Que prévoit la nouvelle norme ISO/IEC 27701 ?

25 Oct 2019
Edit_Marie_Dgtms
217
0

Extension des normes ISO/IEC 27001 et ISO/IEC 27002 au management de la protection de la vie privée : Que prévoit la nouvelle norme ISO/IEC 27701 ?

Veille Juridique RGPD par Jocelyne Kalume, Juriste Protection des Données DIGITEMIS

et Patrice Le Méné, Responsable Pôle Gouvernance et Risques Cybersécurité DIGITEMIS

Que sont les normes ISO ?

L’ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique internationale) forment ensemble le système spécialisé de la normalisation mondiale.

Elles sont composées d’organismes nationaux qui participent à l’élaboration de normes internationales par le biais de comités techniques créés par les organisations respectives pour traiter de sujets techniques particuliers. Ces normes concernent les domaines industriels et commerciaux et sont utiles aux organismes industriels et économiques de tout type. Tout en assurant la qualité voulue, elles apportent des avantages mesurables dans les domaines traités. La conformité à ces normes apporte également un certain nombre d’avantages, notamment, pour l’entreprise, un atout concurrentiel, et un gage de confiance pour les consommateurs et autres parties prenantes.

Pourquoi cette norme a-t-elle été adoptée ?

L’utilisation par les organismes de données personnelles ne cesse d’augmenter. Par ailleurs, les échanges de données entre organismes sont de plus en plus fréquents, avec tous les risques que cela comporte, tant pour les personnes dont les données sont traitées que pour les organismes qui traitent ces données. C’est en réponse à ces réalités sociétales que la nouvelle norme ISO/IEC 27701 a été adoptée.

La norme 27701 apporte des exigences et lignes directrices additionnelles à celles qui existent dans les normes ISO/IEC 27001 et 27002. Elle a pour finalité de permettre l’établissement, la mise en œuvre, la mise à jour et l’amélioration continue d’un système de management de la protection de la vie privée dans le contexte d’une organisation.

Concrètement, qu’apporte cette nouvelle norme ?

Cette norme vient donc en complément d’un socle de base constitué par les normes ISO/IEC 27001 et 27002. La norme ISO/IEC 27001 définit les exigences pour la mise en place d’un Système de Management de la sécurité de l’Information (SMSI). Elle s’appuie sur les principes de l’amélioration continue (Roue de Deming) pour mettre en place, exploiter et faire évoluer le SMSI à partir d’une analyse des risques qui pèsent sur les processus et les données de l’entreprise. Il en résulte l’établissement d’un plan d’action, constitué principalement de mesures de sécurité à mettre en œuvre.

La norme ISO/IEC 27002 liste des mesures de sécurité, des bonnes pratiques, qui sont à mettre en œuvre sur le Système d’Information afin de traiter les risques potentiels. Ces mesures sont organisées en 14 thèmes et sont au nombre de 114. Elles sont à appliquer pour assurer la sécurité des informations. La norme ISO/IEC/27701 étend le périmètre d’application de ces mesures de la sécurité de l’information à la protection de la vie privée et des données personnelles des personnes.

En effet, les exigences de la norme ISO/IEC 27001 et les lignes directrices de la norme ISO/IEC 27002 qui étaient jusqu’alors applicables à la sécurité des systèmes d’information sont désormais également applicables à protection de la vie privée et des données personnelles. Lorsque ces deux normes mentionnent la sécurité de l’information, il faut en effet entendre « sécurité de l’information et de la vie privée »[1] ; Sauf indication contraire, les lignes directrices de la norme ISO/IEC 27002 s’appliquent aussi bien aux responsables de traitement qu’aux sous-traitants[2]

En outre, parmi les 14 thèmes de la norme ISO/IEC 27002, la norme ISO/IEC 27701 apporte quelques nouvelles exigences et lignes directrices applicables à la protection des données personnelles. Prenons pour exemple les politiques de sécurité de l’information, qui sont le premier des 14 thèmes. La norme prévoit que les organismes doivent s’engager à se conformer à la législation applicable en matière de protection de la vie privée et des données personnelles, que ce soit au travers de politiques de sécurité de l’information existantes, ou à l’aide de nouvelles politiques créées à cet effet.

Enfin, à côté de ces lignes directrices organisationnelles et bonnes pratiques de management de la sécurité de l’information des normes ISO/IEC 27001 et 27002 qu’elle étend à la vie privée, la norme ISO/IEC 27701 ajoute une liste de mesures de référence pour la protection de la vie privée et des données personnelles. Elles sont divisées en quatre grands thèmes que sont les conditions pour la collecte et le traitement de données, les obligations de l’organisme envers les personnes concernées, la protection des données dès la conception et la protection des données par défaut, et, le partage, le transfert et la divulgation de donnés. Bien que communs aux responsables de traitement et sous-traitants, une première liste de mesures est spécifique aux responsables de traitement et une deuxième aux sous-traitants. Les mesures sont au nombre de 31 pour les responsables de traitement, et de 18 pour les sous-traitants.

La première catégorie de mesures décrit les conditions pour la collecte et le traitement de données, avec pour objectif de déterminer et documenter la légalité du traitement, ainsi que le fondement juridique et les finalités légitimes justifiant les traitements. Ainsi par exemple, cette norme prévoit la conservation des résultats de l’exercice de balance entre l’intérêt légitime du responsable de traitement ou d’un tiers et des droits et libertés des personnes concernées. Rappelons que la méthodologie concernant cet exercice de balance a été définie par le G29 dans son avis sur l’intérêt légitime.

La seconde catégorie de mesures concerne les obligations de l’organisme envers les personnes concernées. Elle a pour objectif de non seulement s’assurer que les personnes concernées reçoivent les informations appropriées en ce qui concerne le traitement de leurs données, mais aussi de permettre le respect de toute autre obligation en rapport avec les personnes concernées.

[1] Articles 5 et 6 de la norme ISO/IEC 27701.

[2] Article 6.1 de la norme ISO/IEC 27701.

Afin de s’assurer que les processus et systèmes sont développés de façon à ce que la collecte et le traitement de données soient limités à ce qui est nécessaire pour les finalités identifiées, une troisième catégorie de mesures se concentre sur la protection des données dès la conception (« privacy by design ») et la protection des données par défaut.

Enfin, la quatrième et dernière catégorie de mesures concerne le partage, le transfert et la divulgation de donnés, et ce dans le but de déterminer si des données sont partagées, et si oui, de le documenter.

Pour chacune de ces quatre catégories, les mesures à prendre diffèrent selon que l’on est responsable de traitement ou sous-traitant. Par exemple, là où le responsable de traitement est tenu d’identifier et de documenter les finalités pour lesquelles des données sont traitées[1], le sous-traitant devra s’assurer de ne traiter des données pour le compte du responsable de traitement que dans les limites des finalités définies et documentées par ce dernier[2].

Ces mesures s’inscrivent dans une logique de gestion et de documentation de sa conformité, conformément au principe de l’« accountability » du RGPD. De plus, la norme contient en annexe un tableau de correspondance qui identifie à quels articles du RGDP les mesures ISO proposées correspondent. Cette mise en correspondance permet de constater que toutes les mesures proposées par la norme correspondent à un ou plusieurs articles du RGPD.

A titre d’exemple, la norme prévoit que la première mesure qu’un responsable de traitement doit prendre pour que le traitement soit licite est de documenter les finalités telles qu’identifiées et pour lesquelles les données vont être traitées. En toute logique, cette mesure correspond à l’article 5(1)(b) du RGPD, qui consacre le principe de limitation des finalités selon lequel les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités. En outre, cette même mesure correspond aussi à l’article 32(4) du RGPD, selon lequel pour garantir la sécurité du traitement, le responsable de traitement et le sous-traitant sont tenus de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant qui a accès à des données personnelles ne les traite pas, ou que sur instruction du responsable du traitement, à moins d’y être légalement obligée.

[1] Article 7.2.1 de la norme ISO/IEC 27701.

[2] Article 8.2.2 de la norme ISO/IEC 27701.

Comment se certifier à la norme ISO/IEC 27701 ?

Dans la mesure où elle étend les exigences de la norme ISO/IEC 27001:2013, la conformité à la norme ISO/IEC 27701 est basée sur l’adhésion non seulement aux exigences de la norme 27701, mais également à celles de la norme 27001:2013.[1]

Les organismes qui le souhaitent peuvent passer une certification à la norme ISO/IEC 27001:2013. Cela leur permet de valider par un organisme extérieur, et certificateur, la mise en application d’un Système de Management de la Sécurité de l’Information conforme aux exigences de la norme. La certification est valable pour une durée de 3 ans, et un audit est réalisé tous les ans par l’organisme certificateur pour son maintien.

A ce jour il n’existe pas de certification à la norme ISO/IEC 27701, qui serait donc assujettie à l’obtention préalable de la norme ISO/IEC 27001 si cette certification devenait possible.

Enfin, il ne reste plus qu’à attendre que les autorités de protection des données se prononcent quant à la valeur de cette norme au regard de la conformité d’un organisme au RGPD.

[1] Article 4.1 de la norme ISO/IEC 27701.

Que peut-on en conclure ?

En conclusion, cette nouvelle norme apporte une méthode permettant la gestion et la documentation de la conformité telle que consacrée et rendue obligatoire par le RGPD. Les organismes pourront faire le choix de s’y conformer, non seulement pour mieux gérer leur mise en conformité au RGPD, mais également pour être en mesure de démontrer cette conformité grâce à la preuve documentaire que cette norme permet de générer. Une telle preuve aura aussi l’avantage de faciliter les accords et renforcer la confiance entre les partenaires commerciaux lorsqu’un traitement de données personnelles est impliqué.