Conformité à l’Australian Privacy Act
Le Privacy Act australien impose aux entités soumises aux APP de prendre des mesures raisonnables pour sécuriser les informations personnelles. Découvrez comment ImmuniWeb vous aide à respecter le Australian Privacy Principle 11.
Conformité à l’Australian Privacy Act
Qu’est-ce que la loi australienne sur la protection de la vie privée?
La Privacy Act régit la manière dont les entités APP collectent, utilisent, divulguent et sécurisent les informations personnelles au travers des 13 Australian Privacy Principles. Le régime des Notifiable Data Breaches (NDB) oblige les entités à notifier l’OAIC et les personnes concernées des violations de données éligibles.
Les réformes de 2024 ont renforcé le régime: un système de sanctions civiles échelonné, de nouvelles notifications d'infraction et de mise en conformité de l'OAIC, un délit statutaire pour les atteintes graves à la vie privée et (à partir de décembre 2026) des obligations de transparence pour la prise de décision automatisée. L'exemption pour les petites entreprises est également en cours d'élimination progressive.
See how ImmuniWeb helps you take 'reasonable steps' under APP 11 - securing the apps that hold personal information. Request a demo · or run a free Community Edition test.
Qui doit se conformer au Privacy Act?
Privacy Act s'applique aux entités APP:
- Les agences gouvernementales australiennes et de nombreuses organisations du secteur privé.
- Organisations dont le chiffre d’affaires dépasse 3 millions de dollars australiens (AUD) ainsi que certaines autres (prestataires de services de santé, entreprises échangeant des informations personnelles, etc.).
- Note: l’exemption pour les petites entreprises est en cours de suppression, ce qui étend le champ d’application à de nombreuses autres organisations.
Toute entité APP exploitant des applications web et mobiles contenant des données à caractère personnel doit prendre des mesures raisonnables pour les sécuriser.
Exigences clés de l'APP 11 en matière de sécurité des applications
La sécurité des applications est régie par le Principe australien de protection de la vie privée n° 11:
- APP 11 - Sécurité des informations personnelles: prendre des mesures raisonnables (mesures techniques et organisationnelles) pour protéger les informations personnelles contre tout usage abusif, toute ingérence, toute perte, ainsi que tout accès, modification ou divulgation non autorisés.
- Régime de notification des violations de données: notifier l'OAIC et les personnes concernées des violations de données éligibles.
- Renforcement des pouvoirs de sanction (2024): l’OAIC peut émettre des avis d’infraction et de conformité, assortis de sanctions civiles échelonnées.
Exigences de sécurité de la Privacy Act en détail
APP 11 - Sécurité des informations personnelles
L'APP 11 exige des mesures raisonnables pour protéger les informations personnelles. Les réformes de 2024 mettent l'accent sur une sécurité opérationnelle démontrable au sein des systèmes en production, y compris les APIs et les services cloud. Les tests d'intrusion et le scan de vulnérabilités des applications web et mobiles sont des moyens pratiques de démontrer que ces mesures raisonnables ont été prises.
Dispositif de notification des violations de données
Dans le cadre du dispositif NDB, les entités doivent évaluer les violations présumées et notifier l’OAIC ainsi que les personnes concernées en cas de violations éligibles. Réduire la probabilité de violation grâce à des tests d'applications réguliers est le moyen le plus efficace d'éviter de déclencher une notification.
Risques courants des applications Web et mobiles à remédier
Les violations de données à caractère personnel trouvent souvent leur origine dans des applications web et mobiles vulnérables. Les risques que l’APP 11 vous demande de traiter correspondent étroitement à l’OWASP Top 10:
- Contrôle d'accès cassé — des utilisateurs accédant à des données ou actions interdites.
- Échecs cryptographiques — chiffrement faible ou absent exposant des données sensibles.
- Injection — Injection SQL, de commande ou autre via des entrées non validées.
- Insecure Design — des contrôles de sécurité manquants par conception, et non pas seulement par bug.
- Mauvaise configuration de sécurité — configuration par défaut, incomplète ou non sécurisée.
- Composants vulnérables et obsolètes — bibliothèques et frameworks non patchés.
- Échecs d'identification et d'authentification — gestion faible des connexions, des sessions ou des identifiants.
- Échecs d'intégrité des logiciels et des données — mises à jour non fiables, pipelines CI/CD non sécurisés.
- Échecs de la journalisation et de la surveillance de la sécurité — attaques non détectées.
