Aller au contenu principal
MAFATE
Glossaire MAFATE

12+ définitions
cybersécurité & conformité

Définitions courtes, sources officielles (CNIL, ANSSI, NIST, EUR-LEX, ENISA), termes liés. Le glossaire de référence pour comprendre NIS2, DORA, RGPD, CLOUD Act et le chiffrement souverain.

Souveraineté
ANSSI
L'Agence Nationale de la Sécurité des Systèmes d'Information est l'autorité nationale française en matière de cybersécurité, rattachée au SGDSN (Premier ministre). Créée en 2009, elle assure la protection des systèmes d'information de l'État et accompagne les opérateurs d'importance vitale (OIV) et de services essentiels (OSE). Elle édite les référentiels SecNumCloud, RGS, ReCyF et opère le CERT-FR. Autorité compétente pour la transposition NIS2, elle exerce les pouvoirs de contrôle et de sanction (jusqu'à 10 M€) prévus par la directive.
Souveraineté
BCR (Binding Corporate Rules)
Les Règles d'Entreprise Contraignantes (Binding Corporate Rules) constituent un dispositif RGPD permettant à un groupe multinational d'encadrer juridiquement les transferts internes de données personnelles entre ses entités situées dans des pays tiers (article 47 RGPD). Approuvées par une autorité de protection chef de file (CNIL en France) selon une procédure formelle, elles incluent : politique de protection, droits des personnes, mécanismes de plainte, audits, recours. Particulièrement adaptées aux groupes opérant sur de nombreuses juridictions car couvrant tous les transferts intragroupe.
Souveraineté
Cloud souverain
Un cloud souverain est une infrastructure cloud opérée par une entité juridique non soumise aux lois extraterritoriales d'États tiers (notamment CLOUD Act et FISA Section 702 pour les US, FSB Loi 374-FZ pour la Russie). En France, la qualification ANSSI SecNumCloud (Niveau 3) est la référence pour les services "cloud de confiance". À ne pas confondre avec "cloud français" (infrastructure en France mais opérateur soumis au CLOUD Act, ex: AWS Région Paris). MAFATE est hébergé sur Scaleway France, opéré par UNIVILE SAS (France) : souveraineté juridique pleine.
Souveraineté
Extraterritorialité
L'extraterritorialité juridique désigne l'application d'une loi nationale au-delà des frontières de l'État qui l'édicte. Pour la cybersécurité, les principaux régimes extraterritoriaux à risque pour les données européennes sont : le CLOUD Act (accès des autorités fédérales US aux données détenues par des entreprises de droit américain, même à l'étranger), le FISA Section 702 (surveillance), le Patriot Act. Tout fournisseur de services cloud relevant du droit américain (siège social, filiale, structure capitalistique) est susceptible d'y être soumis, créant un conflit avec le RGPD documenté par la jurisprudence Schrems II.
Souveraineté
FISA Section 702 (Loi US, 1978 amendée)
La Section 702 du Foreign Intelligence Surveillance Act (FISA) autorise la NSA américaine à collecter, sans mandat individuel, les communications électroniques de personnes non-américaines situées hors des États-Unis, via les "providers" comme Google, Microsoft, Apple, Facebook (programme PRISM révélé en 2013). Renouvelée par Reauthorization Act de 2024. Combiné au CLOUD Act, cela crée une incompatibilité structurelle avec le RGPD (jugement CJUE Schrems II, juillet 2020). Toute entreprise européenne utilisant des services US est concernée.
Souveraineté
Hébergement souverain
L'hébergement souverain désigne l'hébergement de données et services informatiques par des prestataires soumis exclusivement au droit européen (et idéalement français), exempts d'extraterritorialité américaine (CLOUD Act, FISA 702). Critères usuels : capital majoritairement européen, infrastructures physiques sur le territoire européen, équipes techniques résidant en UE, absence d'entité mère soumise au droit américain. Validé en France par la qualification SecNumCloud délivrée par l'ANSSI. Les opérateurs souverains français notables incluent OVHcloud, Outscale (3DS), Scaleway, Numspot.
Souveraineté
Localisation des données
