Management de la protection des données avec un certificat

CONTENU

• Que contient la norme ISO 27701 ?
• ISMS et PIMS : Similitudes et différences
• Objectifs de protection des données et objectifs de sécurité de l'information : Similitudes et différences
• La certification ISO 27701 à portée de main
• ISO 27701 : Un grand pas vers la protection des données
• Créer des responsabilités claires
• Plus : Orientation vers le risque
• En un coup d'œil : Les avantages de l'ISO 27701
• Conclusion : Une approche systématique et structurée de la protection des données
• DQS : Simply leveraging Quality.

La protection des données comme complément d'un système de management

Idéalement, le management de la protection des données est conçue à l'aide d'une norme internationale, en tandem avec la norme ISO 27001 . La norme bien connue ISO/IEC 27001 traite des exigences relatives à un système de management de la sécurité de l'information (SMSI) et peut également être certifiée pour ce domaine d'application. La nouvelle norme ISO/IEC 27701 relative au management de la protection des données s'appuie sur la norme ISO 27001 et y ajoute des critères de protection des données. Cette extension intègre les exigences relatives à un système de management des informations sur la protection des données (DSMS ou Privacy Information Management System, PIMS) dans un ISMS.

Le titre complet de la norme internationale de protection des données est :

Comme l'ISO 27001, l'ISO 27701 prend également en compte l'approche système de management et se réfère à la structure de base des normes modernes de système de management, la structure de haut niveau (HLS ).

La nouvelle norme internationale fait partie de l'ISO 29100, qui contient tous les principes de protection des données. Elle devait initialement s'intituler ISO 27552, mais a ensuite été rebaptisée ISO 27701. Cette décision s'inscrit dans le cadre de la décision de l'Organisation internationale de normalisation (ISO) de faire en sorte que toutes les principales normes certifiables prennent fin en 01.

Management de la protection des données : Qu'y a-t-il dans la norme ISO 27701 ?

Au lieu de "sécurité de l'information", la nouvelle norme de protection des données parle de "sécurité de l'information et de protection des données". De plus, il y a des ajouts au contenu. Par exemple, lors de l'examen du contexte de l'organisation, l'inclusion des lois et des décisions judiciaires pertinentes en matière de protection des données est requise. De même, les critères relatifs au traitement des données personnelles doivent être pris en compte dans l'évaluation des risques - en gardant toujours à l'esprit la protection des personnes concernées et une éventuelle évaluation d'impact.

En outre, la norme ISO 27701 comprend des compléments à la norme ISO 27002, les lignes directrices pour la mise en œuvre des mesures de l'annexe A de la norme ISO 27001.

La norme ISO fournit également les conseils suivants sur le management de la protection des données :

• Extension de la ligne directrice et des politiques pour inclure les aspects de la protection des données.
• Désignation d'une personne responsable (délégué à la protection des données) dans l'entreprise pour le système de management des informations sur la vie privée.
• Formation des employés à la protection des données
• Journalisation des accès et des modifications
• Cryptage, par exemple de catégories spéciales de données personnelles telles que les données relatives à la santé.
• Prise en compte du principe de "Privacy by Design".
• Examen des incidents de sécurité pour les violations de la confidentialité des données

L'annexe de la norme ISO 27701 contient un tableau détaillé d'attribution des mesures aux exigences du GDPR. Il devient ici clair quelle est l'influence du Règlement général sur la protection des données de l'UE sur cette norme internationale pour la protection des données.

ISMS et PIMS : similitudes et différences

Les systèmes de management de la sécurité de l'information (ISMS) et les systèmes de management des informations sur la vie privée (PIMS) sont étroitement liés.

La confidentialité et la sécurité des données concernent les données personnelles. La série de normes ISO 27000 concerne principalement la protection des informations, les données personnelles en étant un sous-ensemble. C'est donc la perspective qui détermine si quelque chose est une violation de données ou un incident de sécurité de l'information, ou même les deux ?

