Gestion de la protection des données avec un certificat

CONTENU

• Que contient la norme ISO 27701 ?
• ISMS et PIMS : similitudes et différences
• Objectifs de protection des données et objectifs de sécurité de l'information : Similitudes et différences
• La certification ISO 27701 à portée de main
• ISO 27701 : Un grand pas vers la protection des données
• Créer des responsabilités claires
• Plus : Orientation vers le risque
• En un coup d'œil : Les avantages de l'ISO 27701
• Conclusion : Une approche systématique et structurée de la protection des données
• DQS France : Tirer parti de la qualité, tout simplement.

La protection des données en complément d'un système de management

Idéalement, le management de la protection des données est conçue à l'aide d'une norme internationale, en tandem avec la norme ISO 27001. La norme bien connue ISO/IEC 27001 traite des exigences relatives à un système de management de la sécurité de l'information (SGSI) et peut également être certifiée pour ce domaine d'application. La nouvelle norme ISO/IEC 27701 relative au management de la protection des données s'appuie sur la norme ISO 27001 et y ajoute des critères de protection des données. Cette extension intègre les exigences d'un système de management des informations relatives à la protection des données (DSMS ou Privacy Information Management System, PIMS) dans un SMSI.

Le titre complet de la norme internationale de protection des données est :

Comme l'ISO 27001, l'ISO 27701 prend également en compte l'approche du système de management et se réfère à la structure de base des normes modernes de système de management, la structure de haut niveau (HLS).

La nouvelle norme internationale fait partie de la norme ISO 29100, qui contient tous les principes de protection des données. Elle devait initialement s'intituler ISO 27552, mais a été rebaptisée ISO 27701. Le contexte est la décision de l'Organisation internationale de normalisation (ISO) de faire en sorte que toutes les grandes normes certifiables s'arrêtent en 01.

Management de la protection des données : Que contient la norme ISO 27701 ?

Au lieu de "sécurité de l'information", la nouvelle norme sur la protection des données parle de "sécurité de l'information et protection des données". En outre, le contenu a été complété. Par exemple, lors de l'examen du contexte de l'organisation, il est nécessaire d'inclure les lois sur la protection des données et les décisions judiciaires pertinentes. De même, les critères de traitement des données personnelles doivent être pris en compte dans l'évaluation des risques, en gardant toujours à l'esprit la protection des personnes concernées et une éventuelle analyse d'impact.

En outre, la norme ISO 27701 comprend des compléments à la norme ISO 27002, les lignes directrices pour la mise en œuvre des mesures de l'annexe A de la norme ISO 27001.

La norme ISO fournit également les lignes directrices suivantes sur le management de la protection des données :

• Extension des lignes directrices et des politiques aux aspects de la protection des données.
• Désignation d'une personne responsable (délégué à la protection des données) au sein de l'entreprise pour le système de management des informations relatives à la vie privée.
• Formation des employés à la protection des données
• Enregistrement des accès et des modifications
• Cryptage, par exemple de catégories particulières de données à caractère personnel telles que les données de santé.
• Prise en compte du principe de "Privacy by Design" (respect de la vie privée dès la conception)
• Examen des incidents de sécurité pour déterminer s'il y a eu violation de la confidentialité des données

L'annexe de la norme ISO 27701 contient un tableau détaillé d'attribution des mesures aux exigences du RGPD. L'influence du règlement général sur la protection des données de l'UE sur cette norme internationale pour la protection des données apparaît ici clairement.

SGSI et SGIP : similitudes et différences

Les systèmes de management de la sécurité de l'information (SGSI) et les systèmes de management des informations relatives à la vie privée (SGIP) sont étroitement liés.

La protection de la vie privée et la sécurité des données concernent les données personnelles. La série de normes ISO 27000 porte principalement sur la protection des informations, dont les données personnelles constituent un sous-ensemble. C'est donc la perspective qui détermine s'il s'agit d'une violation de données ou d'un incident de sécurité de l'information, voire des deux ?

"L'avantage de la norme ISO 27701 ? Elle met l'accent sur les aspects liés à la protection des données dans le système de management de la sécurité de l'information !

Stephan Rehfeld, expert en protection des données et auditeur chez DQS

Là où le terme "sécurité de l'information" est utilisé dans les normes ISO 27001 ou ISO 27002, il est appelé "sécurité de l'information et protection des données" dans la norme ISO 27701. Cet ajout fait de la protection des données une partie du système de management de la sécurité de l'information.

Toutefois, il existe également des écarts entre le fonctionnement d'un PIMS et celui d'un ISMS. Un exemple : la compréhension différente du contexte de l'organisation. L'article 4.1 de la norme ISO 27701 comporte une exigence supplémentaire par rapport à la norme ISO 27001 : "l'organisme doit définir son rôle en tant que partie responsable ou contrôleur conjoint pour les responsabilités partagées et/ou en tant que sous-traitant".

Cette exigence n'est pas présente dans le système de management de la sécurité de l'information, car ce dernier ne fait pas la distinction entre "contrôleur" et "sous-traitant". Par conséquent, la norme ISO 27701 contient deux annexes supplémentaires contenant des mesures spécifiques à la protection des données pour les "contrôleurs" et les "sous-traitants".

Objectifs de protection des données et objectifs de sécurité de l'information : Similitudes et différences

La norme ISO 29100 définit les principes de protection des données que le système de management de l'entreprise doit respecter. L'article 5 du règlement général sur la protection des données (RGPD) indique quels objectifs de protection des données doivent être atteints avec les articles opérationnels du RGPD. Les principes et les objectifs sont largement compatibles. En effet, l'OCDE a défini des objectifs de protection des données en 1980. Ceux-ci ont servi de base à la norme ISO 29100 et au RGPD.

Le système de management de la sécurité de l'information (SGSI) contient les objectifs de sécurité de l'information que sont la confidentialité, l'intégrité et la disponibilité. Ces objectifs figurent également à l'article 5 et à l'article 32 de la DS-GVO, respectivement. Une différence majeure réside toutefois dans la définition des "parties intéressées" dans le SGSI. Il s'agit, par exemple, des employés de l'entreprise, des clients, des fournisseurs, des investisseurs ou des autorités. En revanche, dans le cadre de la protection des données, la partie intéressée est uniquement la personne concernée.

La gestion des risques liés à la protection des données diffère donc également de la gestion des risques liés à la sécurité de l'information. Par conséquent, le SGSI ne peut pas être utilisé seul comme SGIP avec ses processus spécifiques à la protection des données. Néanmoins, il existe des possibilités d'intégration permettant, par exemple, la réalisation d'audits internes conjoints.

Management de la protection des données : La certification ISO 27701 à portée de main

En termes de certification, la nouvelle norme ISO 27701 complétera à l'avenir la norme ISO 27001 - et sera la première norme à confirmer la protection des données par un certificat. À cette fin, DQS est actuellement en cours d'accréditation auprès de l'organisme d'accréditation allemand (DAkkS) et espère recevoir l'approbation prochainement. La norme ISO 27701 étant conçue comme une extension de la norme ISO 27001, le système de gestion de la protection des données selon la norme ISO 27701 ne peut être certifié sans un système de gestion de la sécurité de l'information selon la norme ISO 27001.

ISO 27701 : Un grand pas vers le management de la protection des données

Toute personne ayant développé et mis en œuvre un système de management de la protection des données (PIMS) conforme à la norme ISO 27701 - en d'autres termes, toute personne qui protège et gère systématiquement ses données personnelles - pourra facilement assurer et démontrer sa conformité aux exigences légales. Les entreprises peuvent utiliser la nouvelle norme pour mettre en place une sécurité de l'information largement conforme à la protection des données et une protection des données correspondante.

