La norme ISO 27701, publiée en août 2019, se base sur deux normes ISO de sécurité de l’information et les étend pour intégrer la protection des données personnelles :
- l’ISO 27001, qui certifie un système de management de la sécurité informatique ;
- l’ISO 27002, qui détaille les bonnes pratiques pour la mise en œuvre des mesures de sécurité nécessaires.
Afin de standardiser et de renforcer la protection des données personnelles, l’ISO 27701 :
- étend le système de management de la sécurité de l’information pour inclure les particularités des traitements de données personnelles :
- détermination du rôle de l’organisme à certifier ;
- gestion unifiée des risques informatiques pour l’organisme et des risques pour la vie privée des personnes concernées, désignation d’un responsable pour la protection de la vie privée (DPD) ;
- sensibilisation des personnels, classification des données, protection des supports amovibles, gestion des accès et chiffrement des données, sauvegarde des données, journalisation des événements ;
- conditions de transferts de données, protection de la vie privée dès la conception et par défaut (privacy by design and by default), gestion des incidents ;
- conformité aux exigences légales et réglementaires, etc.
- apporte des mesures spécifiques aux traitements de données personnelles, en tenant compte du rôle de l’organisme (responsable de traitement, sous-traitant, sous-traitant de sous-traitant) :
- principes fondamentaux : finalité du traitement, base légale, recueil et retrait du consentement, inventaire des traitements, évaluation des impacts ;
- droits des personnes : information, accès, rectification, suppression, décision automatisée ;
- protection de la vie privée dès la conception et par défaut (privacy by design and by default) : minimisation, dé-identification et suppression des données, durée de conservation ;
- contrats de sous-traitance, transferts et partage de données.
Cette norme a été rédigée au niveau international, avec les contributions d’experts provenant de tous les continents et la participation de nombreuses autorités de protection des données.
Le RGPD a été pris en compte, ainsi que les autres grands textes de protection des données (dont ceux adoptés par l’Australie, le Brésil, la Californie, le Canada). La proximité de la norme avec le RGPD est ainsi matérialisée par une annexe dédiée, qui établit la correspondance entre les articles de la norme et ceux du RGPD. Et la mise en place d’un système de management, avec la gestion et la documentation de la protection des données, répond au principe général de responsabilité (accountability) du RGPD.
En résumé, la norme ISO 27701 a une portée mondiale : elle n’est pas spécifique au RGPD et ne constitue pas, en tant que telle, une certification au sens de l’article 42 du RGPD. Mais elle présente l’état de l’art en protection de la vie privée et elle permet aux organismes qui l’adoptent de monter en maturité et de démontrer une démarche active de protection des données personnelles.