L'Organisation internationale de normalisation a publié en 2019 une norme pour un système général de management de la protection des données (DSMS). La norme ISO/IEC 27701 décrit un DSMS basé sur un système de management de la sécurité de l'information conforme à la norme ISO 27001. Cette forme particulière de DSMS est appelée système de management des informations personnelles (PIMS). Les principes de base de ce PIMS sont décrits ci-dessous. Ce faisant, les cinq principaux avantages qu'un PIMS offre aux entreprises sont précisés. Les livres blancs gratuits fournissent des conseils supplémentaires sur la mise en œuvre pratique.

Loading...

Protection des données et sécurité de l'information

Même dans le contexte de la sécurité de l'information, la protection des données n'est pas un projet ponctuel que l'on lance, que l'on exécute et que l'on termine. C'est exactement le contraire qui se produit. La protection opérationnelle des données est un certain nombre de processus de protection des données qui doivent être disponibles en permanence et pouvoir être mis en œuvre dans les organisations, ou être déclenchés par un élément déclencheur. Les deux processus de protection des données "garantir les droits des personnes concernées" et "répondre aux incidents de protection des données" en sont des exemples importants.

Dans le monde de la protection des données, l'utilisation d'un système de gestion de la protection des données (SGPD) est considérée comme la solution idéale pour résoudre les problèmes de protection des données des organisations. Pourquoi en est-il ainsi ? La réponse est relativement simple :

Un système de gestion de la protection des données est le cadre et le moteur de la protection opérationnelle des données auquel les organisations doivent adhérer en permanence.

Stephan Rehfeld Expert GDPR et auditeur chez DQS

Depuis le 25 mai 2018, le règlement général européen sur la protection des données (GDPR) fournit tout simplement les règles du DSMS. Il formule des exigences légales strictes quant à ce qui est autorisé ou interdit (Business Rules). Les sanctions allemandes de la DS-GVO (loi fondamentale allemande sur la protection des données) en découlent. Cependant, il ne fait aucune déclaration sur la manière de mettre en œuvre les exigences légales en matière de protection des données.

Protection des données et sécurité de l'information - qu'est-ce qu'un système de gestion ?

La définition d'un système de gestion est abstraite et ne peut être opérationnalisée ad hoc. La norme ISO/IEC 27000:2020 définit un système de gestion comme un ...

"Ensemble d'éléments interdépendants et interactifs d'un organisme (3.50) permettant d'établir des politiques (3.53), des objectifs (3.49) et des processus (3.54) pour atteindre ces objectifs."

Ce n'est que lorsque les éléments d'un système de gestion ont été définis plus en détail qu'il est possible d'affirmer si les exigences légales et opérationnelles strictes en matière de protection des données du GDPR sont respectées avec le système de gestion spécifiquement en place. L'affirmation selon laquelle un système de gestion de la protection des données est exploité ne donne aucune indication sur la qualité du SGPD ou sur l'état de sa mise en œuvre.

La structure de haut niveau comme modèle pour les systèmes de gestion

L'Organisation internationale de normalisation (ISO) a créé un schéma directeur pour les systèmes de gestion appelé la structure de haut niveau (HLS). Cette structure de base contient tous les éléments que l'ISO considère comme pertinents pour un système de management (appendice 2 de l'annexe SL des directives ISO/CEI, partie 1). Pour cette raison, les mécanismes de base des normes de systèmes de management sont très similaires.

Le DSMS spécifique de l'ISO, le système de gestion des informations personnelles(PIMS), a donc une base identique à celle d'un système de gestion de la qualité selon ISO 9001, d'un système de gestion environnementale selon ISO 14001 ou d'un système de gestion de la sécurité de l'information selon ISO 27001.

Protection des données et sécurité de l'information - intégration du GDPR dans un système de gestion

Un PIMS conforme à la norme internationale ISO/IEC 27701 est universel et n'est pas seulement adapté au Règlement général européen sur la protection des données. La norme décrit un système de gestion de la protection des données basé sur un système de gestion de la sécurité de l'information conforme à la norme ISO 27001, ce qui rend la norme ISO 27701 adaptée à la mise en œuvre de toute protection opérationnelle des données personnelles, y compris la loi californienne ou japonaise sur la protection des données.

ISO/IEC 27701:2021-07- Techniques de sécurité - Extension aux normes ISO/IEC 27001 et ISO/IEC 27002 pour la gestion de l'information sur la vie privée - Exigences et lignes directrices (ISO/IEC 27701:2019).La norme est disponible à l'adresse suivante Site web de l'ISO.

MAIS : Ceux qui ont développé et mis en œuvre un PIMS conforme à la norme de protection des données - en d'autres termes, ceux qui protègent et gèrent systématiquement leurs données personnelles - trouvent qu'il est facile d'assurer et de démontrer la conformité aux exigences légales de protection des données. Cela se fait par le biais du mécanisme de gestion des exigences du système de gestion. La gestion des exigences est le processus qui consiste à identifier et à évaluer les exigences internes et externes et à mettre en œuvre des mesures pour faire face aux risques.