Créer des responsabilités claires avec ISO 27701

Lors de la mise en œuvre de la nouvelle norme ISO, les entreprises ne peuvent éviter de définir des responsabilités claires dans le domaine de la protection des données. Cet avantage ne doit pas être sous-estimé. Dans la plupart des entreprises qui ne disposent pas d'un système de management systématique de la protection des données, les responsabilités sont trop souvent formulées de manière souple, par politesse mal comprise ("Pourriez-vous vous en charger à l'avenir ?"). Ou bien les responsabilités sont partagées, selon la devise "Nous le ferons ensemble !" Dans les deux cas, il est inévitable que personne n'assume la responsabilité au bout du compte. Avec un système de management de la protection des données bien structuré, les lignes directrices sont claires, et cela n'a pas de prix.

"En fin de compte, toute entreprise a intérêt à systématiser la protection de ses données, quels que soient le secteur d'activité et la taille de l'entreprise."

Stephan Rehfeld, expert en protection des données et auditeur chez DQS

La nouvelle norme ISO n'est en aucun cas basée uniquement sur les principes du règlement général sur la protection des données, mais vise également à aider les entreprises à se conformer aux normes mondiales en matière de protection des données. L'objectif est d'établir, de mettre en œuvre, de maintenir et d'améliorer continuellement un PIMS.

Un autre avantage : L'orientation vers le risque

L'intégration de la norme ISO 27701 à la norme ISO 27001 présente un autre avantage. Avec l'introduction de la norme ISO 27701, les entreprises sont pratiquement "obligées" d'adopter une approche orientée vers le risque pour la protection des données à caractère personnel. Cela implique, par exemple, de définir et d'évaluer pleinement les risques et d'estimer la probabilité qu'ils se produisent.

Cette évaluation des risques constitue ensuite le point de départ pour réduire le potentiel concret de dommages à un niveau acceptable. Soit dit en passant, nous retrouvons cette approche merveilleusement pragmatique sous une forme similaire avec le RGPD, de sorte que la boucle est également bouclée en termes de pertinence pratique.

En un coup d'œil : Les avantages de la norme ISO 27701

• La norme ISO 27701 formule des exigences pour un système de management des informations relatives à la vie privée.
• La norme ISO 27701 vous permet d'identifier, d'évaluer et de minimiser les risques liés à la protection des données dans le contexte global de votre gestion de la sécurité de l'information.
• Outre la norme ISO 27001, la norme ISO 27701 est la première norme internationale certifiable qui confirme la protection des données par un certificat (bientôt : certificat accrédité DAkkS de DQS).
• La norme ISO 27701 est un développement important pour la protection des données en Europe et au niveau international.

Conclusion : Une approche systématique et structurée du management de la protection des données

Pour naviguer en toute sécurité sur les bancs des réglementations nationales et internationales en matière de protection des données, il est indispensable d'aborder le sujet de manière structurée et systématique. Dans ce contexte, la norme ISO 27701 offre une grande valeur ajoutée.

La protection et la sécurité des données peuvent ainsi être maîtrisées par les entreprises de taille moyenne et constituent un excellent modèle de protection des données conforme à la réglementation. Elle comprend un ensemble complet de bonnes pratiques que les entreprises peuvent utiliser pour prouver en toute confiance qu'elles font preuve de diligence raisonnable lorsqu'elles traitent des données critiques.

DQS France : Levier simple de la qualité.

Dans le jeu de la dynamique et de la stabilité, les systèmes de management certifiés deviennent de plus en plus importants - une évolution que DQS ressent de manière positive. En effet, les entreprises et organisations performantes utilisent les résultats de nos audits pour améliorer continuellement leurs résultats. Elles utilisent également nos certificats mondialement reconnus comme preuve objective de leur capacité en matière de qualité. Cela crée de la confiance, tant en interne qu'à l'extérieur de votre entreprise.

Expertise et confiance

Nos textes et nos brochures sont rédigés exclusivement par nos experts en normalisation ou nos auditeurs de longue date. Si vous avez des questions sur le contenu des textes ou sur les services que nous offrons à nos auteurs, n'hésitez pas à nous contacter.