ISO 27701 vs RGPD : qu'apporte la norme sur la protection des données ?

ISO 27701, de quoi parle-t-on, qu’est ce que cette nouvelle norme, quelles sont ses différences avec le RGPD ? Décryptage.

Les enjeux de la nouvelle norme internationale ISO/IEC 27701:2019

La vie d’un système d’information est par essence vulnérable et exposée à des menaces. D’après le « rapport 2020 sur le coût d’une violation de la confidentialité des données » rédigé par IBM Security & Ponemon Institute, le coût total moyen mondial d’une violation de la confidentialité des données en 2020 représente 3,86 millions de dollars US. Le secteur de la santé présente le coût moyen sectoriel le plus élevé avec 7,13 millions de dollars US et les données personnelles des clients présentent le coût le plus élevé par enregistrement (150 USD par enregistrement).

Suite à l’apparition du RGPD européen (Règlement Général sur la Protection des Données) en 2018, l’Organisation Internationale de Normalisation (ISO) et la Commission Electrotechnique Internationale (IEC) ont contribué à standardiser des lignes directives pour protéger les données personnelles. De manière plus générale, la norme est un soutien au respect des lois et réglementations relatives à la protection de la vie privée, telles que le RGPD, la Loi Informatique et Libertés en France, le DPA 2018 (Data Protection Act) au Royaume Uni, le CCPA (California Consumer Privacy Act) aux Etats Unis…

De quoi cette norme ISO/IEC 27701 est-elle composée ?

La norme internationale ISO/IEC 27701, publiée en août 2019, vient étendre le champ d’application du Système de Management de la Sécurité de l’Information (SMSI) de la norme ISO 27001 pour assurer dorénavant la protection des données personnelles. Cette norme est une extension des ISO/IEC 27001 et ISO/IEC 27002 : elle définit le Système de Management de la Protection de la Vie privée (appelé « PIMS » pour Privacy Information Management System) qui se greffe au SMSI.

La norme ISO/IEC 27701 est divisée en 8 clauses qui spécifient les exigences et extensions supplémentaires à celles de la norme ISO/IEC 27001. Elle et structurée de la manière suivante :

Les étapes de mise en place d’un PIMS

Une entreprise faisant le choix de se mettre en conformité à la norme ISO 27701 devra respecter un certain nombre d’étapes pour mettre en place et maintenir une démarche d’amélioration continue du PIMS. HeadMind Partners préconise une démarche en 4 grandes étapes respectant le principe de la roue de Deming (Plan, Do, Check, Act/Adjust).

La mise en place d’un PIMS permet d’aborder les processus d’audit et de contrôle sur la protection des données à caractère personnel avec plus de sérénité. Il permet également de partager la responsabilité des enjeux dus à la protection ces données au-delà des équipes juridiques et sécurité. En effet, l’implémentation d’un tel système requiert la participation de l’ensemble des parties prenantes (les équipes de projet, équipes de sécurité, équipes informatiques, équipes juridiques, auditeurs…).

La première certification sur les données personnelles

La norme ISO/IEC 27701 est la première norme officiellement certifiable en matière de données personnelles.

En effet, il est à noter que les normes ISO 27017[1] et ISO 27018[2] sont en réalité des normes d’ORIENTATION (qui spécifient des lignes directrices) et non des normes de CERTIFICATION (qui spécifient des exigences). Par exemple, on peut faire le rapprochement avec la norme ISO 27002 qui est une norme d’orientation sur la façon dont les contrôles de la norme ISO 27701 pourraient être implémentés (mais ils peuvent aussi être implémentés d’une autre manière).

Pour être certifié ISO/IEC 27701:2019, la norme étant une extension de l’ISO 27001, il est nécessaire d’être préalablement certifié ISO/IEC 27001:2013 et d’avoir mis en place un SMSI.

La norme ISO 27701 et le RGPD

La conformité aux normes ISO 27001 et ISO 27701 permet d’obtenir une reconnaissance internationale particulièrement intéressante pour tout organisme extérieur à l’UE traitant des données de ressortissants européens ou travaillant avec des partenaires européens. Le terme « certifiable » dans la norme ISO 27701 s’accompagne toutefois de quelques remarques mineures. Certes, la certification est soutenue par l’ISO, cependant, comme le fait remarquer la CNIL sur son site[3], il lui manque actuellement le soutien formel de l’article 42 du RGPD[4]. Cela signifie que sans la reconnaissance d’au moins un organisme de contrôle, les certifications ne fonctionneront pas comme un moyen universel pour garantir la conformité aux exigences de l’article 42.

