La Norme ISO/IEC 27701: 2019, Qu’en est-il réellement ?

Les nombreuses fuites de données et l’entrée en application, le 25 Mai 2018, du Règlement Général sur la Protection des Données (RGPD) ont été des facteurs déterminants dans la prise de conscience des petites et grandes entreprises sur la question de la sécurité des données personnelles.

En publiant la norme ISO 27701 : 2019, ce 6 Août 2019, l’Organisation Internationale de Normalisation (ISO) et la Commission Electrotechnique Internationale (IEC) contribuent à standardiser et renforcer cette nécessité de protéger la donnée personnelle.

Définition

La norme ISO/IEC 27701 (Techniques de sécurité – Extension des normes ISO/IEC 27001 et ISO/IEC 27002 pour le management de la protection de la vie privée – Exigences et lignes directrices) est la première norme internationale en matière de protection des données personnelles.

Elle regroupe les exigences relatives à l’établissement, la mise en œuvre, la mise à jour et l’amélioration continue d’un système de management de la vie privée ou PIMS (Privacy Information Management System).

Champ d’application

Quels que soient leur taille, leur complexité ou le pays dans lequel ces organisations opèrent, les exigences et directives définies dans cette nouvelle norme s’appliquent aux organisations identifiées comme responsables de traitements ou sous-traitants de données personnelles.

Toutefois l’application de ces exigences aux organisations qui traitent des données personnelles doit être adaptée aux lois et règlements en vigueur dans le pays concerné.

Structure de la Norme ISO/IEC 27701

Tout en se basant sur la version 2013 des normes ISO/IEC 27001 et 27002, cette nouvelle norme est construite autour de 4 clauses principales :

  • La clause 5 reprend entièrement la structure de la norme ISO/IEC 27001 et définit des exigences supplémentaires appliquées aux responsables de traitements et sous-traitants.
  • Ces exigences supplémentaires concernent uniquement les articles 4 « Contexte de l’organisation » et 6 « Planification » de la norme ISO 27001.
  • La Clause 6 s’est forgée sur la structure des 14 articles la norme ISO/IEC 27002 et définit des directives supplémentaires, à l’exception de l’article 17 « Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité ». Cette clause s’applique aussi bien au responsable de traitement qu’au sous-traitant de données personnelles.
  • Ensuite des directives supplémentaires apportées aux clauses 7 et 8 permettent de renforcer les directives énumérées à la clause 6. Tout en précisant que la clause 7 s’applique au responsable de traitement et la 8 au sous-traitant de données personnelles, ces trois dernières clauses forment les directives spécifiques au PIMS.

En outre, la norme ISO/IEC 27701 met à disposition des responsables de traitements et des sous-traitants, en annexe de la norme, des outils qui mettent en évidence la correspondance entre les clauses de la norme ISO/IEC 27701 et celles du RGPD et des normes ISO/IEC 29100, 27018, 29151.

Conformité

En ce qui concerne la certification ISO / IEC 27701, elle est un complément de la norme ISO / IEC 27001. En d'autres termes, les organisations qui envisagent d’obtenir une certification ISO / IEC 27701 devront être préalablement certifié ISO/IEC 27001 sur le périmètre.

Ainsi pour ces entreprises certifiées 27001, l’adaptation et la mise en œuvre des exigences spécifiques au système de management de la protection de la vie privée, se fera aisément puisque la norme ISO/IEC 27701 s’est forgée sur la démarche de mise en œuvre d’un système de management de la sécurité de l’information (SMSI).

Quant aux entreprises qui ne sont pas certifiées ISO 27001, les outils mis à leur disposition en annexe, sont des moyens efficaces pour adopter une démarche de gestion et de sécurisation des données personnelles, tout en restant en phase avec le RGPD et les normes connexes.

En quoi la norme peut aider ?

Au vu du nombre et du type d’entreprise qui traitent les données personnelles tout comme celles qui sont obligées de confier le traitement de ces données à des tiers, ces exigences et directives définies dans cette norme constituent des moyens efficaces pour ces responsables de traitements et sous-traitants d'évaluer, d’identifier et de traiter les risques associés à la collecte, la maintenance et au traitement des données personnelles.

La mise en place d’un PIMS est donc un excellent moyen pour toute entreprise d’adopter une démarche d’amélioration continue, de renforcer la confiance des parties et disposer d’une certification internationale. Ainsi, pour ces entreprises soumises au RGPD, la conformité à la norme ISO 27701 : 2019 peut être utilisée comme un critère de décision lors de la signature d’un contrat avec un fournisseur ou prestataire non soumis au RGPD.

Références

Les derniers produits des risques professionnels

Réagissez en laissant votre commentaire !