La certification à l’ISO 27701, sésame de la conformité au RGPD ?

En réponse à la nécessité sociétale de protéger la vie privée à travers la réglementation des traitements de données à caractère personnel (ci-après DCP), l’organisation internationale de normalisation (ISO), et la commission électrotechnique internationale (IEC), ont publié en août 2019 la norme ISO 27701 intitulée «Techniques de sécurité – Extension d’ISO/IEC 27001 et ISO/IEC 27002 au management de la protection de la vie privée- exigences et lignes directrices ».

De portée internationale, cette norme est adaptée aux lois sur la protection des données personnelles des différents pays tels que la LPD du Brésil. Cette norme n’a cependant pas de force obligatoire mais reste certifiante.

Aussi a-t-elle pour objet l’implémentation encadrée d’un Système de Management de la Protection de la Vie Privée, en anglais Privacy Information Management System (ci-après PIMS), faux-jumeau du Système de Management de la sécurité de l’information (ci-après SMSI) dont il est dérivé. Le PIMS est l’ensemble de mesures organisationnelles et techniques permettant d’atteindre un objectif et de le maintenir dans la durée. Il repose sur trois piliers : l’approche par les risques, l’amélioration continue et l’audit (qui implique documentation et traçabilité). Le périmètre du PIMS et du SMSI sont néanmoins distincts, et ne doivent pas être confondus.

Le SMSI défini dans l’ISO/IEC 27001 a été conçu pour permettre l’ajout d’exigences spécifiques à des secteurs, et ce, sans qu’il soit nécessaire de concevoir un nouveau système de management. Aussi permet-il un système de management combiné avec le PIMS. Le PIMS est donc un SMSI « Privacy » si l’on peut dire.

En matière de données personnelles, les exigences relatives à leur protection varient selon les lois nationales et les entreprises. Aussi la norme exige-t-elle la prise en compte de ces lois et contexte d’une part, et la mise en correspondance avec les principes et le cadre de la vie privée défini dans l’ISO/IEC 29100, l’ISO/IEC 27018, l’ISO/IEC 29151 et le RGPD. Toutefois, bien qu’il y ait une correspondance indéniable entre le RGPD et l’ISO 27701, la norme certifiante 27701 ne correspond en rien à la certification prévue à l’article 42 du RGPD.
Cette norme est donc une simple extension des normes internationales reconnues et éprouvées en matière de cybersécurité et une des combinaisons possibles avec l’ISO/IEC 27001 et 27002.

Concrètement, cette norme dote le SMSI et les mesures de sécurité de l’information détaillée dans ces deux normes d’un volet « privacy ».
Ce volet propose un cadre pour l’implémentation d’un PIMS (Privacy Information System management) et permet l’intégration des exigences RGPD au SMSI ; soit en somme, de démontrer aux autorités de contrôle un niveau certain de maturité et de conformité.
Une partie est dédiée aux exigences spécifiques au PIMS liées à l’ISO 27001, une autre donne des recommandations spécifiques au PIMS liées à l’ISO 27002. A celles-ci s’ajoutent deux recommandations supplémentaires de l’ISO 27002 pour les responsables de traitement d’une part et pour les sous-traitants d’autre part. Elle insiste sur les enjeux critiques de sécurité des DCP tels que le chiffrement, la gestion des accès, la sauvegarde des données et la gestion des incidents, la sécurité des contrats, etc.

La norme ISO 27701 complète également les phases de compréhension du contexte et de la planification définies dans l’ISO 27001.
En somme, lors de la définition du PIMS, l’organisation devra déterminer sa qualification (RT ou ST) et décrire les traitements de DCP mais aussi réaliser (de manière distincte ou confondue) une évaluation des risques relatifs aux DCP (AIPD) ; en sus d’une appréciation des risques de sécurité de l’information.
Par ailleurs, la déclaration d’applicabilité doit présenter les mesures nécessaires et leurs justifications (Annexe A et B de l’ISO 27701). Cette déclaration fait le lien direct entre RGPD et ISO 27701.

Ainsi, cette norme s’adresse à toutes les organisations traitant des données personnelles sans distinction de taille, de secteur d’activité ou de nationalité, que celle-ci soit responsable de traitement, sous-traitant ou encore partie à une sous-traitant ultérieur.

Elle compose dès lors le référentiel d’exigence indispensable à tout organisme souhaitant gérer les exigences légales relatives à la protection des données personnelles à travers un système de management structurant la démarche de conformité durablement.

Son objectif est donc de donner aux entreprises un dénominateur commun notamment dans le choix de leurs partenaires grâce à la certification. En ce sens, cette norme facilite la confiance numérique entre les entreprises et les utilisateurs, ce qui devient dès lors une référence pour le marché et donc, un indice de conformité non négligeable dans les relations commerciales. En outre, elle permet de démontrer les engagements pris pour la protection des données et atteste d’un niveau certain de conformité, notamment au RGPD auprès des autorités de contrôles telles que la CNIL ou le CEPD.
En cela, elle ne constitue pas à elle seule une preuve de la conformité au RGPD mais un indice non négligeable. De plus, la certification de la 27701 induit une certification 27001, étant donné que celles-ci sont connexes. Cela représente donc un investissement pour les entreprises ; qui selon le niveau de maturité peut s’avérer être aussi bien utile que supplémentaire par rapport aux sommes investies dans la conformité au RGPD.

Ce raisonnement s’applique également aux recommandations édictées concernant la désignation d’un point de contact ainsi que la nomination d’une personne responsable du programme de gouvernance et de protection de la vie privée. Cela implique donc que le chef de projet du PIMS doit être compétent en matière de sécurité de l’information et de protection de la vie privée ; soit être compétent à la fois sur les thématiques juridiques et techniques. Les entreprises dotées d’un DPO sont susceptibles de lui ajouter la responsabilité du volet protection de la vie privée d’un PIMS, de la même manière qu’un RSSI sera responsable du volet sécurité de l’information d’un SMSI.

En conclusion, la certification ISO 27701 est un atout business pour les entreprises, qui peuvent dès lors signer leurs contrats en toute confiance avec le prestataire certifié, celui-ci répondant aux exigences en termes de protection des données / privacy ; c’est également un indicateur du niveau de maturité de conformité de l’entreprise mais elle n’exclut en aucun cas la conformité pleine, totale et entière au RGPD en sa lettre propre.

Sources :

• Norme ISO/IEC 29100 : 2011 Technologies de l’information – Techniques de sécurité – Cadre privé
• Norme ISO/IEC 29101 : 2018 Technologies de l’information – Techniques de sécurité – Cadre d’architecture de confidentialité
• Norme ISO/IEC 29134 :2017 Technologies de l’information – Techniques de sécurité – Lignes directrices pour l’étude d’impacts sur la vie privée
• Synthèse Hs2 https://www.hs2.fr/wp-content/uploads/2020/10/Article-Amelie-Paget-NORMES.pdf
  Norme ISO/IEC WD 27558 : https://www.iso.org/fr/standard/71676.html
  L’ISO 27701, une norme internationale pour la protection des données personnelles : https://www.cnil.fr/fr/liso-27701-une-norme-internationale-pourla-protection-des-donnees-personnelles