La norme ISO 27701 est néanmoins alignée aux principes du RGPD comme le prouve la présence de l’annexe faisant le lien entre les articles du règlement européen et les clauses de la norme. Cette cartographie montre que les principaux chapitres traités par la norme sont les chapitres II, III, IV et V du RGPD (« Principes », « Droit de la personne concernée », « Responsable de traitement et sous-traitant » et « Transferts de données à caractère personnel vers des pays ou à des organisations internationales »).

Il est important de rappeler que la conformité à la norme ISO/IEC 27701 n’assure pas la conformité au RGPD. En raison de son aspect international, la norme ne s’aligne pas complètement avec un régime spécifique de protection des données, car elle est conçue pour que sa zone d’application soit la plus large possible. Cependant, la mise en place du PIMS est une démonstration d’engagement en faveur de la protection des données à caractère personnel et de la sécurité des informations ; ce qui va dans le sens des articles 42 et 43 du RGPD.

Inversement, la conformité d’un organisme au RGPD (Règlement européen Général sur la Protection des Données) n’implique en aucun cas la conformité à la norme ISO/IEC 27701 et encore moins que cet organisme est certifié ISO/IEC 27701:2019.

La certification ISO/IEC 27701, une reconnaissance internationale de bonne gestion des données

Dans le contexte actuel où les menaces cyber visant les données personnelles sont de plus en plus nombreuses, il est plus que jamais important de construire et gagner la confiance des clients et consommateurs concernant la gestion et le traitement de leurs données. La conformité au RGPD participe à protéger les données à caractère personnel et rendre plus efficace la lutte contre les attaques visant celles-ci. En effet, l’étude de « CISCO Cybersecurity series 2019 Data Privacy Benchmark Study » montre une réduction non négligeable des coûts dus aux violations de données pour les entreprises conforme à la règlementation RGPD : « Seules 37% des entreprises «RGPD-ready» ont subi une perte de plus de 500 000 dollars l’année dernière contre 64% des entreprises parmi les moins prêtes pour le RGPD ». Cela est également vérifiable lorsqu’on suit l’actualité des contrôles réalisés par la CNIL.

La norme ISO/IEC 27701:2019 est largement alignée au RGPD, mais n’assure cependant pas la conformité au règlement. Cependant, la certification permet aux organismes extérieurs à l’UE d’obtenir une reconnaissance internationale sur leur bonne gestion des données de ressortissants européens ou travaillant avec des partenaires européens.

HeadMind Partners accompagne ses clients dans leur mise en conformité au RGPD, ainsi que dans les activités récurrentes associées (registre de traitement, analyse d’impact sur la vie privée, privacy by design…). Nous les aidons également dans la mise en place de leur SMSI ainsi que son extension PIMS, et dans leur préparation à la certification aux normes ISO 27001 et ISO 27701.

Ecrit par Alexis Babijon.

Notes

[1]ISO/IEC 27017:2015 : Technologies de l’information — Techniques de sécurité — Code de pratique pour les contrôles de sécurité de l’information fondés sur l’ISO/IEC 27002 pour les services du nuage

[2]ISO/IEC 27018:2019 : Technologies de l’information — Techniques de sécurité — Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l’informatique en nuage public agissant comme processeur de PII

[3]Citation sur le site de la CNIL : « En résumé, la norme ISO 27701 a une portée mondiale : elle n’est pas spécifique au RGPD et ne constitue pas, en tant que telle, une certification au sens de l’article 42 du RGPD. Mais elle présente l’état de l’art en protection de la vie privée et elle permet aux organismes qui l’adoptent de monter en maturité et de démontrer une démarche active de protection des données personnelles. »

[4] Article 42 du RGPD : Le RGPD encourage les responsables de traitement et les sous-traitants à démontrer leur engagement pour la protection des données à caractère personnel. Le règlement embarque un mécanisme de certification, labels et marques en matière de protection des données personnelles. Une certification est un acte volontaire qui ne diminue en rien la responsabilité de chacun, mais joue le rôle d’une rambarde pour les responsables.