DNVGL.com

ISO/IEC 27701 - Norme internationale pour le management de la protection des données à caractère personnel

Data privacy

Nous contacter

Vous souhaitez plus d’informations ?

Echangez avec l'un de nos experts

Vous savez déjà ce que vous souhaitez ?

Demande de devis

Dans un monde de plus en plus connecté, la protection de la vie privée est un besoin croissant de la société. Les nouvelles réglementations introduites par les gouvernements en matière de protection de données personnelles, telles que le Règlement Général de l'Union européenne sur la Protection des Données (RGPD), exigent les entreprises qu'elles y répondent. Les normes ISO, telles que la norme ISO/CEI 27701, aideront votre entreprise à répondre aux exigences et à gérer les risques liés aux informations personnelles identifiables (IPI).

Le besoin de confiance et de redevabilité en matière d'informations personnelles est de plus en plus important pour les clients, les consommateurs et les autres parties prenantes. Mais le risque ne s’arrête pas au respect de la réglementation. Les entreprises doivent disposer des compétences, des processus et des systèmes appropriés. Avec l’augmentation plaintes et les amendes liées à la protection de la vie privée et des données, il semble qu'il y ait un besoin croissant d’aide et d’orientation.

S'appuyant sur les exigences de la norme ISO/IEC 27001, la norme ISO/IEC 27701 fixe des exigences et aide les entreprises à gérer les risques liés aux informations personnelles identifiables (IPI). Elle peut également aider les entreprises à se conformer à la RGPD ainsi qu'à d'autres réglementations sur la protection des données. Les deux normes peuvent être certifiées en approche intégrée.

Qu'est-ce que c’est la norme ISO/IEC 27701 ?

La norme ISO/IEC 27701 spécifie les exigences et fournit un cadre pour établir, mettre en œuvre, maintenir et améliorer constamment un système de management des données à caractère personnel (SMDP). Elle s'appuie sur les exigences de la norme ISO/IEC 27001, la norme relative aux systèmes de management de la sécurité de l'information (SMSI), et sur le code de pratique pour la sécurisation de l'information de la norme ISO/IEC 27002.

La norme ISO/IEC 27701 fournit le cadre du système de management pour la protection des informations personnelles identifiables (PII).  Elle couvre la manière par laquelle les organisations doivent gérer les informations personnelles et aide à démontrer la conformité avec les réglementations applicables en matière de protection des informations privées. 

Si vous avez mis en œuvre la norme ISO/IEC 27001, la norme ISO/IEC 27701 renforce vos efforts de sécurité pour couvrir le management des informations privées. Cela inclut le traitement des IPI pour démontrer la conformité avec les réglementations sur la protection des données telles que la RGPD. 

Pour les organisations qui ne disposent pas d'un système de management de la sécurité de l'information conforme à la norme ISO/IEC 27001, il est possible de déployer les deux normes (ISO/IEC 27001 et ISO/IEC 27701) dans le cadre d'un projet unique. 

Qui devrait mettre en œuvre la norme ISO/CEI 27701 ?

La norme ISO/IEC 27701 fournit des lignes directrices à toute organisation responsable du traitement des IPI (informations personnellement identifiables) dans le cadre d'un système de management de la sécurité de l'information.  Les organisations de toutes tailles et de tous types, y compris les entreprises publiques et privées ainsi que les entités gouvernementales et autres types d'organisations, peuvent en bénéficier. En proposant une approche fondée sur le management du risque, la norme ISO/IEC 27701 aide les organisations à faire face aux risques spécifiques en matière de protection des informations privées.

Pourquoi la norme ISO/IEC 27701 est-elle utile pour mon entreprise ?

