Une norme internationale pour sécuriser les données personnelles. Les données personnelles sont devenues un enjeu majeur pour les entreprises et les organisations, qui doivent les protéger contre les risques de piratage, de fuite ou de détournement. Pour les aider à se conformer aux différentes législations en vigueur, notamment le Règlement général sur la protection des données (RGPD) de l’Union européenne, une nouvelle norme internationale a été publiée en août 2019 : l’ISO 27701.
Cette norme, élaborée par des experts du monde entier, avec la participation de la Commission nationale de l’informatique et des libertés (CNIL) et de l’Association française de normalisation (AFNOR), vise à définir les bonnes pratiques pour la gouvernance et la sécurité des traitements de données personnelles. Elle s’appuie sur deux normes ISO déjà existantes dans le domaine de la sécurité informatique : l’ISO 27001, qui certifie un système de management de la sécurité informatique, et l’ISO 27002, qui détaille les mesures de sécurité à mettre en œuvre.
L’ISO 27701 apporte des exigences spécifiques pour la protection des données personnelles, en tenant compte du rôle de l’organisme qui les traite (responsable de traitement, sous-traitant, sous-traitant de sous-traitant). Elle couvre ainsi les aspects suivants :
– La détermination du rôle de l’organisme et de ses obligations légales et réglementaires ;
– La gestion des risques informatiques et des risques pour la vie privée des personnes concernées ;
– La désignation d’un responsable pour la protection de la vie privée, qui peut être le délégué à la protection des données (DPO) ;
– La sensibilisation et la formation des personnels impliqués dans les traitements de données personnelles ;
– La classification, la protection, la sauvegarde et la journalisation des données personnelles ;
– Les conditions de transfert, de partage et de suppression des données personnelles ;
– La protection de la vie privée dès la conception et par défaut des traitements de données personnelles ;
– La gestion des incidents et des violations de données personnelles ;
– Le respect des principes fondamentaux du RGPD, tels que la finalité, la base légale, le consentement, l’inventaire, l’évaluation des impacts, les droits des personnes, la minimisation, la dé-identification et la durée de conservation des données personnelles ;
– La rédaction des contrats de sous-traitance et des clauses contractuelles types pour les transferts de données hors de l’Union Européenne.
L’ISO 27701 n’est pas une certification au sens de l’article 42 du RGPD, qui prévoit la possibilité pour les organismes de faire valider leur conformité par un organisme accrédité. Mais elle constitue un référentiel reconnu et harmonisé, qui permet aux organismes de démontrer leur engagement et leur responsabilité en matière de protection des données personnelles. Elle peut également faciliter les échanges de données entre les organismes situés dans des pays ayant des législations différentes, en garantissant un niveau de sécurité élevé.
L’ISO 27701 est donc une norme utile et pertinente pour les organismes qui traitent des données personnelles, quels que soient leur taille, leur secteur d’activité ou leur localisation. Elle leur permet de se doter d’un système de management efficace et adapté, qui assure la sécurité et la confiance des personnes concernées..