Quelle est la différence entre la protection des données et la sécurité des informations ?

La différence fondamentale entre ces deux sujets est simple : la sécurité de l'information englobe tous les actifs de l'entreprise à préserver et sert à protéger les informations commerciales confidentielles contre une utilisation abusive par des tiers. Cela implique bien plus que les seuls systèmes informatiques. Lorsqu'il s'agit de protection des données, les mesures visent à protéger les données personnelles. Depuis mai 2018, le règlement général de l'UE sur la protection des données doit être mis en œuvre de manière contraignante dans toute l'Europe - par toutes les entreprises et tous les organismes publics qui traitent des données personnelles.

Cinq avantages de la gestion de la protection des données

Dans l'interaction entre la sécurité de l'information et la protection des données, une norme doit toujours être comprise comme une meilleure pratique. La mise en œuvre concrète des exigences et des mesures relatives à la sécurité des données doit être effectuée par l'utilisateur.

L'avantage général du PIMS est la normalisation mondiale par le biais de la norme de protection des données et la vaste littérature sur la mise en œuvre des normes. Il est vrai qu'il faut s'habituer au langage des normes.

Avantage n° 1 : attribution des responsabilités

Il semble presque que la culture d'entreprise des petites et moyennes entreprises (PME) consiste à attribuer les responsabilités de manière peu claire ou pas du tout. On peut observer que dans de nombreuses politiques d'entreprise, la responsabilité de certaines activités ou de certains actifs n'est pas clairement définie et traitée. Il s'agit d'une lacune importante qui entraîne des lacunes et des erreurs dans les opérations.

MAIS : la protection des données est un "sport d'équipe". Ce n'est que si toutes les tâches sont identifiées et attribuées aux parties responsables, et que si ces personnes remplissent également leurs tâches, que votre entreprise peut fonctionner de manière conforme à la protection des données.

La protection des données est un "sport d'équipe" : Distribuer les responsabilités, c'est bien. Assumer les responsabilités, c'est mieux".

En introduisant un PIMS, le principe de propriété doit être introduit dans l'organisation pour le champ d'application de la norme. Toutefois, le terme de propriétaire ne doit pas être compris ici dans son sens de droit civil. Plutôt, dans la langue allemande de la norme, le propriétaire se réfère à la responsabilité d'une personne pour un actif ou la mise en œuvre d'une exigence ou d'une mesure.

Par exemple : La tenue à jour du "répertoire des activités de traitement (VVT)" est souvent déléguée au délégué à la protection des données (DPD). Bien entendu, cela n'a aucun sens et ne peut fonctionner car le DPD n'est souvent pas du tout impliqué dans de nombreuses activités de traitement. Dans le cadre de la gestion de la qualité, les responsables de processus se chargent de la documentation des processus. La direction devrait déléguer cette tâche en matière de protection des données également.

Certificat selon la norme ISO 27701

En termes de certification, la norme ISO 27701 complète la norme bien connue ISO 27001 - elle sera la première norme à confirmer la protection des données par un certificat. DQS est actuellement en cours d'accréditation auprès de l'organisme d'accréditation allemand (DAkkS).

Avantage n° 2 : la protection opérationnelle des données est axée sur les risques

Dans le DS-GVO allemand, le législateur européen exige une mise en œuvre de la sécurité des données orientée vers le risque, par exemple à l'article 32 (1) du DS-GVO. Cette orientation vers le risque ne fonctionne souvent pas dans les entreprises où aucun système de gestion n'est officiellement installé. L'application de la norme ISO 27701 sur la protection des données introduit inévitablement l'orientation vers le risque. Ici, la méthode d'évaluation des risques liés à la sécurité des données n'est pas prescrite et peut - dans certaines limites - être déterminée par l'utilisateur.

Avantage n° 3 : la gestion du changement comme élément de réussite

Les processus de sécurité des données peuvent être déclenchés par un changement dans l'organisation. Par exemple, la mise en œuvre ou l'adaptation d'un processus commercial, d'un service ou d'un produit. Les entreprises qui ne gèrent pas les changements ont de grandes difficultés à se conformer aux exigences en matière de protection des données, car les changements sont régulièrement traités de manière aléatoire et incontrôlée. Il en résulte ce que l'on appelle un écart réglementaire.

"Les entreprises et les organisations sont en constante évolution. La gestion du changement joue également un rôle important dans la protection des données et la sécurité de l'information."

Un PIMS enregistre et contrôle ces changements à l'aide de la gestion des changements et les met en œuvre. Par exemple, la modification d'un processus d'entreprise nécessite un contrôle de la licéité (légalité, économie des données, droits des personnes concernées, documentation dans le VVT, etc.)

Par exemple : L'exigence d'une implication précoce du délégué à la protection des données dans la conception des changements peut être réalisée tout simplement en le nommant dans l'équipe de changement.

