ISO 27701 : un texte de conformité de plus ou le cadre international tant attendu pour la protection de la vie privée ?

Digital Compliance

Publié le

Facebook (5 milliards de dollars), Cambridge Analytica, Equifax (700 millions de dollars), British Airways (204 millions d’euros), Marriott (110 millions d’euros)… il ne fait nul doute que ces affaires et amendes records participent à rendre le constat suivant de plus en plus évident et partagé : cybersécurité et protection de la vie privée sont de nouveaux piliers structurants et non négociables pour les entreprises et organisations. Le PDG d’Apple Tim Cook évoquant même récemment le sujet comme une « crise » à laquelle il faut faire face.

 

Mais au juste, qu’est-ce que la norme ISO 27701 ?

L’International Standard Organisation (ISO) a publié en août 2019 sa norme 27701 qui est une extension de l’ISO 27001 et a vocation à venir spécifier et définir les processus, les objectifs et les mesures à mettre en œuvre pour la protection des données personnelles et de la vie privée.

 

Créer et faire vivre un Système de Management de la Protection de la Vie Privée

A l’instar de la norme ISO 27001 (la référence en ce qui concerne la sécurité informatique), qui a pour but de créer un Système de Management de la Sécurité de l’Information (SMSI), son extension 27701 aspire à créer un Système de Management de la Protection de la Vie privée (Privacy Information Management System – PIMS en anglais).

Pour ce faire, la norme amende et complète les processus, les exigences et les mesures de sécurité de la 27001 et de la 27002 avec des préconisations spécifiques au traitement de données à caractère personnel.

Mais elle ne se contente pas d’étoffer la 27001 et la 27002 et vient également ajouter des exigences nouvelles spécifiques bien connues des acteurs de la Privacy (gestion du consentement, transparence, minimisation…).

Dans ce contexte, l’obtention d’une certification ISO 27001 est un préalable à une certification 27701.

Ce paramètre rétrécit mécaniquement les candidats potentiels à une certification, et rend l’effort à fournir plus conséquent : revue des documents existants, collaboration nécessaire entre les équipes initiales du SMSI et les nouveaux acteurs du PIMS, etc.

Malgré cet effort, l’application de ce standard offre une excellente opportunité pour les organisations d’entremêler davantage les processus et les équipes relatifs à la cybersécurité et la Privacy (par exemple : lier les processus d’Intégration de la Sécurité dans les Projets et le Privacy by Design).

 

La certification ISO 27701 n’est pas synonyme de conformité au RGPD…

Il est important de noter qu’une certification à la norme n’est pas synonyme à une conformité au RGPD, la vocation principale de la norme étant d’établir à l’échelle mondiale des principes et des règles autour de la Privacy, et ce, dans un langage commun. Cela dit, il convient de rappeler que des autorités nationales (comme la CNIL) ont participé à l’élaboration de la norme et saluent sa publication.

Mais alors, quelles adhérences entre le contenu de la norme et le contenu du RGPD ?

En ce qui concerne les principes fondamentaux du RGPD (consentement, droits, licéité…), la nouvelle norme développe un ensemble d’exigences couvrant toutes les thématiques du RGDP. La norme se voulant internationale, elle demeure par nature moins précise que le RGPD sur certains thèmes (pas de précision du délai à respecter pour notifier l’autorité par exemple). Il est ainsi du ressort du PIMS de réaliser une analyse d’écarts afin de comprendre quels sont les ajustements à réaliser pour être en conformité avec les lois applicables.

Par ailleurs, en ce qui concerne la sécurité des données à caractère personnel, les adaptations des exigences de la 27001 et de la 27002 offrent un référentiel complet aux organisations pouvant servir de socle pour respecter l’article 32 du RGPD (dédié à la sécurité des données).

 

…mais elle peut devenir la marque de crédibilité la plus forte en la matière sur le marché.

L’enjeu principal d’une certification 27701 est de crédibiliser son système de management de la Privacy et donner confiance aux parties prenantes (partenaires commerciaux, clients, fournisseurs, salariés, autorités…) quant à la prise en compte des principes fondamentaux de la protection de la vie privée.

Le « tampon » 27701 pourrait devenir rapidement un gage de confiance connu et reconnu à l’échelle internationale. A l’instar de la norme ISO 27001, cette nouvelle norme 27701 pourrait devenir un critère incontournable dans les phases d’appel d’offres.

Dans cette perspective, Matthieu Grall de la Commission nationale de l’informatique et des libertés (CNIL) énonce qu’avec « (…) l’augmentation du nombre de plaintes et de sanctions liées à la confidentialité et à la protection des données, il est évident qu’une telle norme était nécessaire. En outre, les organisations doivent prouver aux autorités, et à leurs partenaires, clients et collaborateurs qu’elles sont dignes de confiance. Or cette norme contribuera fortement à inspirer cette confiance. »

 

Concrètement, pour qui et pourquoi ?

La publication de cette norme représente une opportunité pour plusieurs types d’organisations :

  • Dans une relation B2B : un gage de confiance fort vis-à-vis de ses partenaires commerciaux dans le cadre d’une collaboration induisant le traitement de données personnelles (une entreprise gérant la paie ou réalisant les opérations de communication ou de marketing pour le compte de grandes organisations par exemple).
  • Dans une relation B2C : la certification d’un périmètre clé d’une entreprise traitant en masse les données personnelles de ses clients (un distributeur dans le cadre de son programme fidélité, un assureur dans le cadre ses activités contractuelles…) peut devenir à terme un vecteur de confiance significatif vis-à-vis des clients eux-mêmes mais aussi vis-à-vis des autorités.
  • Au sein des entreprises : la norme représente un nouveau référentiel auquel les entreprises peuvent se confronter et dont elles peuvent se servir pour venir élaborer un cadre d’audit clair et partagé. Une certification ISO 27701 peut également représenter un moyen pour les DPO et les équipes Privacy de rendre tangible les efforts fournis auprès de leur top management.

Si des incertitudes demeurent sur son adoption massive (notamment liées à la barrière de la certification 27001), il ne fait nul doute qu’elle pourra rapidement s’imposer comme un gage de confiance ainsi que comme un nouveau référentiel d’audit et de contrôle interne.

Il en demeure que l’apparition de cette norme est un nouveau bond en avant en ce qui concerne la protection des données personnelles, et ce à l’échelle internationale.