Gestion quotidienne & pilotage stratégique :
éliminez vos doutes, contactez un expert SVP

    L'ISO/IEC 27701 : 2019 – Système de management de la protection de la vie privée – et le RGPD

    16 avril 2020

    En réponse aux nombreuses préoccupations liées à l'utilisation, de plus en plus importante, par les entreprises des données personnelles, l'International Standard Organisation (ISO) a publié récemment la norme ISO/IEC 27701. Cette nouvelle norme a pour objectif de fournir des conseils aux organisations qui souhaitent mettre en place un système pour prendre en charge la conformité avec le RGPD et les autres exigences de confidentialité des données. Cette norme de sécurité des informations publiées est une extension de la norme ISO 27001.

    La norme ISO/IEC 27701

    Cette norme spécifie les exigences et fournit les lignes directrices pour l'établissement, la mise en œuvre, la maintenance et l'amélioration continue d'un système de gestion des informations personnelles (PIMS). Elle s'appuie sur la norme ISO 27001, qui expose les exigences relatives aux systèmes de management de la sécurité des informations (SMSI) et le code de bonne pratique pour le management de la sécurité de l'information établi par la norme ISO 27002.

    La norme ISO 27001 fournit un cadre pour un système de gestion de la sécurité de l'information (SMSI) qui permet la confidentialité, l'intégrité et la disponibilité continues des informations ainsi que la conformité aux règlementations. À ce jour, plus de 60 000 organisations dans le monde sont certifiées ISO 27001.

    La norme ISO/IEC 27701 est applicable à tous les types et toutes les tailles d'organisation, qu'elles soient publiques ou privées, et quel que soit le pays dans lequel elles opèrent. Les exigences définies dans cette nouvelle norme s'appliquent à toutes les organisations responsables de traitements, ou sous-traitants de données personnelles. Cette application doit bien entendu être adaptée aux lois et règlements en vigueur dans le pays concerné.

    Les organisations souhaitant obtenir la certification ISO 27701 afin de se conformer au RGPD devront soit posséder une certification ISO 27001 existante, soit mettre en œuvre en même temps l'ISO 27001 et l'ISO 27701 ; l'ISO 27701 étant une extension des exigences et des orientations définies dans l'ISO 27001.

    Comment la norme ISO/IEC 27701 peut-elle être utilisée pour se conformer au RGPD?

    Le RGPD (règlement nᵒ 2016/679, dit règlement général sur la protection des données) exige des organisations qu'elles adoptent des mesures techniques et organisationnelles appropriées (y compris des politiques, procédures et processus) pour protéger les données personnelles qu'elles traitent.

    La mise en œuvre d'un système de gestion conforme aux normes ISO/IEC 27701 et ISO/IEC 27001 permettra aux entreprises de répondre aux exigences de confidentialité et de sécurité des informations énoncées dans le RGPD ainsi que dans d'autres réglementations sur la protection des données.

    La nouvelle norme, dont la CNIL1 a participé aux travaux d'élaboration, développe en effet un ensemble d'exigence couvrant toutes les thématiques du RGPD. Elle comporte des exigences précises liées aux obligations légales, telles que la suppression des fichiers temporaires par exemple, selon des procédures précises et documentées.

    1 Commission nationale de l'informatique et des libertés

    Cette lettre est réalisée par : Jean Jacques Labinsky
    , Pierre-louis Passalacqua

    Les articles des experts SVP sur le même thème :