ISO/CEI 27701

L'ISO/CEI 27701:2019 (anciennement ISO/CEI 27552 pendant la période de rédaction) est une extension de l'ISO/IEC 27001 sur la confidentialité. L'objectif de la rédaction de cette norme est d'améliorer le système de management de la sécurité de l'information existante (SMSI) avec des exigences supplémentaires pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de gestion des données à caractère personnel (PIMS)^[1]. La norme décrit un cadre pour les contrôleurs de PII (informations personnelles identifiables, ou Personally Identifiable Information en anglais) et les processeurs de PII pour gérer les contrôles de confidentialité afin de réduire le risque aux droits de confidentialité des personnes^[2].

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

La mise en forme de cet article est à améliorer (juin 2021).

La mise en forme du texte ne suit pas les recommandations de Wikipédia : il faut le « wikifier ».

L'ISO/IEC 27701 a pour but d'être une extension référentielle dans le cadre des certifications l'ISO/IEC 27001. En d'autres termes, les organisations qui envisagent d'être certifiées ISO/IEC 27701 devront également être certifiées ISO/IEC 27001.

Application prévue de la norme modifier

L'application prévue d'ISO/IEC 27701 est d'augmenter le SMSI existant avec des contrôles de confidentialité spécifiques et donc de créer des PIMS pour permettre une gestion efficace de la confidentialité au sein d'une organisation.

Un PIMS robuste présente de nombreux avantages potentiels pour les contrôleurs de PII et les processeurs de PII, avec au moins trois avantages significatifs :

Tout d'abord, atteindre la conformité aux exigences de confidentialité (notamment selon les lois et règlements, puis les accords avec des tiers, ainsi que les politiques de confidentialité d'entreprise, etc.) est imposant, surtout si les exigences ne sont pas organisées de la manière la plus efficace pour les contrôleurs de PII et processeurs de PII. Les organisations soumises à plusieurs obligations de respect de la vie privée (par exemple, si elles opèrent dans plusieurs juridictions, ou bien si les propriétaires des données répondent à une autre juridiction), elles sont soumises à des charges supplémentaires pour concilier, satisfaire et surveiller toutes les exigences applicables. Une approche gérée facilite la charge de conformité, comme en témoigne l'annexe C de la norme, un contrôle de confidentialité unique peut répondre à de multiples exigences du règlement général sur la protection des données (RGPD)^[3].

Deuxièmement, la réalisation et la maintenance en conformité avec les exigences applicables est un sujet de gouvernance et de sécurité. Sur la base du PIMS (et éventuellement de sa certification), les délégués à la protection des données peuvent fournir les preuves nécessaires pour assurer aux personnes concernées, telles que des supérieurs hiérarchiques, des propriétaires et des autorités, que les exigences de confidentialité applicables sont remplies.

Troisièmement, la certification PIMS peut être précieuse pour communiquer le respect de la vie privée aux clients et partenaires. Les contrôleurs de PII exigent généralement des preuves des processeurs de PII, que le système de gestion de la confidentialité des processeurs de PII satisfait aux exigences de confidentialité applicables. Un cadre de tests uniforme basé sur des normes internationales peut grandement simplifier cette communication de transparence en conformité, en particulier lorsque les preuves sont validées par un auditeur tiers accrédité^[4]. Ce besoin de communication de la transparence en conformité est également essentiel pour les décisions stratégiques d'affaires telles que les fusions et acquisitions, et les scénarios de co-contrôleurs impliquant l'accord d'échange de données. Enfin, la certification PIMS peut potentiellement faire preuve de fiabilité auprès du public.

Références normatives modifier

L'ISO/IEC 27701 fait référence normativement aux documents suivants :

Structure de la norme modifier

Les exigences de la norme sont réparties selon les quatre groupes suivants :

Les exigences PIMS relatives à l'ISO/IEC 27001 sont décrites dans la clause 5.
Les exigences PIMS relatives à l'ISO/IEC 27002 sont décrites dans la clause 6.
Le guide PIMS pour les contrôleurs de PII est décrit dans la clause 7.
Le guide PIMS pour les processeurs de PII est décrit dans la clause 8.

