Une nouvelle norme ISO sur la gestion de la protection de la vie privée va aider au respect du RGPD

Si le développement de l’environnement numérique procure de nombreux avantages, il génère aussi des inconvénients et des risques, comme en atteste l’augmentation des cyberattaques à l’encontre des organisations tant privées que publiques et quelle que soint leur taille. Corrélativement, la cybersécurité est à la fois un besoin voire un enjeu sociétal et économique pour tous les organismes, en particulier au titre de la protection des données à caractère personnel.

 

Le 25 mai 2018 (date d’entrée en application du Règlement Général sur la Protection des Données) constitue un tournant essentiel pour l’exploitation des données personnelles au sein du marché numérique. Si des lois et des règlementations sont nécessaires pour protéger les informations des individus sur leur vie privée, pour autant, force est de constater que la mise en œuvre d’une gestion efficace de la protection des données personnelles ne va pas sans poser de nombreuses difficultés.

 

UNE NORME ISO : QU’EST-CE QUE C’EST ?

Les normes internationales ISO (the International Organization for Standardization) précisent les exigences et les lignes directrices à suivre par tout organisme dans un domaine donné, tels que l’archivage (ISO 14641, 2018, Archivage électronique — Conception et exploitation d’un système informatique pour la conservation intègre de documents électroniques — Spécifications) ou le management de la sécurité de L’information (ISO/IEC 27001). Concrètement, de telles normes permettent de démontrer que le système de management mis en place par une entité est fiable et de bonne qualité.

 

Les normes internationales ISO sont reconnues pour satisfaire aux différentes exigences légales ou règlementaires. A ce titre, ces normes sont souvent considérées comme le reflet de l’état de l’art. En l’occurrence, la nouvelle ISO souhaite développer un système conforme aux exigences en matière de protection de la vie privée tout en assurant un niveau de sécurité adéquat conformément à la règlementation en vigueur. En d’autres termes, la norme internationale définit un système de management conçu pour protéger les données personnelles, ce qui se traduira par l’élaboration d’un référentiel commun afin d’établir la conformité à la dite norme.

 

LA NORME INTERNATIONALE SUR LE MANAGEMENT DE LA PROTECTION DE LA VIE PRIVÉE

Le 8 août 2019, la nouvelle ISO/IEC 27701 (ex 27552) sur le management de la vie privée a été adoptée, étant noté qu’elle s’appuie sur l’ISO/IEC 27001. Cette norme intitulée : « Techniques de sécurité — Extension d’ISO/IEC 27001 et ISO/IEC 27002 au management de la protection de la vie privée — Exigences et lignes directrices » a pour objectif de traiter de la Sécurité de l’information, la cybersécurité et la protection de la vie privée. La PIMS (Personal Information Management System) explique comment mettre en place une stratégie et permet de certifier les organismes quelle que soit leur taille ou leur qualité (responsable de traitement/ sous-traitant au sens de la protection des données personnelles).

 

La CNIL a participé aux travaux d’élaboration de cette norme. De plus, dans la lignée des normes 27001 et 27002, elle spécifie les exigences relatives à la mise en œuvre du système (phase d’implémentation), à la surveillance, au réexamen et aux mises à jour (phase de maintien). Elle fixe également les exigences relatives à l’amélioration d’un système de management de la protection de la vie privée (phase d’amélioration). Ainsi, le recours à cette norme implique pour chaque organisme de définir plusieurs phases comprenant la définition du périmètre du système, l’identification et l’évaluation des risques au titre de la sécurité des données personnelles, de l’élaboration d’une politique de sécurité et des mesures afférentes.

 

DES RÉPONSES AUX EXIGENCES DU RGPD

Le management en interne pour assurer la protection de la vie privée doit être une préoccupation majeure pour les organisations eu égard à l’augmentation du nombre de plaintes, à l’émergence des actions de groupe, et aux sanctions prononcées par le CNIL liées à la sécurité des données. L’élaboration de cette norme trouve naturellement sa place pour répondre aux fortes exigences en la matière, notamment dans le cadre des certifications prônées par le RGPD. Elle va permettre concrètement d’aider les organismes à respecter le RGPD. Cela étant, la norme comporte des exigences précises liées aux obligations légales déjà très contraignantes, telles que la suppression des fichiers temporaires créés à la suite d’un traitement par les sous-traitants selon des procédures documentées et dans un délai précis.

 

In fine, la norme va permettre de donner aux autorités de contrôle ainsi qu’aux clients un signal fort de conformité au RGPD : l’organisme certifié disposera d’un gage de confiance et cela même s’il s’agit d’une simple présomption de conformité. Reste à noter que cette norme n’est pas obligatoire et qu’elle repose sur une démarche volontaire des organismes.

 

Eric A. Caprioli, avocat à la cour, docteur en droit, et Isabelle Cantero, avocat associé
Caprioli & Associés, société membre du réseau JURISDEFI

 

 

Les avis d’experts sont publiés sous l’entière responsabilité de leurs auteurs et n’engagent en rien la rédaction de L’Usine Digitale.

source : Usine Digitale L’Usine Digitale – Actualités à la une https://ift.tt/2u55cH0 October 22, 2019 at 07:53AM