26.10.21
Éclairages juridiques • Contrats informatiques, données et conformité

NORMES

Publication de la version française de la norme ISO/IEC 27001 et 27002

Le 1er octobre 2021, l’Afnor a publié une version française harmonisée internationale ISO 27701 (https://norminfo.afnor.org/norme/nf-en-isoiec-27701/techniques-de-securite-extension-disoiec-27001-et-isoiec-27002-au-management-de-la-protection-de-la-vie-privee-exigences/191280) pour la sécurité étendant les normes ISO/CEI 27001 et 27002 au management de la protection de la vie privée.

Elle précise les exigences relatives à l’établissement, la mise en œuvre, la mise à jour et l’amélioration continue d’un système de management de la protection de la vie privée. En d’autres termes, un système de management conçu pour protéger les données personnelles (PIMS) (https://www.iso.org/fr/news/ref2419.html).

Les rédacteurs de cette norme ont été influencés par le référentiel de protection des données à caractère personnel notamment européen, le RGPD, étant entendu que cette norme a une portée mondiale (la formation de cette norme s’est également faite sur la base des référentiels Australien, Brésilien, Californien, Canadien : https://www.cnil.fr/fr/liso-27701-une-norme-internationale-pour-la-protection-des-donnees-personnelles).

Elle a pour objectif de standardiser et de renforcer la protection des données personnelles en étendant les normes relatives à la sécurité de l’information (https://www.cnil.fr/fr/liso-27701-une-norme-internationale-pour-la-protection-des-donnees-personnelles).

C’est une norme d’application volontaire, mais il est fortement recommandé de s’y conformer dès lors qu’une société traite des données à caractère personnel.

Pour la respecter et pouvoir en être certifié il convient notamment de :

  • Déterminer précisément le rôle de l’organisme à certifier (responsable du traitement, sous-traitant) ;
  • Unifier la gestion des risques informatiques pour l’organisme et pour la vie privée des personnes concernées notamment en nommant un DPO ;
  • Sensibiliser le personnel ;
  • Classifier les données ;
  • Protéger les supports amovibles ;
  • Gérer les accès ;
  • Chiffrer les données ;
  • Sauvegarder les données ;
  • Journaliser les événements ;
  • Apporter des mesures spécifiques aux traitements de données personnelles en tenant compte du rôle de l’organisme.

Il convient de préciser que cette norme ne répond pas aux obligations de l’article 42 « Certification » du RGPD. De sorte qu’elle ne répond que partiellement au critère de certification.

La mise en œuvre, puis le respect de cette norme, permettront néanmoins de démontrer aux différents interlocuteurs concernés :

  • La mise en œuvre d’une politique de données maîtrisée ;
  • D’attester d’un haut niveau de confidentialité et de protection de la vie privée ;
  • De protéger les données personnelles par la maîtrise des risques ;
  • De renforcer les liens de confiance avec les clients.

Cela constitue également un avantage non négligeable dans le cadre de négociations contractuelles ou de réponses à appel d’offres.