La norme ISO 27701, garante de la conformité d’une entreprise au RGPD ?
Depuis son entrée en vigueur en mai 2018 en France et sur tout le territoire de l’Union européenne, le RGPD a imposé aux responsables de traitement ainsi qu’à leurs sous-traitants de mettre la sécurité des données personnelles au cœur de tous leurs traitements de données.
Toute structure, qu’elle soit privée ou publique, doit se conformer à cette réglementation dès lors qu’elle traite ou qu’elle collecte des données personnelles.
La méconnaissance des dispositions du RGPD peut entraîner des sanctions prononcées par la Cnil – organisme garant de la protection des données personnelles.
Bien que cette mise en conformité soit obligatoire et sanctionnée par des amendes pouvant atteindre des montants colossaux, aucune certification n’existait pour attester de la bonne conformité d’une structure.
L’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC) ont donc œuvré à la création de la première norme internationale en matière de protection des données.
Il s’agit de la norme ISO/IEC 27701 qui a été publiée en septembre 2019 et qui répond à une volonté internationale de construire une norme certifiante autour des principes directeurs de la réglementation relative à la protection de la vie privée.
L’ISO 27701 : une portée mondiale
L’ISO doit être appréhendée comme un soutien à la réglementation européenne de protection des données mais pas seulement. En effet, l’ISO 27701 étant dotée d’une portée mondiale, elle a vocation à s’adapter à toutes les lois et règlementations relatives à la protection des données personnelles en vigueur dans le monde.
Parmi les lois les plus connues auxquelles l’ISO 27701 tente de répondre, on peut évoquer le « Data Protection Act » de 2018 en vigueur au Royaume-Uni, ou même le California Consumer Privacy Act applicable aux États-Unis.
Cette norme a pour vocation principale de standardiser des lignes directives afin de protéger les données personnelles en s’alignant sur les référentiels mondiaux existants en la matière.
Une prolongation des normes ISO 27001 et 27002
Cette norme prévoit tout d’abord l’obligation pour les responsables de traitement de mettre en place un Système de management de la sécurité de l’information (SMSI).
Un SMSI bien implanté et continuellement amélioré permet de sécuriser les actifs (informations et données) sensibles de l’organisme. L’objectif principal d’un SMSI est de protéger l’entreprise contre les intrusions malveillantes et contre toutes les atteintes (vol, perte, altération) aux données dont elles pourraient avoir à souffrir.
La norme ISO 27701 va également étendre le périmètre d’application des mesures préconisées dans une autre norme (ISO/IEC 27002) qui dresse une liste des bonnes pratiques en matière de sécurité à mettre en œuvre sur le système d’information d’une entreprise.
L’apport de la norme de 2019 est d’étendre le périmètre des bonnes pratiques et des mesures de sécurité à la protection des données personnelles ainsi qu’aux traitements des risques qui y sont liés.
De manière générale, les principes directeurs du RGPD sont repris et intégrés à cette norme. On y retrouve les principes fondamentaux tels que la finalité, la proportionnalité du traitement, la durée de conservation limitée des données ainsi que les règles ayant attrait au consentement et aux droits des personnes.
Une norme qui ne garantit pourtant pas un total respect au RGPD
Cependant, la norme ISO/IEC 27701 disposant d’une portée mondiale, elle ne peut être totalement alignée avec les directives imposées par le RGPD. Elle tente pour le moins de créer un régime unifié reprenant les exigences essentielles de la réglementation européenne. L’alignement de la norme 27701 sur le RGPD est ainsi repris dans une annexe qui établit la correspondance entre les articles de ces deux référentiels.
Pour autant, cette norme ne constitue pas une certification au sens du RGPD (article 42) c’est-à-dire qu’elle ne répond pas à des critères validés et approuvés par la Cnil ou par le Comité européen de la protection de la vie privée .
« En résumé, la norme ISO 27701 a une portée mondiale : elle n’est pas spécifique au RGPD et ne constitue pas, en tant que telle, une certification au sens de l’article 42 du RGPD », rappelle la Cnil sur son site le 2 avril 2020 (1).
Ainsi, obtenir cette certification n’implique pas nécessairement une totale conformité d’une entreprise au RGPD et ne pourra pas empêcher des sanctions du régulateur dans l’hypothèse où des manquements seraient constatés ; inversement, une entreprise conforme au RGPD peut tout à fait ne pas être certifiée ISO 27701.
En revanche, implémenter au sein d’une entreprise, la norme ISO 27701 peut se révéler être une base solide concernant la protection des données. Elles permettent de structurer une gouvernance autour du système d’information et du traitement des données personnelles, tout en définissant une méthodologie d’identification et de maîtrise des risques.
Cette maîtrise des risques autour de la vie privée est absolument nécessaire dans un contexte où les données personnelles sont des cibles appréciées des cyber attaquants.
L’année 2020 a en effet marqué un tournant dans le monde de la cybersécurité. Dès le premier trimestre de cette année, le monde bascule et la digitalisation des échanges explose.
Le pendant de ce phénomène a été une augmentation exponentielle des cyberattaques aussi bien contre des entreprises privées que des organisations publiques avec, dans grand nombre de cas, des vols de données personnelles dont il est désormais primordial de se protéger.
La conformité au RGPD n’étant ainsi plus une option pour les entreprises, envisager pour elles d’implanter au sein de son organisation la norme ISO/IEC 27701 constitue un premier pas certifiant et pourra être considéré comme un atout commercial et un gage de confiance des entreprises envers leurs partenaires (2).
Anthony Sitbon
Mélanie Lerouvillois
Lexing Technologies – Département Sécurité
Notes :
- « L’ISO 27701, une norme internationale pour la protection des données personnelles », Cnil 2 avril 2020.
- Clare Naden, « Publication de la première norme internationale sur le management de la protection de la vie privée », ISO 6 août 2019.