Qu’est-ce que la norme ISO 27701 ?

L’Organisation internationale de normalisation (ISO) a publié la norme ISO 27701, la norme internationale pour la protection et la gestion des informations personnelles (PII). En août 2019, l’ISO a publié un ensemble de nouvelles lignes directrices sur la protection et la gestion du traitement des données personnelles. L’ISO27701 établit la norme sur la manière dont les informations personnelles (« PII ») doivent être gérées et traitées. La Société internationale pour les technologies de l’information (ISIT) et l’Organisation mondiale de la santé (OMS) ont publié la norme internationale pour la protection, la gestion et le traitement des données. [Sources : 0,8,11]

La norme ISO 27701 fournit des lignes directrices pour l’établissement, la mise en œuvre, la maintenance et l’amélioration continue d’un système de gestion des informations sur la vie privée (PIMS) et donne des indications sur la gestion des données personnelles (« PII ») dans le contexte de la protection, de l’administration et de la gestion des données (IEC). PII – exigences connexes, les responsabilités des responsables du traitement et des sous-traitants doivent être rendues responsables de leur traitement et fournit des conseils sur les informations personnellement identifiables. La norme ISO27701 (2019) définit un ensemble de lignes directrices pour l’établissement, la mise en œuvre, la maintenance, l’amélioration continue et l’amélioration d’un système de gestion de l’information sur la protection des données tel que PIC, PIS, ICS ou IMS. [Sources : 4,2,7]

Semblable à la norme ISO 27001, la norme ISO 27701 contiendra un ensemble de contrôles, d’objectifs et de lignes directrices que les organismes peuvent prendre en compte pour l’introduction, la mise en œuvre, la maintenance, l’amélioration continue et l’amélioration d’un PIMS. Sources : 14]

Les organisations qui ont adopté la norme ISO 27001 pourront intégrer les contrôles et les exigences de la norme ISO 27701 dans leurs pratiques existantes en matière de sécurité des données pour atteindre le même niveau de sécurité et de protection des données qu’un PIMS en ce qui concerne la protection des données. L’annexe A fait spécifiquement référence à la « protection des données », et en étendant les clauses de la norme ISO27001, la norme ISO27701 aide les organisations à le faire. Les organismes qui ont adopté la norme ISO 2701 peuvent désormais étendre leurs efforts en matière de sécurité aux exigences de protection des données, en utilisant cet exemple pour montrer l’importance de la protection des données pour les opérations et les systèmes de management de leur organisme. Les organismes qui ont adopté ou mis en œuvre la norme ISO 277001 peuvent également utiliser la norme ISO 27801 pour étendre leurs efforts de sécurité aux exigences de protection des données. [Sources : 9,13,6,1]

Les organisations qui sont déjà certifiées ISO 27001, qui mettent en œuvre un programme efficace de conformité au GDPR et qui intègrent par défaut la protection des données dans le processus de gestion de projet auront un temps relativement facile pour atteindre la norme ISO 27701. Sources : 3]

L’ISO 27701 apporte également une valeur ajoutée dans la capacité à traiter et à gérer la vie privée, en donnant aux entreprises une meilleure compréhension de la façon dont elles traitent et gèrent la vie privée. En combinaison avec l’ISO 27001, l’ISO 27700 peut aider les entreprises à démontrer comment leurs dispositions de gestion soutiennent la capacité des régulateurs à rechercher des preuves de pratiques robustes de protection des données lorsqu’ils recherchent des preuves d’une violation. La combinaison d’ISO 26001 et des exigences de conformité au GDPR de la législation de l’Union européenne sur la protection des données donne également aux organisations une meilleure visibilité de leur conformité à la loi et ajoute de la valeur à leurs capacités de sécurité et de protection des données. En combinant l’ISO27701 avec l’ISO 2701, les organisations peuvent démontrer comment leur accord de gestion soutient l’accès aux preuves et aux preuves des régulateurs qui cherchent des preuves de pratiques robustes en matière de protection des données, lorsque le régulateur cherche des preuves de pratiques robustes en matière de protection des données après une violation. Sources : 10,6,13]