Avantage n° 4 : Optimisation grâce à un processus d'amélioration continue

Les entreprises sont en constante évolution. Un système de gestion des informations personnelles est initialement planifié, mis en œuvre et exploité. Il est très probable que la première tentative d'introduction, de mise en œuvre et d'exploitation du système soit sous-optimale en raison d'un manque d'expérience. Même si un consultant expérimenté est consulté pendant la mise en œuvre, il faut s'attendre à des pierres d'achoppement.

"Prémisse : rendre la sécurité de l'information et la protection des données systématiques et durables."

Si tous les PIMS disposent en principe des mêmes mécanismes, ils sont conçus différemment. La taille de l'organisation, la culture organisationnelle ou même l'orientation sectorielle peuvent influer sur la mise en œuvre des mécanismes.

Un bon sous-mécanisme pour adapter en permanence le SGIP aux besoins changeants de l'organisation et des parties intéressées est le processus d'amélioration continue (PAC).

Par exemple : le règlement général sur la protection des données exige une fiche d'information informant les clients ou, par exemple, les citoyens, au moment de la collecte des données, de la nature et de la portée du traitement des données à caractère personnel et des droits connexes. Ces fiches d'information conformément aux articles 13 et 14 du DS-GVO sont publiées conformément à la loi, cependant, les personnes concernées demandent souvent à recevoir ces informations. En incluant ces suggestions d'amélioration, l'entreprise reconnaît qu'elle peut économiser des ressources et augmenter la satisfaction des clients en optimisant la publication de ces informations.

Avantage n° 5 : catalogue détaillé des mesures

Comme décrit précédemment, la norme ISO 27701 n'est pas adaptée au GDPR. Il incombe à l'utilisateur de la norme d'ajouter les exigences spécifiques du GDPR au PIMS.

Cependant, la norme internationale apporte trois catalogues étendus de mesures pour la mise en œuvre générale de la protection opérationnelle des données :

  • Les mesures techniques et organisationnelles,
  • Organisation de la protection des données chez le responsable du traitement, et
  • Organisation de la protection des données chez le sous-traitant.

La bonne nouvelle pour l'utilisateur européen est que les auteurs de la nouvelle norme se sont fortement concentrés sur le règlement général sur la protection des données lors de la conception des catalogues de mesures. Cela signifie que l'application des catalogues de mesures génériques correspond déjà à de nombreuses exigences du GDPR. Les exigences manquantes sont ensuite suivies par la gestion des exigences.

Les mesures sont des meilleures pratiques pour la mise en œuvre et sont rédigées dans le style d'un manuel. Contrairement au GDPR (Business Rules), les mesures expliquent à l'utilisateur de la norme comment la mise en œuvre doit avoir lieu. Du point de vue de l'auteur, c'est un très grand avantage.

Conclusion : Protection des données et sécurité de l'information

Quiconque a élaboré et mis en œuvre un système de gestion de la protection des données (SGPD) conformément à la norme ISO 27701 - en d'autres termes, quiconque protège et gère systématiquement ses données personnelles - pourra facilement garantir et prouver la conformité aux exigences légales. Correctement appliquée, la norme peut éviter de nombreuses erreurs dans l'introduction et le fonctionnement d'un SGPD.

"Dans une optique de protection des données et de sécurité de l'information, la norme ISO 27701 est le manuel tant attendu pour la mise en œuvre du GDPR."

La certification du PIMS ne sera toutefois possible que si un système de gestion de la sécurité de l'information certifié selon la norme ISO 27001 est également exploité par l'entreprise.

DQS : Tirer simplement parti de la qualité.

Les normes de systèmes de management fournissent un cadre systématique et structuré pour prendre en compte les obligations légales et les intégrer dans les processus d'entreprise. Les entreprises qui veulent jouer la carte de la sécurité peuvent faire vérifier le statut de leur sécurité de l'information ou de leur mise en œuvre conforme à la norme DS-GVO par un organisme indépendant comme DQS.

Nos compétences principales résident dans la réalisation d'audits et d'évaluations de certification. Cela fait de nous l'un des principaux fournisseurs mondiaux, avec la prétention d'établir à tout moment de nouvelles références en matière de fiabilité, de qualité et d'orientation client. En même temps, un système de gestion certifié pour la sécurité de l'information et la protection des données est une preuve de la diligence et de la prévoyance de votre entreprise en cas d'attaques de données externes.

Confiance et expertise

Nos textes et brochures sont rédigés exclusivement par nos experts en normes ou nos auditeurs de longue date. Si vous avez des questions sur le contenu ou sur nos services à notre auteur, n'hésitez pas à nous contacter . Nous nous réjouissons de pouvoir échanger avec vous.

Auteur
Stephan Rehfeld

Directeur général de "scope & focus Service-Gesellschaft mbH". Responsable externe de la protection des données et auditeur DQS de longue date pour la protection des données. Membre à part entière du groupe de travail "Technologies de gestion de l'identité et de protection des données" du DIN allemand, chef adjoint du cercle d'échange d'expériences de l'Association allemande pour la protection et la sécurité des données (GDD) à Hanovre.

Loading...