Avec ISO/IEC 27701, la norme ISO 27001 s’étend aux données personnelles

Une nouvelle norme ISO/IEC 27701 a été publiée au mois d’août 2019. Celle-ci est une extension de la norme 27001 et constitue une nouveauté puisqu’elle concerne le management de la protection de la vie privée ou « PIMS », pour Privacy Information Management System.

Retour avec Joseph Atias, avocat expert en protection des données au sein de Pythagore Avocats, sur ce nouveau texte.

Pourquoi adjoindre un volet “données personnelles” à la norme ISO 27001 ?

La norme ISO/IEC 27701 est introduite par une présentation générale mettant en lumière le fait que la quantité de données personnelles est en pleine explosion et que cet écosystème intensifie son besoin d’une législation universelle.

Cette nouvelle norme a pour objectif répondre à l’inquiétude croissante des entreprises relative à la conformité des systèmes d’information contenant des données personnelles en termes de confidentialité.

Le volet répressif dans ce domaine inquiète tant il est puissant, et Facebook a d’ailleurs récemment écopé d’une amende record de 5 milliards de dollars, suivie de près par Google avec 575 millions de dollars. Nul doute que l’inquiétude est bien réelle et que la législation s’intensifie, notamment au sein de l’Union européenne suite à l’entrée en vigueur du RGPD.

Comment cette nouvelle norme doit-elle s’articuler avec les réglementations existantes, comme le RGPD ou encore le CCPA ?

Cette nouvelle norme ISO 27701 confère désormais à la protection des données à caractère personnelle une visibilité incomparable. À ce jour, plus de 60 000 entreprises ont été certifiées conformes à la norme ISO 27001, dont elle en constitue maintenant une partie.

Andreas Wolf, président du comité technique de l’ISO/IEC, chargé d’élaborer la norme, estime qu’aujourd’hui presque toutes les organisations doivent traiter des données personnelles, et que leur protection n’est pas uniquement une obligation légale, mais répond également à un besoin interne de gouvernance.

C’est précisément là que la norme entre en action, fixant des standards pour répondre à cette urgence et au besoin d’un socle commun. Elle concerne ainsi tout type et toute taille d’organisation, qu’elle soit publique ou privée, à but lucratif ou non, et où qu’elle soit située.

Dans un contexte marqué par la multiplication des réglementations en matière de privacy, quelle peut être l’utilité de cette nouvelle norme pour les organisations ?

La norme ISO 27701 se conforme effectivement aux exigences du RGPD et intègre deux annexes spécifiquement adressées aux responsables de traitement et aux sous-traitants. Elle permet ainsi aux organisations de respecter les principes de protection des données personnelles de manière plus large, puisqu’elle peut être adoptée par des entreprises non soumises à une règlementation unique en matière de protection des données personnelles.

L’idée majeure est de permettre une amélioration continue du système de gestion de la protection des données personnelles, ce qui correspond efficacement à l’exigence de conformité continue (principe d’accountability) requise par le RGPD, mais aussi aux enjeux posés par l’apparition de nouvelles réglementations privacy aux quatre coins du monde…

Enfin, quel est le regard de la CNIL française sur ce nouveau développement ?

Matthieu Grall, de la Commission nationale de l’informatique et des libertés (CNIL), a contribué à l’élaboration de la norme. Il estime qu’elle répond à un véritable besoin compte tenu de la croissance des exigences et lois toujours plus strictes concernant la protection des données personnelles. Il a récemment indiqué que :

Malgré les risques encourus en cas de non-respect de la réglementation, nous savons que beaucoup d’entreprises ne sont tout simplement pas prêtes et ont besoin d’être accompagnées. Avec l’augmentation du nombre de plaintes et de sanctions liées à la confidentialité et à la protection des données, il est évident qu’une telle norme était nécessaire.

En outre, les organisations doivent prouver aux autorités, et à leurs partenaires, clients et collaborateurs qu’elles sont dignes de confiance. Or cette norme contribuera fortement à inspirer cette confiance.