Qu’est-ce que la norme ISO 27701 ?
La norme ISO 27701 est une certification qui permet de renforcer la protection de la vie privée et plus particulièrement des données personnelles. Elle a été publiée le 6 aout 2019 par deux organisations internationales. Le siège social de chacune d’elles est situé à Genève en Suisse, notamment pour la neutralité de ce pays.
- L’Organisation Internationale de Normalisation (ISO). C’est une organisation internationale non gouvernementale et indépendance qui réunit en son sein des experts qui élaborent des normes internationales d’application volontaire. L’ISO compte 167 membres, ce sont des organisations de normalisation leaders dans leur propre pays.
- La Commission Électrotechnique Internationale (IEC). Il s'agit de la principale organisation mondiale à but non lucratif pour la préparation et la publication de normes internationales pour toutes les technologies électriques, électroniques et connexes. L’IEC rassemble plus de 180 pays.
La norme ISO 27701 est l’extension de deux normes existantes :
- L’ISO 27001, publiée en novembre 2005 puis révisée en 2013. Cette norme porte sur le système de gestion des informations personnelles (PIMS). Les PIMS sont des systèmes qui permettent d’aider les responsables de traitement dans la sécurisation et le contrôle des données à caractère personnel.
- L’ISO 27002, publiée en octobre 2013 et révisée une première fois en mai 2017 puis en février 2022. Cette norme porte sur les bonnes pratiques de management de la sécurité de l'information.
L’ISO définit la fonctionnalité de la norme ISO 27701 comme permettant de spécifier les exigences et de fournir des recommandations pour « la création, la mise en œuvre, le maintien et l'amélioration continue d'un système de management de la protection de la vie privée ».
Ces recommandations sont destinées aux responsables de traitement des données à caractère personnel et à leurs sous-traitants. Il peut s’agir d’entreprises privées ou bien d’organismes publics, tous les responsables de traitement peuvent demander cette certification.
La norme ISO 27701 garantie t elle une protection efficace des données personnelles ?
L’ISO 27701 est une norme mondiale sur le système de gestion sur les informations personnelles, elle fournit des orientations sur la manière dont les organismes doivent traiter les données personnelles. C’est un indice qui permet de démontrer que le responsable de traitement ayant obtenu cette certification a mis en place une politique des données maîtrisée.
Cette norme énonce des lignes directives sur la protection des données. L’ISO et la IEC se sont fondées sur plusieurs textes internationaux, tels que le Règlement européen général sur la protection des données (RGPD), mais également la loi française informatique et libertés, le DATA Protection Act en vigueur au Royaume Uni ou encore California Consumer Privacy Act qui est une loi californienne en vigueur aux États-Unis.
Néanmoins, ces lignes directrices proposées par la norme ISO 27701 ne permettent pas de constituer une garantie de la conformité avec le RGPD.
Le RGPD est le texte le plus strict et protecteur au monde en matière de protection des données personnelles. Le fait qu’un organisme traitant des données à caractère personnel soit conforme aux lignes directrices présentées par la norme ISO 27701 ne permet pas de garantir que celui-ci soit en conformité avec l’intégralité du règlement européen. Toutes les obligations mises en œuvre par le RGPD à l’encontre des responsables de traitement ne sont pas présentes dans les lignes directrices de la norme ISO 27701.
L’article 42 du RGPD énonce qu’il est possible pour les États-membres de l’Union européenne, ainsi que les autorités de contrôle ou encore la Commission, de mettre en place des mécanismes de certification en matière de protection des données afin de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le RGPD.
La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité de protection des données française. Elle a un rôle d’alerte, d’information, de contrôle et de sanction.
La CNIL a pu participer à l’élaboration de la norme ISO 27701.
Dans un article en date du 2 avril 2020, la CNIL a énoncé que cette norme ne peut être considérée comme une certification au sens de l’article 42 du RGPD, cette norme permet uniquement de présenter « l’état de l’art en protection de la vie privée (…) et de démontrer une démarche active de protection des données personnelles ».
Les organismes qui obtiennent cette certification ne sont pas garantis d’être exemptés de sanction RGPD en cas de manquement au RGPD constaté par la CNIL.
Toutefois, la CNIL énonce que cette certification permet de renforcer et de standardiser la protection des données personnelles, notamment parce que la norme ISO 27701 :
- « Étend le système de management de la sécurité de l’information pour inclure les particularités des traitements de données personnelles », telles que les conditions de transferts de données, les concepts de privacy by design and by default ou encore la désignation par les responsables de traitement d’un délégué à la protection des données (DPO).
- « Apporte des mesures spécifiques aux traitements de données personnelles, en tenant compte du rôle de l’organisme ». Peu importe que l’organisme soit le responsable de traitement ou le sous-traitant. La norme ISO 27701 énonce notamment plusieurs principes fondamentaux et droits des individus présents dans le RGPD, tels que le droit à l’information, à l’accès, la rectification ou la suppression des données.
Avec le développement de la cybercriminalité, les utilisateurs d’internet sont exposés à de nombreux risques, engendrés par le vol ou l’exploitation abusive de leurs données, tels que l’atteinte à leur image, à leur vie privée, l’espionnage, le sabotage, le chantage …
La norme ISO 27701 permet d’assurer à la clientèle la protection de leurs données personnelles et de leur vie privée. Elle instaure donc un climat de confiance et de transparence entre le responsable de traitement et les consommateurs mais également avec ses partenaires. Sa reconnaissance internationale représente également un avantage considérable pour les entreprises qui souhaitent s’étendre vers d’autres pays.
Cette norme ISO 27701 représente donc un atout pour les responsables de traitement.
Néanmoins, il est également primordial de s’assurer que votre organisme soit conforme au RGPD, afin d’éviter toute sanction pour manquement à vos obligations.
Vous pouvez consulter notre article « Données personnelles et Mise en conformité RGPD » si vous souhaitez découvrir les différentes étapes de la mise en conformité avec le RGPD.
Notre cabinet Avomedias est à vos côtés afin de vérifier que le traitement des données personnelles opéré par votre organisme assure une protection suffisante des données à caractère personnel.
Nous pouvons vous accompagner tout au long du processus de mise en conformité avec la loi de protection des données personnelles et vous proposer des audits du respect des règles en vigueur pour s’assurer que vous ne violez pas la loi.
Nous vous accompagnons également en cas de contentieux devant les juridictions compétentes ou la CNIL.