Conformité

La manipulation des données est de plus en plus réglementée dans le monde. Apprenez à connaître les lois, réglementations et recommandations les plus importantes concernant la confidentialité des données manipulées via des appareils et des applications mobiles. Pour plus d’informations sur la manière dont votre entreprise peut se conformer, parlez-en à l’un de nos experts.

Le RGPD est une loi européenne sur la confidentialité des données personnelles qui s'applique à toute organisation exerçant ses activités en Europe (quel que soit son emplacement physique). Il établit des lignes directrices pour la collecte, le traitement et le stockage des informations personnelles identifiables des résidents européens. La loi GDPR a été appliquée pour protéger toutes les informations personnelles, y compris celles traitées sur les appareils et applications mobiles.

La directive NIS2 est un règlement européen qui vise à protéger les entités essentielles et importantes contre les cybermenaces. Elle oblige les organisations faisant partie de secteurs identifiés comme essentiels et importants (énergie, service public, banque, pharmacie, transports…) à prendre des mesures avancées de cybersécurité et à signaler les incidents. NIS2 exige explicitement que les applications et services utilisés sur les appareils mobiles et les tablettes soient sécurisés dans le cadre de l'environnement informatique mondial et recommande la détection des vulnérabilités du système, les tests d'intrusion et les audits de sécurité.

La norme ISO 27001 est une norme internationalement reconnue pour les systèmes de gestion de la sécurité de l'information (ISMS). Il stipule que les informations stockées, traitées ou accessibles via le point de terminaison de l'utilisateur doivent être protégées. La norme ISO 27001 contient 10 clauses et une annexe importantes pour la sécurité mobile. L'adoption de la norme ISO 27001:2022 comme cadre établit et maintient des contrôles et des pratiques de sécurité robustes.

DPA

Le DPA est la législation britannique sur la protection des données. Après le Brexit, il a remplacé le RGPD au Royaume-Uni et en reflète largement les principes. Les processeurs et contrôleurs de données mobiles opérant au Royaume-Uni doivent respecter les exigences de la DPA pour garantir le traitement licite et sécurisé des données personnelles. Cette loi peut entraîner des amendes en cas de non-respect.

La loi FTC accorde à la Federal Trade Commission (FTC) des États-Unis le pouvoir d'appliquer des pratiques commerciales équitables et de protéger la vie privée des consommateurs. La Commission du commerce applique des réglementations encore plus strictes dans les secteurs de la santé, des assurances et de la finance. S'appliquant également aux organisations qui développent des applications mobiles, elle garantit qu'elles fournissent des informations précises et transparentes sur la collecte et la protection des données.

La LPRPDE est la loi fédérale canadienne sur la protection de la vie privée qui régit la collecte, l'utilisation et la divulgation de renseignements personnels dans le cadre d'activités commerciales. Les applications et services mobiles exploités au Canada doivent être conformes à la LPRPDE, qui accorde aux individus certains droits sur leurs données personnelles et oblige les organisations à les protéger avec des mesures de sécurité appropriées.

SOC 2 est une norme d'audit pour les prestataires de services développée par l'American Institute of CPAs (AICPA). Les développeurs et fournisseurs d'applications mobiles peuvent se soumettre à des audits SOC 2 pour démontrer leur engagement en faveur de la protection des données. L'audit portera sur les contrôles de gestion des vulnérabilités, le reporting, la validation, l'identification, la notation, la priorisation et le suivi.

La Cybersecurity and Infrastructure Security Agency (CISA) propose une liste de contrôle conçue pour aider les individus et les organisations à améliorer la sécurité de leurs appareils mobiles. La liste de contrôle couvre la configuration des appareils, les connexions réseau, les mises à jour logicielles, la sécurité des applications, la protection des données, la gestion des appareils mobiles (MDM), le phishing et l'ingénierie sociale.

PSD2 est une directive européenne conçue pour réglementer les services de paiement et promouvoir l'innovation dans le secteur financier. Elle s’applique aux banques, aux prestataires de services de paiement (PSP) et à toute autre entreprise traitant des données financières. Pour les applications mobiles fournissant des services de paiement, telles que les applications bancaires, les applications de paiement, les portefeuilles mobiles et les applications d'achat offrant des fonctionnalités de paiement, la DSP2 exige une authentification forte du client et une transmission sécurisée des données.

DORA est une loi européenne qui vise à garantir que le secteur financier en Europe puisse rester résilient face à de graves perturbations opérationnelles. Il définit les normes techniques pour toutes les institutions de services financiers, de la banque à l'assurance en passant par la gestion d'actifs.

Le Conseil des normes de sécurité PCI est une organisation mondiale qui maintient et promeut une norme de sécurité des informations pour les données des cartes de crédit. Elle exige spécifiquement que tous les commerçants qui utilisent les paiements mobiles protègent les données des titulaires de carte en maintenant un environnement sécurisé. Dans ses exigences de conformité, la norme indique que les appareils mobiles ne sont pas conçus pour être sécurisés et qu'ils nécessitent des mesures de sécurité supplémentaires.

HIPAA est une réglementation américaine qui protège la confidentialité et la sécurité des informations de santé des individus (PHI). Visant spécifiquement à protéger la vie privée des patients et des abonnés au plan de santé.