S’il est naturel que des lois et des réglementations soient rapidement mises en œuvre pour limiter les risques et protéger notre vie privée dans le monde numérique, comment les organisations peuvent-elles tout à la fois respecter ces exigences et se protéger ? C’est précisément pour les aider à gérer la protection des données personnelles et à satisfaire aux exigences réglementaires que la première Norme internationale sur le sujet vient d’être publiée.
La protection de la vie privée est une préoccupation majeure pour les entreprises. Selon IBM2), le coût moyen d’une violation de données est de 3,6 millions de dollars, et les obligations légales sont de plus en plus contraignantes pour les entreprises. Pour faire face à l’hyperconnexion actuelle, les gouvernements du monde entier mettent en œuvre des réglementations sur la vie privée, auxquelles les organisations sont tenues de se conformer, comme le Règlement général sur la protection des données (RGPD) de l’Union européenne. Les nouvelles normes ISO aideront les entreprises à respecter de tels règlements, quelle que soit la juridiction où elles opèrent.
ISO/IEC 27701, Techniques de sécurité – Extension d’ISO/IEC 27001 et ISO/IEC 27002 au management de la protection de la vie privée – Exigences et lignes directrices, précise les exigences relatives à l’établissement, la mise en œuvre, la mise à jour et l’amélioration continue d’un système de management de la protection de la vie privée. En d’autres termes, un système de management conçu pour protéger les données personnelles (PIMS).
Désignée sous le code ISO/IEC 27552 lors de son élaboration, cette norme s’appuie sur ISO/IEC 27001, Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Exigences, et spécifie les exigences nécessaires supplémentaires pour ce qui concerne la protection de la vie privée.
Pour M. Andreas Wolf, Président du comité technique de l’ISO/IEC chargé d’élaborer la norme, dans la mesure où presque toutes les organisations doivent traiter des données personnelles, la protection de ces données n’est pas seulement une obligation légale, mais répond également à un besoin sociétal.
« ISO/IEC 27701 définit des processus et fournit des lignes directrices, régulièrement actualisés, sur la protection des données personnelles. Parce qu’il s’agit d’un système de management, elle définit des processus d’amélioration continue de la protection des données, d’autant plus importants dans un monde où la technologie n’est jamais figée. »
Microsoft est un membre actif du comité responsable de la norme.
Julie Brill, Vice-présidente et Directrice juridique adjointe du département responsable de la confidentialité et des réglementations chez Microsoft déclarait ainsi :
« Nous remercions chaleureusement le comité technique de l’ISO/IEC pour l’élaboration de cette norme sur la vie privée grâce à laquelle les organisations de toutes tailles, les administrations et les entreprises pourront efficacement protéger et contrôler les données personnelles qu’elles doivent traiter. Microsoft s’engage à appliquer dans le monde entier les droits définis par le Règlement général sur la protection des données (RGPD) de l’Union européenne, et pour tenir cet engagement, Microsoft Azure et Office 365 mettront en place la norme PIMS, et nous aiderons également nos clients et nos partenaires à adopter ce modèle interopérable. »
ISO/IEC 27701 a été élaborée par le groupe de travail 5 du comité technique ISO/IEC JTC1/SC 27, Sécurité de l’information, cybersécurité et protection de la vie privée*, composé d’experts du monde entier issus d’organismes de protection des données, d’agences de sécurité, du monde universitaire et de l’industrie.
Matthieu Grall de la Commission nationale de l’informatique et des libertés, l’autorité administrative indépendante chargée de veiller à la protection des données personnelles en France, a participé activement au SC 27 et a contribué à l’élaboration de la norme. Pour lui, la norme répond à un véritable besoin compte tenu des exigences et lois toujours plus strictes sur la protection des données.
« Malgré les risques encourus en cas de non-respect de la réglementation, nous savons que beaucoup d’entreprises ne sont tout simplement pas prêtes et ont besoin d’être accompagnées. Avec l’augmentation du nombre de plaintes et de sanctions liées à la confidentialité et à la protection des données, il est évident qu’une telle norme était nécessaire.
En outre, les organisations doivent prouver aux autorités, et à leurs partenaires, clients et collaborateurs qu’elles sont dignes de confiance. Or cette norme contribuera fortement à inspirer cette confiance. »
ISO/IEC 27701 est disponible auprès du membre de l’ISO dans votre pays ou sur l’ISO Store.
1) Rapport sur les risques mondiaux 2018 du Forum économique mondial
2) Enquête 2017 sur le coût des atteintes aux données
* Le secrétariat de ce comité est assuré par le DIN, membre de l’ISO pour l’Allemagne