ISO/IEC 27001

Pour aider les entreprises à mieux respecter le RGPD, l’Organisation internationale de normalisation (ISO) publie une nouvelle norme ISO/IEC 27701. Le 8 août 2019, la nouvelle ISO/IEC 27701 (ex 27552) sur le management de la vie privée a été adoptée, étant noté qu’elle s’appuie sur l’ISO/IEC 27001. Cette norme intitulée : “Techniques de sécurité — Extension d’ISO/IEC 27001 et ISO/IEC 27002 au management de la protection de la vie privée — Exigences et lignes directrices” a pour objectif de traiter de la Sécurité de l’information, la cyber sécurité et la protection de la vie privée. La PIMS (Personal Information Management System) explique comment mettre en place une stratégie et permet de certifier les organismes quelle que soit leur taille ou leur qualité (responsable de traitement/ sous-traitant au sens de la protection des données personnelles). Elle spécifie les exigences relatives à la mise en œuvre du système (phase d’implémentation), à la surveillance, au réexamen et aux mises à jour (phase de maintien). Elle fixe également les exigences relatives à l’amélioration d’un système de management de la protection de la vie privée (phase d’amélioration). Ainsi, le recours à cette norme implique pour chaque organisme de définir plusieurs phases comprenant la définition du périmètre du système, l’identification et l’évaluation des risques au titre de la sécurité des données personnelles, de l’élaboration d’une politique de sécurité et des mesures afférentes. Le management en interne pour assurer la protection de la vie privée doit être une préoccupation majeure pour les organisations eu égard à l’augmentation du nombre de plaintes, à l’émergence des actions de groupe, et aux sanctions prononcées par le CNIL liées à la sécurité des données. L’élaboration de cette norme trouve naturellement sa place pour répondre aux fortes exigences en la matière, notamment dans le cadre des certifications prônées par le RGPD. Elle va permettre concrètement d’aider les organismes à respecter le RGPD. Cela étant, la norme comporte des exigences précises liées aux obligations légales déjà très contraignantes, telles que la suppression des fichiers temporaires créés à la suite d’un traitement par les sous-traitants selon des procédures documentées et dans un délai précis. *RGPD : Règlement Général sur la Protection des Données.