Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Une nouvelle norme ISO sur la gestion de la protection de la vie privée va aider au respect du RGPD

Tribune Pour aider les entreprises à mieux respecter le RGPD, l'Organisation internationale de normalisation (ISO) publie une nouvelle norme ISO/IEC 27701. Le cabinet d'avocats Caprioli & Associés nous donne son éclairage sur ses spécificités et son intérêt.
Twitter Facebook Linkedin Flipboard Email
×

Une nouvelle norme ISO sur la gestion de la protection de la vie privée va aider au respect du RGPD
Une nouvelle norme ISO sur la gestion de la protection de la vie privée va aider au respect du RGPD © Pixabay

Si le développement de l’environnement numérique procure de nombreux avantages, il génère aussi des inconvénients et des risques, comme en atteste l’augmentation des cyberattaques à l’encontre des organisations tant privées que publiques et quelle que soint leur taille. Corrélativement, la cybersécurité est à la fois un besoin voire un enjeu sociétal et économique pour tous les organismes, en particulier au titre de la protection des données à caractère personnel.

 

Le 25 mai 2018 (date d’entrée en application du Règlement Général sur la Protection des Données) constitue un tournant essentiel pour l’exploitation des données personnelles au sein du marché numérique. Si des lois et des règlementations sont nécessaires pour protéger les informations des individus sur leur vie privée, pour autant, force est de constater que la mise en œuvre d’une gestion efficace de la protection des données personnelles ne va pas sans poser de nombreuses difficultés.

 

UNE NORME ISO : QU’EST-CE QUE C’EST ?

Les normes internationales ISO (the International Organization for Standardization) précisent les exigences et les lignes directrices à suivre par tout organisme dans un domaine donné, tels que l’archivage (ISO 14641, 2018, Archivage électronique — Conception et exploitation d'un système informatique pour la conservation intègre de documents électroniques — Spécifications) ou le management de la sécurité de L’information (ISO/IEC 27001). Concrètement, de telles normes permettent de démontrer que le système de management mis en place par une entité est fiable et de bonne qualité.

 

Les normes internationales ISO sont reconnues pour satisfaire aux différentes exigences légales ou règlementaires. A ce titre, ces normes sont souvent considérées comme le reflet de l’état de l’art. En l’occurrence, la nouvelle ISO souhaite développer un système conforme aux exigences en matière de protection de la vie privée tout en assurant un niveau de sécurité adéquat conformément à la règlementation en vigueur. En d’autres termes, la norme internationale définit un système de management conçu pour protéger les données personnelles, ce qui se traduira par l’élaboration d’un référentiel commun afin d’établir la conformité à la dite norme.

 

LA NORME INTERNATIONALE SUR LE MANAGEMENT DE LA PROTECTION DE LA VIE PRIVÉE

Le 8 août 2019, la nouvelle ISO/IEC 27701 (ex 27552) sur le management de la vie privée a été adoptée, étant noté qu’elle s’appuie sur l’ISO/IEC 27001. Cette norme intitulée : "Techniques de sécurité — Extension d'ISO/IEC 27001 et ISO/IEC 27002 au management de la protection de la vie privée — Exigences et lignes directrices" a pour objectif de traiter de la Sécurité de l’information, la cybersécurité et la protection de la vie privée. La PIMS (Personal Information Management System) explique comment mettre en place une stratégie et permet de certifier les organismes quelle que soit leur taille ou leur qualité (responsable de traitement/ sous-traitant au sens de la protection des données personnelles).

 

La CNIL a participé aux travaux d’élaboration de cette norme. De plus, dans la lignée des normes 27001 et 27002, elle spécifie les exigences relatives à la mise en œuvre du système (phase d’implémentation), à la surveillance, au réexamen et aux mises à jour (phase de maintien). Elle fixe également les exigences relatives à l’amélioration d’un système de management de la protection de la vie privée (phase d’amélioration). Ainsi, le recours à cette norme implique pour chaque organisme de définir plusieurs phases comprenant la définition du périmètre du système, l’identification et l’évaluation des risques au titre de la sécurité des données personnelles, de l’élaboration d’une politique de sécurité et des mesures afférentes.

 

DES RÉPONSES AUX EXIGENCES DU RGPD

Le management en interne pour assurer la protection de la vie privée doit être une préoccupation majeure pour les organisations eu égard à l’augmentation du nombre de plaintes, à l’émergence des actions de groupe, et aux sanctions prononcées par le CNIL liées à la sécurité des données. L’élaboration de cette norme trouve naturellement sa place pour répondre aux fortes exigences en la matière, notamment dans le cadre des certifications prônées par le RGPD. Elle va permettre concrètement d’aider les organismes à respecter le RGPD. Cela étant, la norme comporte des exigences précises liées aux obligations légales déjà très contraignantes, telles que la suppression des fichiers temporaires créés à la suite d’un traitement par les sous-traitants selon des procédures documentées et dans un délai précis.

 

In fine, la norme va permettre de donner aux autorités de contrôle ainsi qu’aux clients un signal fort de conformité au RGPD : l’organisme certifié disposera d’un gage de confiance et cela même s’il s’agit d’une simple présomption de conformité. Reste à noter que cette norme n’est pas obligatoire et qu’elle repose sur une démarche volontaire des organismes.

 

Eric A. Caprioli, avocat à la cour, docteur en droit, et Isabelle Cantero, avocat associé
Caprioli & Associés, société membre du réseau JURISDEFI

 

 

Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Digitale.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale