L’ISO 27701, une norme internationale pour la protection des données personnelles

02 avril 2020

La norme ISO 27701 est une norme internationale qui décrit la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données personnelles, en étendant deux normes bien connues de la sécurité informatique.

Normalisation

La norme ISO 27701, publiée en août 2019, se base sur deux normes ISO de sécurité de l’information et les étend pour intégrer la protection des données personnelles :

  • l’ISO 27001, qui certifie un système de management de la sécurité informatique ;
  • l’ISO 27002, qui détaille les bonnes pratiques pour la mise en œuvre des mesures de sécurité nécessaires.

Les exigences de l’ISO 27701

Afin de standardiser et de renforcer la protection des données personnelles, l’ISO 27701 :

  • étend le système de management de la sécurité de l’information pour inclure les particularités des traitements de données personnelles :
    • détermination du rôle de l’organisme à certifier (responsable de traitement, sous-traitant) ;
    • gestion unifiée des risques informatiques pour l’organisme et des risques pour la vie privée des personnes concernées, désignation d’un responsable pour la protection de la vie privée (dans le cadre de l’ISO 27701, il s’agit du délégué à la protection des données) ;
    • sensibilisation des personnels, classification des données, protection des supports amovibles, gestion des accès et chiffrement des données, sauvegarde des données, journalisation des événements ;
    • conditions de transferts de données, protection de la vie privée dès la conception et par défaut (privacy by design and by default), gestion des incidents ;
    • conformité aux exigences légales et réglementaires, etc.
  • apporte des mesures spécifiques aux traitements de données personnelles, en tenant compte du rôle de l’organisme (responsable de traitement, sous-traitant, sous-traitant de sous-traitant) :

Des contributions d’experts et d’autorités de protection des données

Cette norme a été rédigée au niveau international, avec les contributions d’experts provenant de tous les continents et la participation de nombreuses autorités de protection des données. Les experts de la CNIL y ont activement œuvré, avec le soutien de l’AFNOR et du Comité européen de la protection des données (CEPD).

Le RGPD a été pris en compte, ainsi que les autres grands textes de protection des données (dont ceux adoptés par l’Australie, le Brésil, la Californie, le Canada). La proximité de la norme avec le RGPD est ainsi matérialisée par une annexe dédiée, qui établit la correspondance entre les articles de la norme et ceux du RGPD. Et la mise en place d’un système de management, avec la gestion et la documentation de la protection des données, répond au principe général de responsabilité (accountability) du RGPD.

En résumé, la norme ISO 27701 a une portée mondiale : elle n’est pas spécifique au RGPD et ne constitue pas, en tant que telle, une certification au sens de l’article 42 du RGPD. Mais elle présente l’état de l’art en protection de la vie privée et elle permet aux organismes qui l’adoptent de monter en maturité et de démontrer une démarche active de protection des données personnelles.

Sa traduction en français est actuellement soumise à enquête publique par l’AFNOR.

Les mots clés associés à cet article