ISO 27701 : Système de Management des Informations sur la Vie Privée (PIMS)
L'ISO 27701 étend l'ISO 27001 pour adresser la gestion de la confidentialité. Elle fournit un framework pour implémenter un Privacy Information Management System (PIMS), aidant les organisations à démontrer leur engagement envers la protection des données personnelles.
Points clés
| Point | Résumé |
|---|---|
| Ce que c'est | Extension confidentialité de l'ISO 27001 pour gérer les données personnelles |
| Prérequis | Nécessite la certification ISO 27001 comme base |
| Périmètre | Couvre les contrôleurs et les processeurs de données |
| Alignement réglementaire | Supporte le RGPD, CCPA et autres réglementations de confidentialité |
| Valeur | Démontre une approche systématique de la confidentialité au-delà de la simple sécurité |
Réponse rapide : L'ISO 27701 est une extension confidentialité de l'ISO 27001 qui aide les organisations à gérer systématiquement la protection des données personnelles. Elle est particulièrement précieuse pour démontrer la conformité RGPD et pour les organisations où la confidentialité est une préoccupation clé. Vous avez besoin d'abord de l'ISO 27001, car l'ISO 27701 s'appuie sur cette base.
Comprendre l'ISO 27701
Ce que l'ISO 27701 ajoute
Alors que l'ISO 27001 se concentre sur la sécurité de l'information de manière large, l'ISO 27701 adresse spécifiquement la protection et le traitement des informations personnellement identifiables (PII). Elle ajoute :
- Des exigences spécifiques à la confidentialité au système de management ISO 27001
- Des contrôles de confidentialité étendant l'Annexe A de l'ISO 27001
- Une guidance spécifique au rôle pour les contrôleurs et processeurs de données
- Un mapping vers les réglementations comme le RGPD
Confidentialité vs Sécurité
| Aspect | ISO 27001 (Sécurité) | ISO 27701 (Confidentialité) |
|---|---|---|
| Focus principal | Protéger la confidentialité, l'intégrité, la disponibilité de l'information | Protéger les droits des personnes sur leurs données personnelles |
| Intérêts de qui | Actifs informationnels de l'organisation | Personnes concernées (individus) |
| Préoccupations clés | Accès non autorisé, brèches de données, disponibilité système | Consentement, droits des personnes concernées, traitement licite |
| Contexte réglementaire | Exigences de sécurité générales | RGPD, CCPA, réglementations spécifiques à la confidentialité |
Vous pouvez avoir une excellente sécurité sans de bonnes pratiques de confidentialité, et vice versa. L'ISO 27701 assure que vous adressez les deux.
Quand avez-vous besoin de l'ISO 27701 ?
L'ISO 27701 peut être précieuse si :
| Scénario | Pourquoi l'ISO 27701 aide |
|---|---|
| Le RGPD s'applique à vous | Démontre une gestion systématique de la confidentialité |
| Vous traitez des PII significatifs | Montre l'engagement envers la protection des données |
| Des clients demandent une assurance confidentialité | Fournit une validation certifiée |
| La confidentialité est un différenciateur | Supporte le messaging marketing et la confiance |
| Vous êtes processeur de données | Démontre une gestion responsable des données aux contrôleurs |
Vous n'avez peut-être pas besoin de l'ISO 27701 (encore) si :
- Vous débutez la compliance (concentrez-vous d'abord sur l'ISO 27001)
- Vous traitez un minimum de données personnelles
- Vos clients n'ont pas demandé de certification spécifique à la confidentialité
- D'autres mécanismes de confidentialité (DPA, SOC 2 + Privacy) satisfont les exigences
Structure de l'ISO 27701
S'appuyer sur l'ISO 27001
L'ISO 27701 étend les clauses fondamentales de l'ISO 27001 avec des exigences spécifiques à la confidentialité :
| Clause ISO 27001 | Extension ISO 27701 |
|---|---|
| Clause 4 (Contexte) | Comprendre le contexte de traitement des PII |
| Clause 5 (Leadership) | Responsabilités et rôles confidentialité |