"L'avantage de la norme ISO 27701 ? Elle met davantage l'accent sur les aspects de la protection des données dans le système de management de la sécurité de l'information !"

Stephan Rehfeld, expert en protection des données et auditeur chez DQS

Là où le terme "sécurité de l'information" est utilisé dans les normes ISO 27001 ou ISO 27002, il est appelé "sécurité de l'information et protection des données" dans la norme ISO 27701. Cet ajout fait de la protection des données une partie du système de management de la sécurité de l'information.

Cependant, il existe également des écarts où un PIMS fonctionne différemment d'un ISMS. Un exemple : la compréhension différente du contexte de l'organisation. Dans la norme ISO 27701, à la clause 4.1, il existe une exigence supplémentaire par rapport à la norme ISO 27001 selon laquelle "l'organisme doit définir son rôle en tant que partie responsable ou contrôleur conjoint pour les responsabilités partagées et/ou en tant que sous-traitant."

Cette exigence n'est pas présente dans le système de management de la sécurité de l'information car ce dernier ne reconnaît pas la distinction entre "contrôleur" et "sous-traitant". Par conséquent, la norme ISO 27701 contient deux annexes supplémentaires avec des mesures spécifiques à la protection des données pour les "contrôleurs" et les "processeurs".

Objectifs de protection des données et objectifs de sécurité de l'information : Similitudes et différences

La norme ISO 29100 définit les principes de protection des données que le système de management de l'entreprise doit respecter. L'article 5 du règlement général sur la protection des données (RGPD) montre quels objectifs de protection des données doivent être atteints avec les articles opérationnels du RGPD. Les principes et les objectifs sont largement congruents. En effet, l'OCDE a défini des objectifs de protection des données en 1980. Ceux-ci ont servi de base à la fois à la norme ISO 29100 et au GDPR.

Dans le système de management de la sécurité de l'information (SMSI), on retrouve les objectifs de sécurité de l'information : confidentialité, intégrité, disponibilité. On les retrouve également dans l'article 5 et l'article 32 du DS-GVO respectivement. Une différence majeure, cependant, est la définition des " parties intéressées " dans le SMSI. Il s'agit, par exemple, des propres employés de l'entreprise, des clients, des fournisseurs, des investisseurs ou des autorités. Dans le domaine de la protection des données, en revanche, la partie intéressée est uniquement la personne concernée.

Ainsi, le management des risques liés à la protection des données diffère également du management des risques liés à la sécurité de l'information. Par conséquent, le SMSI ne peut pas être utilisé tel quel comme PIMS avec ses processus spécifiques à la protection des données. Néanmoins, il existe des possibilités d'intégration afin que, par exemple, des audits internes communs puissent avoir lieu.

Management de la protection des données : La certification ISO 27701 à portée de main

En termes de certification, la nouvelle norme ISO 27701 complétera à l'avenir la norme ISO 27001 - et elle sera la première norme à confirmer la protection des données par certificat. À cette fin, DQS est actuellement en cours d'accréditation auprès de l'organisme d'accréditation allemand (DAkkS) et espère recevoir l'approbation prochainement. L'ISO 27701 étant conçue comme une extension de l'ISO 27001, le système de management de la protection des données selon l'ISO 27701 ne peut être certifié sans un système de management de la sécurité de l'information selon l'ISO 27001.

ISO 27701 : Un grand pas vers le management de la protection des données

Quiconque a élaboré et mis en œuvre un système de management de la protection des données (PIMS) conforme à la norme ISO 27701 - en d'autres termes, quiconque protège et gère systématiquement ses données personnelles - pourra facilement garantir et démontrer la conformité aux exigences légales. Les entreprises peuvent utiliser la nouvelle norme pour établir une sécurité de l'information largement conforme à la protection des données et une protection des données correspondante.

Créer des responsabilités claires avec ISO 27701

Lors de la mise en œuvre de la nouvelle norme ISO, les entreprises ne peuvent éviter de définir des responsabilités claires dans le domaine de la protection des données. Cet avantage ne doit pas être sous-estimé. Dans la plupart des entreprises qui ne disposent pas d'un système de management systématique de la protection des données, les responsabilités sont trop souvent formulées de manière molle, par politesse mal comprise ("Pourriez-vous vous en charger à l'avenir ?"). Ou bien les responsabilités sont partagées, selon la devise "Nous le ferons ensemble !". Les deux conduisent inévitablement à ce que personne n'assume de responsabilité au final. Avec un système de management de la protection des données bien structuré, il existe des directives claires, et cela n'a pas de prix.

"L'essentiel est que chaque entreprise bénéficie réellement de la systématisation de la protection des données - quels que soient le secteur et la taille de l'entreprise."

Stephan Rehfeld, expert en protection des données et auditeur chez DQS

La nouvelle norme ISO ne repose en aucun cas uniquement sur les principes du règlement général sur la protection des données, mais vise également à aider les entreprises à se conformer aux normes mondiales de protection des données. L'objectif est d'établir, de mettre en œuvre, de maintenir et d'améliorer continuellement un PIMS.

Un autre avantage : L'orientation vers le risque

Il existe un autre point positif en faveur de l'intégration de l'ISO 27701 à l'ISO 27001. Avec l'introduction de la norme ISO 27701, les entreprises sont pratiquement "obligées" d'adopter une approche de la protection des données personnelles axée sur le risque. Cela implique, par exemple, de définir et d'évaluer pleinement les risques et d'estimer la probabilité qu'ils se produisent.

Cette évaluation des risques constitue ensuite le point de départ de la réduction du potentiel concret de dommages à un niveau acceptable. On retrouve d'ailleurs cette approche merveilleusement pragmatique sous une forme similaire avec le GDPR, de sorte que la boucle est également bouclée en termes de pertinence pratique.

En un coup d'œil : Les avantages de l'ISO 27701

• La norme ISO 27701 formule des exigences pour un système de management des informations relatives à la vie privée.
• Avec l'ISO 27701, vous pouvez identifier, évaluer et minimiser les risques en matière de protection des données dans le contexte global de votre management de la sécurité de l'information.
• Outre l'ISO 27001, l'ISO 27701 est la première norme internationale certifiable qui confirme la protection des données par un certificat (bientôt : certificat accrédité DAkkS de DQS).
• L'ISO 27701 est un développement important pour la protection des données en Europe et au niveau international.

Conclusion : Une approche systématique et structurée du management de la protection des données

Si vous voulez naviguer en toute sécurité dans les écueils des réglementations nationales et internationales en matière de protection des données, vous ne pouvez éviter d'aborder le sujet de manière structurée et systématique. Dans ce contexte, la norme ISO 27701 offre une grande valeur ajoutée.

La protection et la sécurité des données peuvent donc également être maîtrisées par les entreprises de taille moyenne et constituent un excellent plan directeur pour une protection des données conforme à la réglementation. Elle comprend un ensemble complet de bonnes pratiques que les entreprises peuvent utiliser pour prouver en toute confiance qu'elles font preuve de diligence raisonnable dans le traitement des données critiques.

DQS : Simply leveraging Quality.

Dans le jeu de la dynamique et de la stabilité, les systèmes de management certifiés prennent de plus en plus d'importance - une évolution que DQS ressent de manière positive. En effet, les entreprises et organisations qui réussissent utilisent les conclusions de nos audits pour améliorer continuellement leurs résultats. Elles utilisent également nos certificats mondialement reconnus comme preuve objective de leur capacité de qualité. Cela crée de la confiance - tant en interne qu'en externe à votre entreprise.

Expertise et confiance

Nos textes et brochures sont rédigés exclusivement par nos experts en normes ou nos auditeurs de longue date. Si vous avez des questions sur le contenu du texte ou sur nos services à l'auteur, n'hésitez pas à nous contacter.