La conformité à la norme ISO 27701 est cruciale pour que les organisations puissent recueillir des informations sur leur conformité aux exigences de protection des données du GDPR de l’Union européenne. La norme ISO27701 exige que les organisations produisent des rapports annuels réguliers sur la façon dont elles traitent les données personnelles. Lorsqu’une organisation contrôle et traite des données personnelles et dispose d’un SMSI ISO 27001, le PIMS ISO 277010 permet aux entreprises de toutes tailles et de tous secteurs d’activité d’adopter une approche fondée sur les risques pour leurs politiques et pratiques en matière de sécurité des données et de confidentialité. Sources : 11,12,11]

L’ISO 27701 ne peut pas être mise en œuvre en tant que norme autonome, mais les organisations qui n’ont pas mis en œuvre de SMSI peuvent la mettre en œuvre conjointement dans un seul projet de mise en œuvre. ISM pour la mise en œuvre des normes ISO 27001 et ISO 277010 PIMS et leur mise en œuvre en tant que normes indépendantes. L’ISO 26001 et l’ISO 27701 sont mises en œuvre par une organisation qui n’a pas mis en œuvre le SMSI et peuvent être mises en œuvre conjointement avec l’ISO 27001 ou l’ISO 27801 dans un seul projet de mise en œuvre. Sources : 1,6,13]

Si vous avez déjà mis en œuvre la norme ISO 27001, la mise en œuvre de la norme ISO 27701 est un peu plus facile, mais les deux normes ont des exigences techniques qui se chevauchent. Il est bon de combiner les exigences de deux normes distinctes (ISO 26001 et ISO 27801), car la norme ISO27701 ne fait qu’étendre les exigences et les lignes directrices des deux autres normes du système international de gestion de l’information (ISMS). Sources : 14,1]

La norme ISO 27001 vous permet de répondre aux exigences du système international de gestion de l’information (ISMS) et de la norme ISO 27002, mais si vous utilisez déjà l’une de ces deux méthodes, vous pouvez vous conformer à la réglementation et obtenir la certification ISO 27701. Si vous avez déjà utilisé soit la norme ISO 26001, soit la norme ISO 29001, soit les deux, vous et votre organisation disposez déjà des droits, des compétences, des processus et des systèmes nécessaires pour minimiser les risques au sens large afin de garantir la confidentialité et la sécurité. En utilisant les mêmes normes que les deux autres, l’ISO 27801 vous permet de construire un cadre cohérent pour protéger vos IPI. Sources : 5,1,7]

Sources :

• [0] : https://www.corporatecomplianceinsights.com/iso-27701-gdpr-certification/
• 1] : https://www.itgovernanceusa.com/iso-27701
• [2] : https://exemplarglobal.org/certification/privacy-and-data-protection/privacy-information-management-system-auditor-iso-27701/
• [3] : https://www.trilateralresearch.com/the-implications-of-iso-27701-for-organisations-seeking-privacy-certification/
• [4] : https://pricoris.com/iso-27701-pims/
• [6] : https://techspective.net/2020/01/16/iso-27701-the-new-international-privacy-standard-to-demonstrate-compliance-with-privacy-laws/
• [7] : https://www.sriregistrar.com/standards/iso-iec-277012019/
• [8] : https://blog.cloudflare.com/iso-27701-privacy-certification/
• [9] : https://www.itgovernance.eu/blog/en/iso-27701-the-new-international-standard-for-data-privacy
• [10] : https://www.infosecurity-magazine.com/blogs/iso-27701-compliance/
• [11] : https://www.bureauveritas.co.in/iso-27701-privacy-information-management-system-certification
• [12] : https://www.aprio.com/services/information-assurance/iso-27701-compliance-and-certification/
• [13] : https://www.bobsguide.com/guide/news/2019/Nov/12/iso-27701-the-new-international-privacy-standard/
• [14] : https://www.readynez.com/en/blog/what-is-the-iso-27701-a-comprehensive-guide-to-privacy-information-management/