Dans
la lignée du Règlement Général sur la Protection des Données
(RGPD), publié le 25 Mai 2018, accentuant la prise de conscience sur
la nécessité de protéger les données à caractère personnel
(DCP), la norme ISO 27701 : 2019 renforce
cette nécessité en l’étendant au niveau international
tant pour les organismes qui traitent les DCP
(responsables de traitements) tout comme celles qui
sont obligées de confier le traitement de ces données à des tiers
(sous-traitants de DCP). Un sujet vital qui se renforce
chaque jour.
Elle s'applique aux organisations de tous types et de toutes tailles, y compris les entreprises publiques et privées, les entités gouvernementales et les organisations à but non lucratif, qui sont des responsables de traitement de DCP et/ou des sous-traitants de DCP qui traitent les DCP à l'aide d'un SMSI (Système de Management de la Sécurité de l’Information).
ISO 27701: 2019, c'est quoi?
ISO/IEC 27701:2019(F) Techniques de sécurité — Extension d'ISO/IEC 27001 et ISO/IEC 27002 au management de la protection de la vie privée (PIM)
Cette norme regroupe à la fois des exigences et des recommandations. Elle étend les exigences de ISO 27001:2013 et recommandations de ISO 27002:2013 afin de prendre en compte, en plus de la sécurité de l'information, la protection de la vie privée.
Elle s’intéresse aux organisations agissant comme responsables de traitement de DCP ou comme sous-traitant de DCP.
Elle étend les exigences de ISO 27001 :
en reprenant toutes les exigences de ISO 27001 applicables à la "sécurité de l'information" élargies à la protection de la vie privée.
Et les complète par des exigences supplémentaires spécifiques au PIMS et des informations supplémentaires relatives aux exigences (article 5), ces exigences sont reprises dans les annexes A et B (normatives), qui complètent l’annexe A ISO 27001.
Elle complète ISO 27002 par :
des recommandations spécifiques au PIMS et des informations supplémentaires relatives aux mesures de sécurité communes aux responsables de traitement de DCP ou sous-traitant (article 6),
des recommandations supplémentaires pour les responsables de traitement de DCP (article 7)
des recommandations supplémentaires pour les sous-traitants de DCP (article 8).
Les annexes C, D, et E donnent des tableaux de correspondance avec ISO 29100, RGPD, ISO 27018 / ISO 29151.
La certification ISO / IEC 27701 s'appuie sur une certification ISO / IEC 27001. Autrement dit, pour prétendre à la certification ISO 27701, il faut préalablement être certifié ISO/IEC 27001 sur le même périmètre.
Que faut-il en penser?
C'est un mix de ISO 27001/ ISO 27002 et RGPD, ce qui donne le sentiment d'une norme assez confuse :
* dans son champ d'application (ce qui s’applique à l’organisme - responsable de traitement de DCP – ou en tant que sous traitant),
* dans sa structure (art 5,6,7,8 jonglant entre ISO 27001 et ISO 27002),
* dans son positionnement (définie un PIMS comme un système qui n’en est pas un sans ISO 27001).
Elle est présentée comme spécifiant les exigences relatives à l’établissement, la mise en œuvre, la mise à jour et l’amélioration continue d’un système de management de la vie privée ou PIMS (Privacy Information Management System). Cette notion de PIMS n’a pas de sens puisque la norme elle-même y définit la protection de la vie privée comme une extension de la sécurité de l’information, couverte par un SMSI.
Les annexes sont très pertinentes et intéressantes pour faire le lien avec ISO 29100, RGPD, ISO 27018 / ISO 29151.
