud, Oracle, IBM, Salesforce) à fournir les données qu'ils détiennent, qu'elles soient stockées aux États-Unis ou à l'étranger, sur demande des autorités américaines. Crée un conflit direct avec le RGPD européen (Schrems II, 2020). H1 2025 : 6 288 requêtes US sur des données cloud. MAFATE, opéré par UNIVILE SAS (France), n'est PAS soumis au CLOUD Act.
Régulations
CRA (Cyber Resilience Act)
Le Cyber Resilience Act (règlement UE 2024/2847) impose aux fabricants et éditeurs de "produits comportant des éléments numériques" (logiciels, IoT, matériel) des obligations de cybersécurité dès la conception : gestion documentée des vulnérabilités, signalement des incidents 24h/72h, fourniture de mises à jour de sécurité pendant la durée de support attendue. Entré en vigueur le 10 décembre 2024, ses obligations principales s'appliquent à partir de décembre 2027 (signalement vulnérabilités dès septembre 2026). Sanctions jusqu'à 15 M€ ou 2,5 % du CA mondial.
Régulations
DMA (Digital Markets Act)
Le Digital Markets Act (règlement UE 2022/1925), pleinement applicable depuis le 7 mars 2024, encadre les "contrôleurs d'accès" (gatekeepers), grandes plateformes dont l'activité conditionne l'accès au marché numérique européen. Sept entreprises sont désignées (Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking). Il impose interopérabilité (messageries), interdit l'auto-préférencement, donne aux utilisateurs le droit de désinstaller les applications préinstallées. Sanctions jusqu'à 10 % du chiffre d'affaires mondial, 20 % en récidive. Pouvoir de désinvestissement structurel en cas de violations répétées.
Régulations
DORA (Règlement UE 2022/2554)
DORA (Digital Operational Resilience Act) est le règlement européen sur la résilience opérationnelle numérique du secteur financier, en vigueur depuis le 17 janvier 2025. Il s'applique à environ 22 000 entités financières (banques, mutuelles, assurances, gestionnaires d'actifs) et leurs prestataires TIC critiques. L'Article 9 impose le chiffrement bout-en-bout des données au repos et en transit, la MFA, et un audit trail complet. L'ACPR intensifie ses contrôles en 2026. Sanctions : 10 M€ ou 5% CA.
Régulations
DSA (Digital Services Act)
Le Digital Services Act (règlement UE 2022/2065) impose aux intermédiaires en ligne et plateformes des obligations harmonisées de modération de contenu, transparence et protection des utilisateurs européens. Pleinement applicable depuis le 17 février 2024, il distingue les très grandes plateformes (VLOPs, > 45 M utilisateurs UE) soumises à des obligations renforcées : audits indépendants annuels, évaluation des risques systémiques, transparence des recommandations algorithmiques. Sanctions jusqu'à 6 % du chiffre d'affaires mondial. La Commission supervise directement les VLOPs ; les autres relèvent des coordinateurs nationaux (Arcom en France).
Régulations
eIDAS
Le règlement eIDAS (UE 910/2014) établit le cadre européen de l'identification électronique et des services de confiance : signatures électroniques, cachets, horodatages, recommandés électroniques, certificats d'authentification de sites web. Il définit trois niveaux de signature : simple, avancée, qualifiée (eIDAS qualifiée = équivalence légale à la signature manuscrite). Sa révision eIDAS 2 (en cours d'adoption 2024-2026) introduit le portefeuille européen d'identité numérique (EUDI Wallet) et étend les obligations d'interopérabilité transfrontière. Les TSP qualifiés doivent être certifiés ETSI et listés au "Trusted List" national (ANSSI en France).
Régulations
ePrivacy
La directive ePrivacy (2002/58/CE, révisée 2009/136/CE) régit la confidentialité des communications électroniques dans l'Union européenne : consentement aux cookies, secret des communications, géolocalisation, prospection commerciale par voie électronique. Elle est l'origine de l'obligation des bandeaux cookies. Sa refonte en règlement ePrivacy est en discussion depuis 2017 mais reste bloquée au Conseil européen, retardant l'harmonisation avec le RGPD. En attendant, les autorités nationales (CNIL en France) en assurent une lecture coordonnée RGPD-ePrivacy.
Régulations
HDS v2 (Hébergeur de Données de Santé)
HDS v2 est la nouvelle certification française pour les hébergeurs de données de santé, obligatoire depuis le 16 mai 2026 (référentiel ANS-HDS-001 v2). Elle remplace l'agrément HDS de 2018 et durcit les exigences : chiffrement obligatoire au repos et en transit (algorithmes ANSSI niveau Renforcé), authentification 2FA, journalisation complète, et notification incident sous 24h. Concerne ~500 établissements hospitaliers + cliniques + GHT + laboratoires. MAFATE est intégrable dans toute architecture HDS pour fournir la couche chiffrement.
Régulations
LCEN
La Loi pour la Confiance dans l'Économie Numérique (loi n° 2004-575 du 21 juin 2004) constitue le socle juridique français du commerce électronique et de la responsabilité des hébergeurs et fournisseurs d'accès. Elle pose le principe de responsabilité limitée des hébergeurs avant notification de contenus manifestement illicites, organise la publicité par voie électronique (opt-in pour la prospection), et encadre les obligations de conservation des données par les opérateurs. Plusieurs articles ont été partiellement remplacés par le RGPD (2018) et le DSA (2024), mais la LCEN reste le texte de base pour les questions de responsabilité éditoriale.
Régulations
Loi Résilience
La Loi Résilience est le véhicule législatif français destiné à transposer simultanément la directive NIS2 (cybersécurité), la directive REC (résilience entités critiques) et certains aspects du règlement DORA. Initialement déposée en 2024, son adoption a connu plusieurs phases parlementaires et son décret d'application est attendu en 2026. Elle élargit le périmètre des entités assujetties (~15 000 organisations en France contre 500 sous NIS1), impose obligations de gouvernance, déclaration d'incidents 24h/72h, gestion des risques fournisseurs et sanctions jusqu'à 10 M€ ou 2% du chiffre d'affaires mondial.
Régulations
NIS2 (Directive UE 2022/2555)
NIS2 (Network and Information Security 2) est la deuxième directive européenne sur la cybersécurité, entrée en vigueur en janvier 2023, transposée en droit français via la Loi Résilience (été 2026). Elle élargit le périmètre des entités régulées de 300 à environ 15 000 entreprises françaises dans 18 secteurs critiques. Impose : gestion des risques, notification d'incidents (24h), gouvernance avec responsabilité personnelle des dirigeants, et mesures techniques dont le chiffrement (Art. 21). Sanctions : 10 M€ ou 2% CA mondial (entités essentielles).
Régulations
ReCyF (Référentiel Cybersécurité France)
Le ReCyF est le référentiel ANSSI publié en 2026 qui consolide les exigences cybersécurité applicables aux entités françaises sous NIS2, REC et la Loi Résilience en cours d'adoption. Il s'articule autour de domaines : gouvernance, gestion des risques, gestion des actifs, sécurité physique, sécurité personnel, accès, cryptographie, supply chain, exploitation, sécurité communications, gestion incidents, continuité, conformité. Aligné avec ISO 27001 et NIST CSF mais adapté au cadre juridique français. Les opérateurs visés doivent justifier de leur conformité aux contrôles via auto-évaluation puis audit qualifié.
Régulations
RGAA
Le Référentiel Général d'Amélioration de l'Accessibilité (RGAA, version 4.1.2 publiée en 2023) est le standard français de mise en conformité aux exigences d'accessibilité numérique du WCAG 2.1 niveau AA. Édité par la DINUM, il décline 106 critères de contrôle organisés en 13 thématiques (images, couleurs, navigation, formulaires, etc.) et fournit la méthodologie d'audit conforme. Son respect est obligatoire pour les services publics numériques en application de la loi du 11 février 2005 ; les manquements peuvent entraîner une sanction de 25 000 € par service non conforme.
Régulations
RGPD (Règlement UE 2016/679)
Le RGPD (Règlement Général sur la Protection des Données) est le règlement européen sur la protection des données personnelles, en vigueur depuis le 25 mai 2018. Il impose des obligations aux responsables de traitement et sous-traitants : licéité, minimisation, sécurité (Art. 32 : chiffrement et pseudonymisation), notification de violation à la CNIL sous 72h (Art. 33), et notification aux personnes concernées (Art. 34) sauf si données chiffrées rendues incompréhensibles. Sanctions : 20 M€ ou 4% CA mondial.
Régulations
Solvabilité II
Solvabilité II (Directive 2009/138/CE révisée 2019) est le cadre prudentiel européen applicable aux entreprises d'assurance et de réassurance. Il structure les exigences en trois piliers : exigences quantitatives (capital de solvabilité requis SCR, capital minimum MCR), gouvernance et gestion des risques (ORSA), et reporting / transparence. Sous l'autorité de l'EIOPA et localement de l'ACPR en France, il impose notamment des exigences spécifiques de cybersécurité et de continuité opérationnelle qui se combinent désormais avec DORA pour les acteurs financiers.
Régulations
STORAGE Act
Le Strengthening The Online Restraint Against Generated Exploitation Act (STORAGE Act) est un projet de loi américain visant à renforcer les obligations des fournisseurs de services cloud en matière de stockage et de gouvernance des données. Bien qu'à l'état de proposition au Congrès américain (118e session), il est suivi de près par l'écosystème souveraineté car il complèterait le CLOUD Act et le FISA 702 en matière d'accès gouvernemental américain aux données stockées dans le cloud. Statut 2026 : non promulgué, en navette législative.
Régulations
USA PATRIOT Act
Le USA PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act, 2001) confère aux agences fédérales américaines des pouvoirs étendus de surveillance et de collecte d'informations. Sa section 215, dite "business records provision", autorisait la collecte massive de métadonnées par la NSA. Bien que cette section ait expiré en mars 2020, le Patriot Act reste l'un des textes fondateurs avec FISA et le CLOUD Act du régime d'accès extraterritorial américain aux données, source du contentieux juridique européen Schrems I/II.

Besoin d'aide pour appliquer ces concepts ?

MAFATE livre les attestations de chiffrement réglementaires en 1 clic. NIS2, DORA, RGPD, HDS — tout est couvert.

Demander une démoVoir la conformité

Ce site utilisé uniquement des cookies strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire ou de traçage n'est utilisé.