Sécurité des données personnelles : la norme ISO 27701

La norme ISO 27701 définit un cadre normatif pour la protection des données à caractère personnel. Elle apporte des compléments aux normes ISO 27001, pour les exigences et ISO 27002, pour les lignes directrices. Par ailleurs, la relation est faite en annexe avec d’autres référentiels normatifs ou légaux : ISO 29100 et ISO 29151, règlement général sur la protection des données (RGPD), ISO 27018 (voir première et deuxième partie)

Un système de management

La norme définit un PIMS (Privacy Information Management System), équivalent du ISMS (Information Security Management System) pour la sécurité de l’information. Les clauses ajoutées à celle existantes dans l’ISO 27001 sont les suivantes :

  • Contexte : définition du rôle de l’organisation en tant que responsable de traitement (data controller) et sous-traitant (data processor), intégration des parties prenantes liées aux données personnelles, inclusion dans le périmètre des traitements de données personnelles.
  • Analyse et traitement des risques : adaptation au traitement des données personnelles, définition d’une déclaration d’applicabilité intégrant les mesures liées à la protection des données personnelles.

Les autres clauses de l’ISO 27001 restent applicables en l’état.

Les lignes directrices

Plusieurs clauses des lignes directrices définies par l’ISO 27002 sont complétées dans l’ISO 27701, en particulier dans les domaines suivants :

  • Politiques de sécurité.
  • Rôles et responsabilités.
  • Outils de mobilité.
  • Sensibilisation des employés.
  • Classification des informations.
  • Supports amovibles.
  • Accès utilisateurs.
  • Sécurité physique.
  • Gestion des logs.
  • Transfert d’informations.
  • Accords de confidentialité.
  • Sécurité applicative.
  • Sécurité des fournisseurs.
  • Incidents de sécurité.
  • Conformité.

La norme propose aussi des bonnes pratiques applicables aux responsables de traitement (par exemple la collecte des informations, les conditions de traitement, les PIA – privacy impact assessement ou AIPD, les mécanismes de transfert de données comme les CCT…).

PROSICA propose des missions de conseil et de coaching ciblées dans le cadre de programmes de mise en conformité sur les aspects cybersécurité et données personnelles. Demande d’informations à contact at prosica.fr. PROSICA est un organisme de formation référencé Qualiopi qui prépare à plusieurs certifications professionnelles en cybersécurité et protection des données à caractère personnel. Téléchargez le catalogue de nos formations.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

RGPD, GDPR, ISO27017, ISO 27018, Certifications, ISO27701, Data Privacy