ISO 27701 : apport de la norme dans le dispositif de conformité RGPD

L’entrée en vigueur en 2018 du Règlement Général sur la Protection des Données Personnelles (RGPD) a créé de nouveaux défis pour les entreprises. Basée en partie sur le principe d’Accountability, selon lequel les entités traitant des données personnelles doivent documenter leurs pratiques pour démontrer, à tout moment, de leur conformité, notamment en matière de gouvernance, cette démarche n’est pas sans rappeler la construction des normes ISO, et parmi elles, la norme ISO 27001 qui traite du management de la sécurité des systèmes d’information.  

À peine un an après l’entrée en vigueur du RGPD, ISO 27001 s’est vue dotée d’une petite sœur : la norme ISO 27701 qui décrit la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données personnelles. Cette nouvelle se révèle être un outil plus qu’intéressant pour les entreprises dans la construction de leur dispositif de conformité.  

Aperçu de 27701 

La norme ISO 27701 est comme ses sœurs, une création collective. De nombreux acteurs ont participé à sa création, tel que l’AFNOR, la CNIL ou encore le Comité Européen de la protection des données (CEPD). Cette norme est notamment basée sur ISO 27001, citée précédemment, et sur ISO 27002 concernant les bonnes pratiques pour la mise en œuvre des mesures de sécurité.  

De nombreux textes ont également été utilisés pour sa conception. Le RGPD évidemment, à qui est dédiée une annexe spécifique de la norme, mais aussi des réglementations extra-européennes telles que les textes adoptés par le Brésil, l’Australie, la Californie ou encore le Canada.  

ISO 27701 agit pour le renforcement de la protection des données à caractère personnel. Elle inclut les spécificités des traitements de données personnelles dans le cadre des bonnes pratiques sur le management de la sécurité des systèmes d’information, mais offre aussi des mesures spécifiques pour ce type de données en prenant en compte la qualification des organismes. 

 

Management de la sécurité de l’information et particularités des traitements de données personnelles  

Pour la standardisation et le renforcement de la protection des données à caractère personnel, ISO 27701 étend les bonnes pratiques en matière de management de la sécurité IT aux particularités de ce type de traitements.  

À la base de cette démarche figure la détermination des responsabilités : qui est responsable de traitement et qui est sous-traitant. En effet, de ces qualifications découleront un certain nombre d’obligations figurant notamment au chapitre IV du RGPD.  

Il est également question d’unifier la gestion des risques IT et ceux associés à la protection des données personnelles, le délégué à la protection des données (DPO) ayant un rôle majeur à jouer dans ces derniers. De la même façon les obligations de sensibilisation, d’encadrement des transferts de données ou encore de Privacy by design sont considérées et formalisées au sein d’une nomenclature de management de la qualité qui a déjà fait ses preuves.   

Mesures spécifiques aux traitements de données personnelles en accord avec le rôle des entités 

En dehors des obligations du RGPD, comparables aux bonnes pratiques de l’hygiène cyber, des notions plus spécifiques ont également été ajoutées, notions qu’ISO 27001 et 27002 n’ont jamais intégrées.  

La norme ISO 27701 intègre des principes fondamentaux de la protection des données, tels que la finalité des traitements, la minimisation, le consentement, l'inventaire des traitements via le registre et l'évaluation des impacts sur la vie privée via les Analyses d’impact sur la protection des données (AIPD), conformément au RGPD. 

De la même façon, ISO 27701 prend en compte la nécessité de gérer les demandes de droits de personnes, de définir et respecter des durées de conservation ou d’encadrer les transferts de données en dehors de l’Europe, enjeu majeur de souveraineté numérique. 

La possibilité de mettre des procédures et bonnes pratiques opérationnelles en lien avec des principes juridiques, qui peuvent sembler indigestes aux béotiens, est un atout majeur en matière de gouvernance.  

 

Le chemin de croix du DPO enfin balisé 

La mise en conformité au RGPD des entreprises, bien que cruciale, peut ressembler à un parcours du combattant.  

D’expérience, nous avons pu constater que bon nombre d’entreprises se heurtent à des problématiques très similaires : 

  • Mettre en œuvre des mesures d’archivage et/ou d’effacement dans un système d’information ancien qui n’a pas été pensé pour ça,  

  • Mettre en conformité les contrats avec les tiers et mettre sous surveillance les nombreux sous-traitants intervenant dans les traitements,  

  • S’assurer que tous les espaces de collecte de données sont dotés des bonnes mentions d’information et éventuellement d’un mécanisme de recueil du consentement.  

C’est une myriade de petites et grosses actions qui peuvent être perçues comme indolores individuellement mais qui se transforment vite en montagne une fois empilées.  

Ce phénomène peut créer de la lassitude et un désengagement des équipes, mais aussi de la direction. Tout expert vous dira que le manque d’implication peut devenir le pire ennemi du DPO.   

C’est ici qu’ISO 27701 prend tout ce sens en ce qu’elle reformule les obligations parfois abstraites du RGPD en un plan d’action concret dans un format rassurant pour tout le monde. La mention ISO fait ici une grosse différence, les entités pouvant se sentir submergées sont maintenant en terrain connu.  

Les entités traitant des volumes importants de données à caractère personnel (ou traitant des données sensibles au sens de l’article 9 du RGPD) ont tout intérêt à se pencher sur ISO 27701 pour bénéficier d’un cadre opérationnel de la conformité, loin des formulations juridiques.  
 
Il reste cependant important de se faire accompagner dans le processus de conformité lorsqu’on manque de compétence ou de temps en interne. Si vous avez besoin d’assistance dans cette démarche, n’hésitez pas à contacter les experts de La Robe Numérique. 

Précédent
Précédent

Vidéoprotection et caméra augmentée : définir un cadre légal pour limiter les risques

Suivant
Suivant

Enjeux juridiques de la transparence des algorithmes