| Clause 6 (Planification) | Évaluation des risques de confidentialité |
| Clause 7 (Support) | Sensibilisation et compétence confidentialité |
| Clause 8 (Opération) | Confidentialité dans les contrôles opérationnels |
| Clause 9 (Évaluation) | Surveillance de la performance confidentialité |
| Clause 10 (Amélioration) | Apprentissage des incidents de confidentialité |
Contrôles spécifiques à la confidentialité
L'ISO 27701 ajoute deux annexes avec des contrôles de confidentialité :
Annexe A : Contrôles pour les contrôleurs de PII (31 contrôles)
Pour les organisations qui déterminent les finalités et moyens du traitement :
- Conditions de collecte et traitement
- Obligations des droits des personnes concernées
- Exigences de privacy by design
- Gestion du consentement
- Minimisation des données
Annexe B : Contrôles pour les processeurs de PII (18 contrôles)
Pour les organisations qui traitent pour le compte des contrôleurs :
- Traitement uniquement sur instructions documentées
- Gestion des sous-traitants
- Assistance aux contrôleurs pour les demandes des personnes concernées
- Retour et suppression des données
- Registres de traitement
Concepts clés de confidentialité dans l'ISO 27701
Droits des personnes concernées
L'ISO 27701 exige des organisations de supporter les droits des personnes concernées :
| Droit | Exigence |
|---|---|
| Accès | Fournir aux individus des copies de leurs données |
| Rectification | Corriger les données personnelles inexactes |
| Effacement | Supprimer les données personnelles quand requis |
| Portabilité | Fournir les données dans un format portable |
| Opposition | Honorer les oppositions à certains traitements |
| Limitation | Limiter le traitement quand demandé |
Privacy by Design
La norme met l'emphase sur l'intégration de la confidentialité dans les processus :
| Principe | Application |
|---|---|
| Proactif | Anticiper les problèmes de confidentialité avant qu'ils surviennent |
| Par défaut | La confidentialité comme paramètre par défaut |
| Intégré | Confidentialité intégrée dans la conception et l'architecture |
| Somme positive | Confidentialité et fonctionnalité, pas l'un ou l'autre |
| De bout en bout | Protection tout au long du cycle de vie des données |
| Visibilité | Transparence dans les opérations |
| Centré utilisateur | Respect de la vie privée individuelle |
Registres de traitement
L'ISO 27701 exige des registres documentés des activités de traitement :
| Élément du registre | Objectif |
|---|---|
| Catégories de PII | Quelles données personnelles vous traitez |
| Finalités de traitement | Pourquoi vous les traitez |
| Personnes concernées | De qui vous traitez les données |
| Destinataires | Qui reçoit les données |
| Transferts | Mouvements de données transfrontaliers |
| Rétention | Combien de temps vous gardez les données |
| Mesures de sécurité | Comment vous protégez les données |
Relation avec le RGPD
Supporter la conformité RGPD
L'ISO 27701 s'aligne étroitement avec les exigences du RGPD :
| Exigence RGPD | Couverture ISO 27701 |
|---|---|
| Base légale du traitement | Contrôles des conditions de traitement |
| Droits des personnes concernées | Contrôles de gestion des droits |
| Privacy by design | Contrôles de conception et par défaut |
| Registres de traitement | Exigences de gestion des registres |
| Analyses d'impact sur la protection des données | Intégration de l'évaluation des risques |
| Exigences des processeurs de données | Contrôles spécifiques aux processeurs |
| Notification de brèche | Exigences de gestion des incidents |
Clarification importante
La certification ISO 27701 n'équivaut pas à la conformité RGPD. La norme supporte la conformité RGPD en fournissant un framework systématique, mais la conformité RGPD implique des considérations légales, organisationnelles et opérationnelles supplémentaires au-delà de ce que la certification couvre.