La localisation des données désigne l'emplacement géographique où les données sont stockées, traitées et accessibles. Bien que le RGPD ne pose pas d'obligation générale de localisation européenne (les transferts hors UE sont possibles sous conditions), de nombreuses obligations sectorielles l'imposent : données de santé sous HDS, données défense, données fiscales. La doctrine "Cloud au Centre" du gouvernement français (2021) impose aux administrations un hébergement français ou européen sous qualification SecNumCloud pour les données sensibles. À distinguer de la "souveraineté juridique" qui couvre aussi l'extraterritorialité.
Souveraineté
Qualification ANSSI
La qualification ANSSI est une attestation délivrée par l'Agence Nationale de la Sécurité des Systèmes d'Information à des produits ou services de cybersécurité après audit approfondi par un centre d'évaluation agréé. Trois niveaux existent : Élémentaire (Diffusion Restreinte), Standard (Confidentiel Défense), Renforcé (Secret Défense). Reconnue par l'État français et les opérateurs d'importance vitale, elle est exigée pour les marchés publics sensibles. Le visa de sécurité ANSSI atteste qu'un produit est conforme aux exigences du Référentiel Général de Sécurité (RGS).
Souveraineté
SCC (Standard Contractual Clauses)
Les Clauses Contractuelles Types (Standard Contractual Clauses) sont des modèles de contrat publiés par la Commission européenne pour encadrer juridiquement les transferts de données personnelles vers des pays tiers (article 46 RGPD). Les SCC 2021/914 (en vigueur depuis 2021) couvrent quatre modules : C→C, C→P, P→P, P→C (Contrôleur/Sous-traitant). Depuis Schrems II, les SCC doivent être complétées par des mesures supplémentaires (chiffrement de bout-en-bout, pseudonymisation) lorsque l'analyse révèle un risque d'accès gouvernemental du pays destinataire, typiquement les États-Unis.
Souveraineté
Schrems II (Arrêt CJUE C-311/18, 2020)
L'arrêt Schrems II (16 juillet 2020) de la Cour de Justice de l'Union Européenne a invalidé le Privacy Shield, le mécanisme qui légalisait les transferts de données personnelles UE → US. La CJUE a jugé que le droit américain (FISA Section 702, CLOUD Act, Executive Order 12333) ne garantit pas une protection équivalente au RGPD. Conséquence : tout transfert UE → US doit être assorti de garanties supplémentaires (clauses contractuelles types + chiffrement de bout en bout dont les clés restent en UE). Le Data Privacy Framework (2023) tente de combler ce vide mais reste fragile.
Souveraineté
SecNumCloud (Qualification ANSSI)
SecNumCloud est le référentiel français de qualification des prestataires de services cloud de confiance, géré par l'ANSSI. Niveau 3.2 (en vigueur depuis 2022) exige notamment : siège social en UE, capital majoritairement européen, immunité aux lois extraterritoriales (CLOUD Act, FISA), chiffrement par défaut, journalisation complète. Critère de référence pour les administrations françaises ("doctrine cloud au centre", circulaire Premier ministre 2021) et bientôt étendu aux OIV/OSE via NIS2. Liste officielle des prestataires qualifiés publiée par l'ANSSI.
Souveraineté
Transferts hors UE
Les transferts de données personnelles hors de l'Union européenne sont régis par les articles 44 à 50 du RGPD. Ils ne sont licites que si le pays destinataire offre un niveau de protection adéquat (décision d'adéquation de la Commission), à défaut moyennant des garanties appropriées (BCR, SCC) ou dérogations limitées (consentement, exécution contractuelle). L'invalidation du Privacy Shield par l'arrêt Schrems II (2020) a complexifié les transferts vers les États-Unis ; le Data Privacy Framework (juillet 2023) en constitue le nouveau cadre, contesté en justice.

Besoin d'aide pour appliquer ces concepts ?

MAFATE livre les attestations de chiffrement réglementaires en 1 clic. NIS2, DORA, RGPD, HDS — tout est couvert.

Demander une démoVoir la conformité

Ce site utilisé uniquement des cookies strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire ou de traçage n'est utilisé.