La norme comprend également les annexes suivantes^[5] :

Annexe A : objectifs et contrôles spécifiques de contrôle de référence (contrôleurs de PII)
Annexe B : objectifs et contrôles de référence spécifiques (processeurs PII)
Affectation de l'annexe C à l'ISO/IEC 29100
Annexe D : cartographie du Règlement Général sur la Protection des Données (RGPD)
Annexe E : attribution à l'ISO/IEC 27018 et l'ISO/IEC 29151
Annexe F : comment appliquer l'ISO/IEC 27701 à l'ISO/IEC 27001 et l'ISO/IEC 27002

Histoire de la norme modifier

Un nouveau point de travail a été proposé au JTC 1/SC 27 (JTC : Joint Technical Committee, soit comité technique conjoint) par le JTC 1/SC 27/WG 5 "Gestion de l'identité et des technologies de la vie privée" en avril 2016 basé sur une initiative d'experts du Corps national français du JTC 1/SC 27.

Le projet a été développé au JTC 1/SC 27/WG 5 sous le numéro ISO/CEI 27552.

La British Standards Institution (BSI) a réalisé le premier certificat de dépôt ISO/IEC 27552, disponible publiquement sur son site en février 2018.

Le deuxième certificat de dépôt ISO/CEI 27552 a été publié en août 2018.

Le DIS (Draft International Standard, version préliminaire de la norme en français) de l'ISO/CEI 27552 a été publié en janvier 2019 et approuvé en mars 2019. Comme il n'y avait pas de modifications techniques nécessaires, le vote du FDIS (Final Draft International Standard, soit version finale de la norme internationale en français) a été contourné.

Le JTC 1/SC 27 a achevé les travaux techniques sur l'ISO/CEI 27552 en avril 2019.

Avant sa publication, la norme ISO/CEI 27552 a été renommée en ISO/IEC 27701 conformément à la résolution 39/2019 du Conseil de Gestion Technique de l'ISO, qui ordonne que tout système de gestion "type A" (qui contient des exigences) ait un "01" pour ses deux derniers chiffres. La réaffectation de numéro a été terminée en juillet 2019.

La norme a été publiée le 6 août 2019.

Voir aussi modifier

Série ISO/CEI 27000

Références modifier

↑ https://www.iso.org/standard/71670.html ISO/IEC 27701:2019 [ISO/IEC 27701:2019]
↑ « Protection of personal data: How Voluntary Standards Contribute », AFNOR Marketing, juillet 2018
↑ « Privacy matters: Managing personal information with ISO/IEC 27552 », BSI Group, 2018
↑ Katko, « How GDPR compliance demands have shifted the focus to certification », Ernst & Young, 13 juin 2019
↑ https://www.iso.org/obp/ui/#iso:std:iso-iec:27701:ed-1:v1:en ISO/IEC 27701:2019 [ISO/IEC 27701:2019] Table of contents

Liens externes modifier

Page ISO/IEC 27701 de l'ISO
Article ISO sur ISO/IEC 27701

Portail de l’informatique

[1] ttps://www.iso.org/standard/71670.html ISO/IEC 27701:2019 [ISO/IEC 27701:2019]

[2] « Protection of personal data: How Voluntary Standards Contribute », AFNOR Marketing, juillet 2018

[3] « Privacy matters: Managing personal information with ISO/IEC 27552 », BSI Group, 2018

[4] Katko, « How GDPR compliance demands have shifted the focus to certification », Ernst & Young, 13 juin 2019

[5] ttps://www.iso.org/obp/ui/#iso:std:iso-iec:27701:ed-1:v1:en ISO/IEC 27701:2019 [ISO/IEC 27701:2019] Table of contents

[1]

[2]

[3]

[4]

[5]