Processus de certification
Prérequis
Pour poursuivre la certification ISO 27701, vous avez besoin de :
- Certification ISO 27001 (base requise)
- Périmètre SMSI étendu pour couvrir le traitement des PII
- Contrôles spécifiques à la confidentialité implémentés
- Documentation PIMS établie
Approche de certification
La certification ISO 27701 se produit typiquement comme extension de l'ISO 27001 :
| Approche | Description |
|---|---|
| Audit initial combiné | Poursuivre ISO 27001 + ISO 27701 ensemble |
| Audit d'extension | Ajouter ISO 27701 à un ISO 27001 existant |
| Extension surveillance | Ajouter pendant l'audit de surveillance annuel |
Considérations de timeline
| Scénario | Timeline supplémentaire |
|---|---|
| Ajout au projet ISO 27001 | 2-4 semaines supplémentaires |
| Ajout à un ISO 27001 existant | 4-8 semaines projet standalone |
| Certification initiale combinée | Inclus dans la timeline globale |
ISO 27701 vs autres normes de confidentialité
Comparaison avec l'ISO 27018
| Aspect | ISO 27701 | ISO 27018 |
|---|---|---|
| Périmètre | Tout traitement de PII | PII dans le cloud public uniquement |
| Applicabilité | Contrôleurs et processeurs | Principalement processeurs cloud |
| Certification | Oui, via extension ISO 27001 | Oui, via extension ISO 27001 |
| Focus | Gestion complète de la confidentialité | Protection des PII spécifique au cloud |
Quand choisir chaque norme
- ISO 27701 : Gestion complète de la confidentialité pour tout traitement
- ISO 27018 : Spécifique aux contextes de traitement de PII cloud
- Les deux : Pour les fournisseurs de services cloud traitant des PII significatifs
Implémentation pratique
Rôles et responsabilités
L'ISO 27701 exige une assignation claire des responsabilités de confidentialité :
| Rôle | Responsabilités |
|---|---|
| Privacy Officer/DPO | Supervision globale du programme confidentialité |
| Management | Engagement confidentialité et ressources |
| Propriétaires de processus | Confidentialité dans les processus métier |
| IT/Sécurité | Contrôles techniques de confidentialité |
| Juridique | Guidance de conformité réglementaire |
Domaines clés d'implémentation
| Domaine | Activités |
|---|---|
| Inventaire des données | Identifier et documenter tout traitement de PII |
| Base légale | Documenter la base légale pour chaque activité de traitement |
| Gestion du consentement | Implémenter la collecte et le suivi du consentement |
| Exécution des droits | Établir les processus pour les demandes des personnes concernées |
| Gestion des fournisseurs | S'assurer que les accords de sous-traitance sont en place |
| Réponse aux incidents | Inclure les procédures de brèche de confidentialité |
| Formation | Sensibilisation à la confidentialité pour tout le personnel |
Questions courantes
Puis-je obtenir l'ISO 27701 sans l'ISO 27001 ?
Non. L'ISO 27701 est explicitement conçue comme extension de l'ISO 27001. Vous avez besoin de la certification de base d'abord. Cependant, vous pouvez poursuivre les deux simultanément.
L'ISO 27701 remplace-t-elle les évaluations de conformité RGPD ?
Non. L'ISO 27701 fournit un framework qui supporte la conformité RGPD, mais elle ne remplace pas l'analyse juridique, les analyses d'impact sur la protection des données, ou d'autres exigences spécifiques au RGPD. Pensez-y comme un outil pour aider à atteindre et démontrer la conformité, pas une preuve de conformité en soi.
L'ISO 27701 est-elle reconnue par les régulateurs ?
L'ISO 27701 est de plus en plus reconnue comme preuve de bonnes pratiques de confidentialité. Bien qu'elle ne soit une exigence réglementaire nulle part, elle démontre un engagement systématique envers la confidentialité que les régulateurs voient généralement favorablement.
Devrais-je poursuivre l'ISO 27701 ou SOC 2 + Privacy ?
Elles servent des objectifs différents :
- ISO 27701 : Reconnaissance internationale, PIMS systématique, alignement RGPD
- SOC 2 + Privacy : Focalisé US, rapport d'attestation, preuves de contrôles détaillées
Les organisations servant les marchés US et internationaux peuvent bénéficier des deux.
Le chemin à suivre
Séquence recommandée
Pour la plupart des organisations :
- ISO 27001 : Établir le management de sécurité de base
- Évaluer les besoins de confidentialité : Évaluer les exigences clients et le contexte réglementaire
- ISO 27701 : Ajouter quand la certification confidentialité apporte de la valeur business
Approche d'intégration
Si vous anticipez avoir besoin de l'ISO 27701 :
- Intégrez les considérations de confidentialité dans votre implémentation ISO 27001
- Documentez le traitement des PII dès le départ
- Incluez la confidentialité dans votre méthodologie d'évaluation des risques
- Formez le personnel sur la sécurité et la confidentialité
Cette approche intégrée rend l'éventuelle certification ISO 27701 plus efficace.
Vous voulez discuter de si l'ISO 27701 a du sens pour votre organisation ? Parlez à notre équipe
Sources
- ISO/IEC 27701:2019 - Extension de management des informations de confidentialité à l'ISO 27001
- ISO/IEC 27001:2022 - Norme SMSI de base
- RGPD - Référence du Règlement Général sur la Protection des Données