Comme indiqué par la CNIL, l’adoption de la norme ISO 27701 peur présenter certains avantages pour les responsables de traitements de données personnelles. La norme ISO 27701 est une norme internationale qui décrit la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données personnelles, en étendant deux normes bien connues de la sécurité informatique.

Normalisation et données personnelles

La norme ISO 27701, publiée en août 2019, se base sur deux normes ISO de sécurité de l’information et les étend pour intégrer la protection des données personnelles : i) l’ISO 27001, qui certifie un système de management de la sécurité informatique ; ii) l’ISO 27002, qui détaille les bonnes pratiques pour la mise en œuvre des mesures de sécurité nécessaires.

Les exigences de l’ISO 27701

Afin de standardiser et de renforcer la protection des données personnelles, l’ISO 27701 étend le système de management de la sécurité de l’information pour inclure les particularités des traitements de données personnelles : détermine le rôle de l’organisme à certifier (responsable de traitement, sous-traitant) ; apporte une gestion unifiée des risques informatiques pour l’organisme et des risques pour la vie privée des personnes concernées ; assure la désignation d’un responsable pour la protection de la vie privée (dans le cadre de l’ISO 27701, il s’agit du délégué à la protection des données).

La norme apporte également une valeur ajoutée sur le terrain de la sensibilisation des personnels, classification des données, protection des supports amovibles, gestion des accès et chiffrement des données, sauvegarde des données, journalisation des événements ; les conditions de transferts de données, protection de la vie privée dès la conception et par défaut (privacy by design and by default), gestion des incidents ; la conformité aux exigences légales et réglementaires, etc.

Elle apporte des mesures spécifiques aux traitements de données personnelles, en tenant compte du rôle de l’organisme (responsable de traitement, sous-traitant, sous-traitant de sous-traitant) : i) principes fondamentaux : finalité de traitement, base légale, recueil et retrait du consentement, inventaire des traitements, évaluation des impacts pour la vie privée ; ii) droits des personnes : information, accès, rectification, suppression, décision automatisée ; iii) protection de la vie privée dès la conception et par défaut (privacy by design and by default) : minimisation, dé-identification et suppression des données, durée de conservation ; iv) contrats de sous-traitance, transferts et partage de données.

Des contributions d’experts et d’autorités de protection des données

Cette norme a été rédigée au niveau international, avec les contributions d’experts provenant de tous les continents et la participation de nombreuses autorités de protection des données. Les experts de la CNIL y ont activement œuvré, avec le soutien de l’AFNOR et du Comité européen de la protection des données (CEPD).

Le RGPD a été pris en compte, ainsi que les autres grands textes de protection des données (dont ceux adoptés par l’Australie, le Brésil, la Californie, le Canada). La proximité de la norme avec le RGPD est ainsi matérialisée par une annexe dédiée, qui établit la correspondance entre les articles de la norme et ceux du RGPD. Et la mise en place d’un système de management, avec la gestion et la documentation de la protection des données, répond au principe général de responsabilité (accountability) du RGPD.

En résumé, la norme ISO 27701 a une portée mondiale : elle n’est pas spécifique au RGPD et ne constitue pas, en tant que telle, une certification au sens de l’article 42 du RGPD. Mais elle présente l’état de l’art en protection de la vie privée et elle permet aux organismes qui l’adoptent de monter en maturité et de démontrer une démarche active de protection des données personnelles. Sa traduction en français est actuellement soumise à enquête publique par l’AFNOR.

Laisser un commentaire

Your email address will not be published.

Please fill the required fields*