En matière de cybersécurité, la norme ISO 27001 figure comme la clé de voûte. Elle fournit les lignes directrices pour un bon système de management de la sécurité de l’information. Mais avec le renforcement de la réglementation en matière de protection des données personnelles, un guide encore plus précis semblait nécessaire. C’est là que la norme ISO 27701 entre en jeu.
ISO 27701, une extension des normes ISO 27001 et ISO 27002
ISO 27701 est une extension des normes ISO/IEC 27001 et ISO/IEC 27002. Elle fournit des recommandations précises relatives au management de la protection de la vie privée (PIMS).
L’idée est alors de faciliter la création, la mise en œuvre, le maintien et l'amélioration continue d'un système de management de la protection de la vie privée dans le contexte de l'organisation.
Par rapport à ISO/IEC 27001 et 27002, la norme internationale ISO 27701 étend le périmètre des bonnes pratiques, des mesures de sécurité et du traitement des risques liés à la protection des données à caractère personnel.
Bon à savoir : comme il s’agit d’une extension de l’ISO 27001, le PIMS s’inscrit dans la mise en place d’un système de management de la sécurité de l’information (SMSI) qui permet de sécuriser tous les actifs de l’organisation. Ainsi, les données sensibles et personnelles sont protégées contre les éventuelles intrusions malveillantes.
Tout comme les réglementations relatives à la protection des données personnelles, la norme ISO 27701 s’adresse à toutes les organisations, qu'il s'agisse d'entreprises privées, d'indemnisations publiques ou d'organismes à but non lucratif. Et ce, quelque soit la taille de la structure ou son secteur d’activité.
Norme ISO/IEC 27701 et RGPD
Publiée en 2019, la norme ISO 27701 fait suite à l’entrée en vigueur du règlement général sur la protection des données. Ce règlement impose aux organisations et à leurs sous-traitants de prioriser la protection des informations personnelles dans le cadre de leur traitement des données.
Ainsi, toutes les organisations qui collectent des données personnelles doivent s’y conformer, sous peine d’être sanctionnées.
Pour répondre aux exigences du RGPD, l’organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC) ont créé la première norme internationale en matière de protection des données. Celle-ci reprend les principes directeurs du RGPD. Par exemple, la finalité, la proportionnalité du traitement, la durée de conservation limitée des données, le consentement et les droits des personnes.
Mais comme toutes les normes ISO, 27701 a une portée mondiale, pas seulement européenne. Elle a donc vocation à s’adapter à toutes les réglementations relatives à la protection des données, comme le Data Protection Act au Royaume-Uni ou le California Consumer Privacy Act aux États-Unis.
Du fait de cette volonté de s’adapter à toutes les normes internationales, ISO/IEC 27701 ne garantit pas une conformité totale avec le RGPD. D’ailleurs, le CNIL le rappelle “la norme ISO 27701 a une portée mondiale : elle n’est pas spécifique au RGPD et ne constitue pas, en tant que telle, une certification au sens de l’article 42 du RGPD”.
Cela dit, les entreprises qui sont certifiées ISO 27701 sont généralement plus conformes au RGPD que les entreprises non certifiées. Et pour cause, à travers leur PIMS, elles disposent d’une base solide en termes de protection des données avec une excellente maîtrise des risques.
La norme ISO 27701 en détail
Pour aider les entreprises à améliorer leur système de management de la protection de la vie privée, la norme ISO 27701 s’articule autour de 4 grands chapitres :
- Les exigences spécifiques au PIMS : la norme apporte des compléments par rapport à la norme ISO 27001. Elle étend notamment ses exigences dans le contexte organisationnel et sur la planification de la gestion des risques.
- Les recommandations spécifiques au PIMS : cette clause passe en revue les 114 contrôles de la norme ISO 27701, en étendant le périmètre de certaines recommandations pour les contrôles spécifiques.
- Les recommandations supplémentaires pour les responsables de traitement : la norme ISO 27701 détermine des contrôles supplémentaires avec des conseils de mise en œuvre.
- Les recommandations supplémentaires pour les sous-traitants : il s’agit encore d’énoncer des contrôles supplémentaires et des recommandations de mise en œuvre. Mais, cette fois, c’est à destination des sous-traitants.
Obtenir la certification ISO 27701
Comme la norme ISO 27701 est une extension des normes ISO 27001 et ISO 27002, il est primordial de répondre aux exigences de ces deux normes pour obtenir la certification.
Si ce n’est pas encore votre cas, nous vous conseillons de suivre une formation dédiée qui vous prépare à la certification. C’est justement le cas chez CyberUniversité.
À l’issue de la formation, vous devriez être capable de :
- Mettre en œuvre d'une politique des données maîtrisée ;
- Implémenter un haut niveau de confidentialité et de protection de la vie privée ;
- Protéger les données personnelles par la maîtrise des risques
Bon à savoir : la certification peut être passée par les experts cyber pour faciliter leur employabilité grâce à une certification reconnue. Mais aussi pour les entreprises qui renforcent les liens de confiance avec leurs clients.