Qu’est-ce que la norme ISO/IEC 27701 : 2019 ? :


Pour rappel, l’utilisation par les organismes de données personnelles ne cesse d’augmenter. De plus, les échanges de données entre organismes sont de plus en plus fréquents, avec tous les risques que cela comporte, tant pour les personnes dont les données sont traitées que pour les organismes qui traitent ces données. C’est en réponse à ces réalités de la société que la nouvelle norme a été adoptée. En publiant la norme ISO/IEC 27701 ce 6 Août 2019, l’ISO (Organisation Internationale de Normalisation) et l’IEC (Commission Électrotechnique Internationale) qui forment ensemble le système spécialisé de la normalisation mondiale contribuent à standardiser et renforcer la nécessité de protéger les données personnelles. Son but est de permettre l’établissement, la mise en œuvre, la mise à jour et l’amélioration continue d’un système de management de la protection de la vie privée dans le contexte d’une organisation.
La norme ISO/IEC 27701 définit un cadre normatif pour la protection des données à caractère personnel. Elle apporte des compléments aux normes ISO/IEC 27001, pour les exigences et ISO/IEC 27002, pour les lignes directrices.
Son objectif principal est de traiter de la Sécurité de l’information, la cyber sécurité et la protection de la vie privée.


Quelles sont les évolutions introduites dans la nouvelle édition de la norme ? :

Plusieurs nouveautés sont à relever dans la version 2019 de la norme. Tout en se basant sur la version 2013 respectivement des normes ISO/IEC 27001 et 27002 qui, d’une part, définit les exigences pour la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) et, liste des mesures de sécurité, de bonnes pratiques, qui sont à mettre en œuvre sur le Système d’Information afin de traiter les risques potentiels, d’autre part, cette nouvelle norme est construite autour de trois points principaux :
- L’extension du périmètre d’application des mesures de la sécurité de l’information à la protection de la vie privée et des données personnelles des personnes.
- L’engagement des organismes à se conformer à la législation applicable en matière de protection de la vie privée et des données personnelles.
- Enfin l’ajout d’une liste de mesures de référence pour la protection de la vie privée et des données personnelles.
Divisées en quatre grands thèmes, la première catégorie de mesures décrit les conditions pour la collecte et le traitement des données, avec pour objectif de déterminer et documenter la légalité du traitement, ainsi que le fondement juridique et les finalités légitimes justifiant les traitements. La deuxième catégorie de mesures concerne les obligations de l’organisme envers les personnes concernées, qui a un objectif de s’assurer que les personnes concernées reçoivent les informations appropriées en ce qui concernent le traitement de leurs données, mais également de permettre le respect de toute autre obligation en rapport avec les personnes concernées. La troisième catégorie de mesures concerne la protection des données dès la conception et la protection des données par défaut qui permettent de s’assurer que les processus et systèmes sont développés de façon à ce que la collecte et le traitement de données soient limités à ce qui est nécessaire pour les finalités identifiées. Enfin, la quatrième catégorie de mesures concerne le partage, le transfert et la divulgation de données, et ce dans le but de déterminer si des données sont partagées, et si oui, de le documenter.

Rappelons que pour chacune de ces quatre catégories, les mesures à prendre diffèrent selon que l’on est responsable de traitement ou sous-traitant.

La certification à la norme ISO/IEC 27701 est basée sur l’adhésion non seulement aux exigences de la norme 27701, mais aussi à celles de la norme ISO/IEC 27001

La version 2019 de la norme ISO 27701 apporte une méthode permettant la gestion et la documentation de la conformité telle que consacrée et rendue obligatoire par le RGPD.