Points clés
| Point |
Résumé |
| Objectif |
Code de bonnes pratiques pour la protection des DCP dans le cloud public |
| Périmètre |
Sous-traitants de DCP en cloud public (fournisseurs traitant les données clients) |
| Prérequis |
Nécessite la certification ISO 27001 comme fondation |
| Principes de protection |
Consentement, limitation des finalités, minimisation, transparence |
| Alignement RGPD |
Supporte les obligations du sous-traitant au titre du RGPD |
Réponse rapide : ISO 27018 est une norme de protection de la vie privée pour les fournisseurs cloud qui traitent des données personnelles pour le compte de leurs clients. Elle s'appuie sur ISO 27001 et fournit des contrôles spécifiques pour protéger les données à caractère personnel dans les environnements cloud. Cela aide les clients cloud à respecter leurs obligations en matière de protection de la vie privée.
Comprendre ISO 27018
Qu'est-ce que ISO 27018 ?
ISO 27018 est officiellement intitulée « Technologies de l'information — Techniques de sécurité — Code de bonnes pratiques pour la protection des données à caractère personnel (DCP) dans l'informatique en nuage public agissant comme sous-traitant de DCP ». En termes simples, elle indique aux fournisseurs cloud comment protéger les données personnelles que leurs clients leur confient.
La norme se concentre spécifiquement sur :
| Aspect |
Périmètre |
| Environnement |
Informatique en nuage public |
| Rôle |
Sous-traitants de DCP (traitement des données pour le compte d'autrui) |
| Type de données |
Données à caractère personnel |
| Fondation |
Extension d'ISO 27001/27002 |
Sous-traitant DCP vs. Responsable de traitement DCP
| Rôle |
Définition |
Exemple |
| Responsable de traitement DCP |
Détermine les finalités et moyens du traitement des DCP |
Votre entreprise décidant de stocker des données clients |
| Sous-traitant DCP |
Traite les DCP pour le compte d'un responsable de traitement |
Fournisseur cloud stockant vos données clients |
ISO 27018 traite du rôle de sous-traitant DCP. Si vous utilisez un fournisseur cloud pour stocker ou traiter des données personnelles, ce fournisseur agit comme sous-traitant DCP pour vous.
Relation avec les autres normes
| Norme |
Focus |
Relation |
| ISO 27001 |
Management de la sécurité de l'information |
Fondation requise |
| ISO 27002 |
Mise en œuvre des contrôles de sécurité |
ISO 27018 s'appuie dessus |
| ISO 27017 |
Sécurité cloud |
Complémentaire (focus sécurité) |
| ISO 27018 |
Protection des DCP cloud |
Spécifique à la vie privée |
| ISO 27701 |
Système de management de la protection de la vie privée |
Périmètre vie privée plus large |
Quand avez-vous besoin d'ISO 27018
Pour les fournisseurs de services cloud
| Scénario |
Pourquoi ISO 27018 aide |
| Traitez des DCP clients |
Démontre un engagement envers la vie privée |
| Servez des secteurs réglementés |
Les clients santé, finance, gouvernement s'y attendent |
| Opérez dans les juridictions RGPD |
Supporte la conformité du sous-traitant |
| Êtes en concurrence avec les grands fournisseurs |
AWS, Azure, GCP ont tous ISO 27018 |
| Traitez des données sensibles |
Montre des pratiques matures de protection de la vie privée |
Pour les clients cloud
La certification ISO 27018 de votre fournisseur vous donne :
| Bénéfice |
Valeur |
| Preuve de diligence raisonnable |
Preuve que vous avez sélectionné un sous-traitant responsable |
| Base contractuelle |
Attentes standards pour le traitement des données |
| Support réglementaire |
Aide à démontrer la conformité à l'article 28 du RGPD |
| Réduction des risques |
Le fournisseur suit des pratiques établies de protection de la vie privée |
| Efficacité d'audit |
Réduit le besoin d'audits directs du fournisseur |
Principes fondamentaux de protection de la vie privée
Consentement et choix
| Exigence |
Mise en œuvre |
| Supporter les mécanismes de consentement du responsable de traitement |
Capacités techniques pour la gestion du consentement |
| Ne pas utiliser les DCP pour le marketing |
Aucune utilisation secondaire sans permission explicite |
| Respecter les préférences des personnes concernées |
Moyens techniques pour implémenter les choix |
Limitation des finalités
| Exigence |
Mise en œuvre |
| Traiter uniquement selon les instructions |
Suivre les instructions documentées du responsable de traitement |
| Aucune utilisation non autorisée |
DCP utilisées uniquement pour les finalités contractées |
| Définition claire du service |
Périmètre documenté des activités de traitement |
Minimisation des données
| Exigence |
Mise en œuvre |
| Collecter uniquement les DCP nécessaires |
Limiter le traitement aux besoins du service |
| Pas de conservation excessive |
Supprimer les fichiers temporaires, logs contenant des DCP |
| Minimiser les copies |
Limiter la duplication des données |
Transparence
| Exigence |
Mise en œuvre |
| Divulguer les sous-traitants |
Identifier qui d'autre traite les données |
| Divulgation de la localisation des données |
Informer où les DCP sont traitées |
| Documentation du traitement |
Description claire des activités |
Contrôles clés d'ISO 27018
Contrôles spécifiques aux DCP
Consentement et notification
| Contrôle |
Exigence |
| Notification d'utilisation des DCP |
