ISO/CEI 27701

Un article de Wikipédia, l'encyclopédie libre.


L'ISO/CEI 27701:2019 (anciennement ISO/CEI 27552 pendant la période de rédaction) est une extension de l'ISO/CEI 27001 sur la confidentialité. L'objectif de la rédaction de cette norme est d'améliorer le système de management de la sécurité de l'information existante (SMSI) avec des exigences supplémentaires pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de gestion des données à caractère personnel (PIMS)[1]. La norme décrit un cadre pour les contrôleurs de PII (informations personnelles identifiables, ou Personally Identifiable Information en anglais) et les processeurs de PII pour gérer les contrôles de confidentialité afin de réduire le risque aux droits de confidentialité des personnes.[2]

L'ISO/CEI 27701 a pour but d'être une extension référentielle dans le cadre des certifications l'ISO/CEI 27001. En d'autres termes, les organisations qui envisagent d'être certifiées ISO/CEI 27701 devront également être certifiées ISO/CEI 27001.

Application prévue de la norme[modifier | modifier le code]

L'application prévue d'ISO/CEI 27701 est d'augmenter le SMSI existant avec des contrôles de confidentialité spécifiques et donc de créer des PIMS pour permettre une gestion efficace de la confidentialité au sein d'une organisation.

Un PIMS robuste présente de nombreux avantages potentiels pour les contrôleurs de PII et les processeurs de PII, avec au moins trois avantages significatifs :

Tout d'abord, atteindre la conformité aux exigences de confidentialité (notamment selon les lois et règlements, puis les accords avec des tiers, ainsi que les politiques de confidentialité d'entreprise, etc.) est imposante, surtout si les exigences ne sont pas organisées de la manière la plus efficace pour les contrôleurs de PII et processeurs de PII. Les organisations soumises à plusieurs obligations de respect de la vie privée (par exemple, si elles opèrent dans plusieurs juridictions, ou bien si les propriétaires des données répondent à une autre jurisdiction), ils sont soumis à des charges supplémentaires pour concilier, satisfaire et surveiller toutes les exigences applicables. Une approche gérée facilite la charge de conformité, comme en témoigne l'annexe C de la norme, un contrôle de confidentialité unique peut répondre à de multiples exigences du règlement général sur la protection des données (RGPD)[3].

Deuxièmement, la réalisation et la maintenance en conformité aux exigences applicables est un sujet de gouvernance et de sécurité. Sur la base du PIMS (et éventuellement de sa certification), les délégués à la protection des données peuvent fournir les preuves nécessaires pour assurer aux personnes concernées, telles que des supérieurs hiérarchiques, des propriétaires et des autorités, que les exigences de confidentialité applicables sont remplies.

Troisièmement, la certification PIMS peut être précieuse pour communiquer le respect de la vie privée aux clients et partenaires. Les contrôleurs de PII exigent généralement des preuves des processeurs de PII, que le système de gestion de la confidentialité des processeurs de PII satisfait aux exigences de confidentialité applicables. Un cadre de tests uniforme basé sur des normes internationales peut grandement simplifier cette communication de transparence en conformité, en particulier lorsque les preuves sont validées par un auditeur tiers accrédité[4]. Ce besoin de communication de la transparence en conformité est également essentiel pour les décisions stratégiques d'affaires telles que les fusions et acquisitions, et les scénarios de co-contrôleurs impliquant l'accord d'échange de données. Enfin, la certification PIMS peut potentiellement faire preuve de fiabilité auprès du public.

Références normatives[modifier | modifier le code]

L'ISO/CEI 27701 fait référence normativement aux documents suivants :

Structure de la norme[modifier | modifier le code]

Les exigences de la norme sont réparties selon les quatre groupes suivants :

  1. Les exigences PIMS relatives à l'ISO/CEI 27001 sont décrites dans la clause 5.
  2. Les exigences PIMS relatives à l'ISO/CEI 27002 sont décrites dans la clause 6.
  3. Le guide PIMS pour les contrôleurs de PII est décrit dans la clause 7.
  4. Le guide PIMS pour les processeurs de PII est décrit dans la clause 8.

La norme comprend également les annexes suivantes[5] :

  1. Annexe A : objectifs et contrôles spécifiques de contrôle de référence (contrôleurs de PII)
  2. Annexe B : objectifs et contrôles de référence spécifiques (processeurs PII)
  3. Affectation de l'annexe C à l'ISO/CEI 29100
  4. Annexe D : cartographie du Règlement Général sur la Protection des Données (RGPD)
  5. Annexe E : attribution à l'ISO/CEI 27018 et l'ISO/CEI 29151
  6. Annexe F : comment appliquer l'ISO/CEI 27701 à l'ISO/CEI 27001 et l'ISO/CEI 27002

Histoire de la norme[modifier | modifier le code]

Un nouveau point de travail a été proposé au JTC 1/SC 27 (JTC : Joint Technical Committee, soit comité technique conjoint) par le JTC 1/SC 27/WG 5 "Gestion de l'identité et des technologies de la vie privée" en basé sur une initiative d'experts du Corps national français du JTC 1/SC 27.

Le projet a été développé au JTC 1/SC 27/WG 5 sous le numéro ISO/CEI 27552.

La British Standards Institution (BSI) a réalisé le premier certificat de dépôt ISO/IEC 27552, disponible publiquement sur son site en .

Le deuxième certificat de dépôt ISO/CEI 27552 a été publié en .

Le DIS (Draft International Standard, version préliminaire de la norme en français) de l'ISO/CEI 27552 a été publié en et approuvé en . Comme il n'y avait pas de modifications techniques nécessaires, le vote du FDIS (Final Draft International Standard, soit version finale de la norme internationale en français) a été contourné.

Le JTC 1/SC 27 a achevé les travaux techniques sur l'ISO/CEI 27552 en .

Avant sa publication, la norme ISO/CEI 27552 a été renommée en ISO/CEI 27701 conformément à la résolution 39/2019 du Conseil de Gestion Technique de l'ISO, qui ordonne que tout système de gestion "type A" (qui contient des exigences) ait un "01" pour ses deux derniers chiffres. La réaffectation de numéro a été terminée en .

La norme a été publiée le .

Voir aussi[modifier | modifier le code]

Série ISO/CEI 27000

Références[modifier | modifier le code]

 

Liens externes[modifier | modifier le code]

  • Page ISO/CEI 27701 de l'ISO
  • Article ISO sur ISO/CEI 27701