- Server-Side Request Forgery (SSRF) — le serveur est induit à effectuer des requêtes malveillantes. Pour les applications mobiles, l'OWASP Mobile Top 10 est la référence équivalente (stockage de données non sécurisé, communication non sécurisée, cryptographie faible, etc.). Identifier ces problèmes de manière fiable nécessite de tester l'application en fonctionnement, et pas seulement une revue de la documentation.
Comment aborder la sécurité des applications conformément à la Privacy Act avec ImmuniWeb
- Cartographiez votre exposition. Inventoriez les applications, API et actifs exposés sur Internet avec ImmuniWeb Discovery.
- Testez les applications web avec On-Demand (tests d'intrusion) et Neuron (balayage).
- Testez les applications mobiles avec MobileSuite et Neuron Mobile.
- Corriger et retester avec des rapports exploitables prouvant les «mesures raisonnables».
- Maintenez des tests continus avec Continuous dans le CI/CD et des retests périodiques
- Surveillez les fuites grâce à la surveillance du Dark Web par Discovery pour vous préparer aux violations de données.
Comment ImmuniWeb vous aide à respecter la conformité avec la Privacy Act
ImmuniWeb aide les entités couvertes par l'APP à prendre et à prouver les «mesures raisonnables» exigées par l'APP 11
| Exigence | Ce que cela nécessite | Produits ImmuniWeb |
|---|---|---|
| APP 11 | Reasonable technical and organisational steps to secure personal information. | On-Demand, Neuron, Discovery, Continuous |
| Applications et données | Sécuriser les applications Web/mobiles et les API contenant des informations personnelles. | On-Demand, Neuron, MobileSuite, Neuron Mobile |
| Préparation aux NDB | Décelez les expositions et les fuites de données pour réduire les violations éligibles. | Discovery (ASM / Dark Web) |
ImmuniWeb On-Demand et MobileSuite offrent des tests d’intrusion Web et mobiles ; Neuron et Neuron Mobile fournissent des scans automatisés ; Continuous intègre les tests dans CI/CD ; et Discovery cartographie votre surface d’attaque et surveille le Dark Web pour les données personnelles fuitées.
Privacy Act vs Cadres internationaux
Si vous respectez déjà des normes internationales, les mêmes tests ImmuniWeb les couvrent toutes:
| Framework | Perspective sécurité des applications | Comment ImmuniWeb s'aligne |
|---|---|---|
| Loi australienne sur la protection de la vie privée | APP 11: sécurité des informations personnelles | Tests d’intrusion Web/mobile, analyse, ASM, surveillance du Dark Web |
| RGPD | Article 32 sécurité du traitement | Les mêmes tests couvrent les deux |
| Singapore PDPA | Section 24: Obligation de protection | Les mêmes tests couvrent les deux |
| ISO/IEC 27001 | Annexe A: contrôles techniques | Tests comme preuve de contrôle |
Tests d'intrusion vs scans de sécurité
Les deux sont nécessaires. Le scan automatisé (DAST) offre une couverture large et fréquente et est idéal pour les tests continus dans le CI/CD ; le penetration testing manuel trouve les vulnérabilités de logique métier et complexes que les scanners manquent et produit la profondeur attendue par les auditeurs et les régulateurs. Combinez le scanning continu avec du penetration testing manuel périodique, et re-testez après des changements significatifs.
Liste de contrôle de conformité (Sécurité des applications)
- Inventaire des applications, API et actifs exposés sur Internet
- Applications web testées contre le Top 10 OWASP
- Applications mobiles testées par rapport à la liste OWASP Mobile Top 10
- Mesures de sécurité raisonnables mises en œuvre et vérifiées (APP 11)
- Les failles identifiées sont corrigées et retestées ; les enregistrements sont conservés
- Processus d'évaluation et de notification des NDB en place
- Surveillance de l'exposition et du Dark Web en place
Pourquoi la conformité à la Privacy Act est importante
Les réformes de 2024 ont considérablement renforcé les contrôles: l’OAIC dispose désormais de nouveaux pouvoirs de sanctionnement et de mise en conformité, les particuliers peuvent intenter une action en responsabilité civile de plein droit, et toute atteinte grave ou répétée à la vie privée peut entraîner des amendes allant jusqu’à 50 millions de dollars australiens, trois fois le bénéfice obtenu ou 30 % du chiffre d’affaires ajusté.
Les applications web et mobiles étant un vecteur de violation majeur, les sécuriser et les tester de manière démonstrable constitue l'une des méthodes les plus claires pour prendre des «mesures raisonnables» conformément à l'APP 11 et réduire les risques.