Informer les responsables de traitement de toute divulgation à des tiers |
| Interdiction de publicité |
Aucune utilisation des DCP pour la publicité sans consentement |
| Notification des sous-traitants |
Alerter les responsables de traitement avant d'utiliser des sous-traitants |
Restitution et élimination des DCP
| Contrôle |
Exigence |
| Capacité de restitution |
Moyens techniques pour restituer les DCP au responsable de traitement |
| Suppression sécurisée |
Destruction vérifiée quand plus nécessaire |
| Élimination des supports |
Manipulation sécurisée des supports de stockage |
| Limites de conservation |
Supprimer les DCP à l'expiration de la période de conservation |
Gestion des divulgations
| Contrôle |
Exigence |
| Demandes des forces de l'ordre |
Notifier le responsable de traitement sauf interdiction |
| Accès gouvernemental |
Documenter toute exigence légale de divulgation |
| Journalisation des divulgations |
Enregistrer toutes les divulgations effectuées |
Localisation et transfert des données
| Contrôle |
Exigence |
| Localisations de traitement |
Divulguer les pays où les DCP sont traitées |
| Transferts transfrontaliers |
Traiter les mécanismes de transfert |
| Localisations des sous-traitants |
Transparence sur la géographie des sous-traitants |
Gestion des sous-traitants
| Exigence |
Mise en œuvre |
| Divulgation |
Lister tous les sous-traitants utilisés |
| Répercussion |
S'assurer que les sous-traitants respectent les mêmes exigences |
| Notification |
Informer les responsables de traitement des changements de sous-traitants |
| Évaluation |
Évaluer la sécurité des sous-traitants |
| Contrats |
Protections contractuelles équivalentes |
Alignement RGPD
Support des obligations du sous-traitant
| Exigence Article 28 RGPD |
Support ISO 27018 |
| Traiter uniquement sur instructions documentées |
Contrôles de limitation des finalités |
| Assurer la confidentialité du personnel autorisé |
Contrôle d'accès, accords de confidentialité |
| Prendre les mesures de sécurité appropriées |
Contrôles de sécurité ISO 27001/27018 |
| Respecter les conditions relatives aux sous-traitants |
Exigences de gestion des sous-traitants |
| Assister le responsable de traitement pour les droits des personnes |
Capacités techniques pour les demandes |
| Supprimer ou restituer les DCP après le service |
Contrôles de restitution et d'élimination des DCP |
| Démontrer la conformité |
Droits d'audit, preuves de certification |
Questions fréquentes
ISO 27018 s'applique-t-elle aux clouds privés ?
ISO 27018 traite spécifiquement des environnements de cloud public. Pour le cloud privé, ISO 27001 et ISO 27701 peuvent être plus applicables.
Les clients cloud peuvent-ils être certifiés ISO 27018 ?
ISO 27018 est conçue pour les sous-traitants de DCP (fournisseurs cloud). Les clients cloud poursuivraient ISO 27001, potentiellement avec ISO 27701 pour une gestion complète de la vie privée.
En quoi ISO 27018 diffère-t-elle d'ISO 27701 ?
| Aspect |
ISO 27018 |
ISO 27701 |
| Périmètre |
Sous-traitants de DCP en cloud public |
Tous les rôles de protection de la vie privée |
| Rôle |
Focus sous-traitant DCP |
Responsables de traitement et sous-traitants |
| Environnement |
Spécifique au cloud |
Tout environnement |
| Fondation |
S'appuie sur ISO 27001 |
Étend ISO 27001 vers un SMVP |
Les grands fournisseurs cloud ont-ils ISO 27018 ?
| Fournisseur |
Statut ISO 27018 |
| AWS |
Certifié |
| Microsoft Azure |
Certifié |
| Google Cloud |
Certifié |
| Salesforce |
Certifié |
ISO 27018 est-elle obligatoire pour le RGPD ?
ISO 27018 n'est pas obligatoire, mais elle démontre des bonnes pratiques qui soutiennent la conformité RGPD. L'article 28 du RGPD exige des mesures de sécurité appropriées, et la certification ISO 27018 en est une preuve solide.
Considérations pratiques
Coût et calendrier
| Facteur |
Considération |
| Investissement initial |
Modéré (en s'appuyant sur ISO 27001) |
| Jours d'audit supplémentaires |
1-2 jours au-delà de l'audit ISO 27001 |
| Maintenance continue |
Incluse dans les audits de surveillance |
| Efficacité |
Audit combiné le plus rentable |
Maintien de la certification
| Année |
Activité |
| Année 1 |
Certification initiale (avec ISO 27001) |
| Année 2 |
Audit de surveillance |
| Année 3 |
Audit de surveillance |
| Année 4 |
Audit de recertification |
L'approche Bastion
Protection de la vie privée cloud simplifiée
Bastion aide les organisations à naviguer dans ISO 27018 :
| Défi |
Solution Bastion |
| Compréhension des exigences |
Accompagnement expert sur l'applicabilité |
| Analyse des écarts |
Évaluation par rapport aux contrôles ISO 27018 |
| Mise en œuvre des contrôles |
Support pratique à l'implémentation |
| Gestion des sous-traitants |
Cadres d'évaluation des fournisseurs |
| Préparation à la certification |
Revue de préparation à l'audit |
Prêt à protéger les données personnelles dans votre environnement cloud ? Contactez notre équipe
Sources
- ISO/IEC 27018:2019 - Code de bonnes pratiques pour la protection des DCP dans l'informatique en nuage public agissant comme sous-traitant de DCP
- ISO/IEC 27001:2022 - Systèmes de management de la sécurité de l'information — Exigences
- RGPD Article 28 - Obligations du sous-traitant au titre du RGPD