Les systèmes de management des données à caractère personnel (SMDP) présentent plusieurs avantages:

  • Ils renforcent la confiance dans la capacité de votre entreprise à gérer les informations personnelles, tant pour les clients que pour les employés 
  • Ils permettent de se conformer à la RGPD et aux autres réglementations applicables en matière de protection de données à caractère personnel 
  • Ils clarifient les rôles et les responsabilités au sein de votre organisation 
  • Ils améliorent les compétences et les processus internes pour éviter les violations 
  • Ils assurent la transparence des contrôles établis pour la gestion des informations personnelles 
  • Ils facilitent les accords avec les partenaires commerciaux lorsque le traitement des IPI est mutuellement pertinent
  • Ils s'intègrent facilement à la principale norme de sécurité de l'information ISO/IEC 27001.

Comment utiliser la norme ISO/IEC 27701 pour se conformer à la RGDP?

La mise en œuvre d'un système de management conforme aux normes ISO/IEC 27701 et ISO/IEC 27001 aidera votre entreprise à satisfaire aux exigences de confidentialité et de sécurité de l'information énoncées dans la RGDP ainsi que d'autres réglementations relatives à la protection des données. La RGDP exige que les organisations adoptent des mesures techniques et organisationnelles appropriées (y compris des politiques, procédures et processus) pour protéger les données personnelles qu'elles traitent (selon l'article 5(2)).

ISO/IEC 27001, la norme internationale pour un SMSI (système de management de la sécurité de l'information), fournit un excellent point de départ pour remplir les exigences techniques et opérationnelles nécessaires pour réduire le risque d'une violation.

La norme ISO/IEC 27701 spécifie les exigences - et fournit un cadre pour l'établissement, la mise en œuvre, la maintenance et l'amélioration continue - d'un SMDP (système de management données à caractère personnel) basé sur les exigences, les objectifs de vérification et contrôles de la norme ISO 27001, et complété par un ensemble d'autres exigences, objectifs de vérification et contrôles spécifiques aux données privées. Une annexe matérialise les passerelles entre la RGPD et à la norme ISO/IEC 27701. Cependant, la norme n'est pas spécifique à la RGPD.

Ces deux normes aident les entreprises à satisfaire et à démontrer leur conformité aux exigences de RGPD en matière de sécurisation de l’information et des données à caractère personnel.

Quoique la norme ISO/IEC 27701 ne prenne actuellement pas spécifiquement en compte le mécanisme de certification décrit par l'article 42 de la RGPD, vous pouvez cependant postuler à une certification accréditée délivrée par une Tierce-Parie indépendante telle que DNV GL, selon la norme ISO/IEC 27701 en intégration avec la norme ISO/IEC 27001.

Comment puis-je me préparer à la certification?

Que vous souhaitiez mettre en œuvre la norme ISO/CEI 27701 comme extension de votre système actuel de management de la sécurité de l'information conforme à la norme ISO/CEI 27001 ou que vous souhaitiez simplement partir de zéro, nous pouvons vous aider avec :

  • La conduite d’un Gap Analysis pour vérifier votre état de préparation à la certification
  • La réalisation de formations à la norme ISO/IEC 27001
  • La certification de votre système de gestion selon les normes ISO/IEC 27001 et/ou ISO/IEC 27701

En complément, nous pouvons répondre à vos besoins de formation liés aux normes et au Règlement Général de l'Union européenne sur la Protection des Données (RGPD).

Pour postuler à la certification, vous devez d'abord mettre en place un système de management efficace qui respecte les exigences des normes. Il est important que vous et votre entreprise soyez engagés et fixiez des objectifs clairs pour le déploiement et l'évaluation du système de management.

Préalablement à la certification, il est important que votre entreprise effectue des audits internes pour identifier les lacunes éventuelles. L'un des points clés à garder en mémoire, c’est que le développement, la mise en œuvre et la certification d'un système de management est un parcours continu, l'audit de certification ne représentant qu’une étape au sein d'un processus continu d'amélioration.

Découvrez comment vous pouvez vous engager sur la voie de la certification.

Voyez comment vous pouvez vous engager sur la voie de la certification.

Nous contacter

Vous souhaitez plus d’informations ?

Echangez avec l'un de nos experts

Vous savez déjà ce que vous souhaitez ?

Demande de devis

Related services you might find interesting: