RGPD et ISO 27001 sont deux normes de conformité importantes qui ont beaucoup en commun. Les deux visent à renforcer la sécurité des données et à atténuer le risque d’atteinte à la protection des données, et les deux exigent des entreprises qu’elles assurent la confidentialité, l’intégrité, et la disponibilité des données sensibles. ISO 27001 est l’une des normes des meilleures pratiques la plus détaillée et, en fait, l’article 24 du RGPD précise que le respect des codes de conduite et des certifications approuvées, comme ISO 27001, peut être utilisé comme élément de démonstration de la conformité. Il n’est pas étonnant que nous entendons souvent des questions telles que : « Suis-je entièrement conforme à RGPD si je suis déjà certifié ISO 27001? »
Toutefois, le RGPD a une portée beaucoup plus large et une compréhension plus fondamentale de la sécurité des données, et de la protection de la vie privée. Dans ce billet, nous allons répondre à plusieurs questions fréquemment posées sur ISO 27001 et RGPD, afin que vous puissiez mieux comprendre les similitudes et les différences entre ces normes et décider comment vous pourriez utiliser le cadre ISO 27001 pour réussir les audits du RGPD :
- Qu’est-ce que le RGPD ?
- Qu’est-ce que ISO 27001 ?
- Quelles sont les similitudes entre ISO 27001 et RGPD ?
- La conformité à la norme ISO 27001 garantit-elle la conformité avec la norme RGPD ?
Qu’est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (RGPD) est une norme de conformité qui vise à renforcer la protection des données ; il s’applique à toutes les entreprises, dans ou hors de l’UE, qui stockent ou traitent les données personnelles des résidents de l’UE. La norme entrera en vigueur le 25 mai 2018, et modifie déjà la façon dont les entreprises traitent la protection des données. Le RGPD élargit les droits des individus en ce qui concerne leurs données personnelles, impose de nouvelles approches, (par exemple, la protection des données par conception et par défaut), et prévoit des sanctions importantes en cas de violation.
Les exigences les plus critiques du RGPD sont les suivantes :
1. Élargissement du champ d’application des données nécessitant une protection
RGPD protège un large ensemble de données, y compris non seulement les informations personnelles comme les noms, les identités et les numéros de sécurité sociale, mais aussi les données médicales, les données biométriques, les opinions politiques et plus encore (articles 5-11).
2. Un consentement explicite est exigé pour l’utilisation des données
L’article 6 du RGPD exige que les entreprises obtiennent un consentement explicite pour la collecte et l’utilisation des données personnelles. Pour satisfaire à cette exigence, les entreprises doivent conserver la preuve documentée que le consentement a été donné et prouver que toutes les demandes de consentement sont claires et concises.
3. Extension des droits des personnes concernées
Le chapitre 3 fournit une longue liste de règles pour aider les individus à mieux contrôler leurs données. Les résidents de l’UE auront le droit d’obtenir des informations sur le traitement de leurs données à caractère personnel (article 15), de transférer facilement leurs données entre prestataires de services (article 20), et de s’opposer au traitement de leurs données (article 21). L’une des exigences les plus importantes du RGPD est le « droit à l’oubli » (article 17), qui permet aux individus d’obliger les entreprises à effacer leurs données de tous leurs systèmes. Le RGPD est sans doute la seule norme de conformité qui place le pouvoir entre les mains des consommateurs, et fait passer leurs intérêts avant les intérêts des entreprises, et celles qui se préparent pour le RGPD voient déjà la différence :
Malheureusement, les lois américaines ne semblent pas se soucier des données des citoyens autant que des lois européennes. Ici les citoyens ici n’ont pas la possibilité de dire effectivement : « Rendez-moi mes données et effacez-les ». Le RGPD vise à protéger les citoyens, à leur donner une transparence totale sur les entreprises qui traitent leurs informations sensibles, la façon dont elles les traitent, et ce qu’elles ont exactement. Il donne aux citoyens la possibilité de demander une purge de leurs données en vertu de certaines lignes directrices. Pour l’instant, les lois américaines sont largement en retard lorsqu’il s’agit de protéger les citoyens en tant que « personnes concernées ».
Kyle Reyes, Administrateur des Systèmes d’Infrastructure, Midland Information Ressources
4. D’énormes amendes pour non-conformité
Les amendes pour non-conformité sont de 2 à 4 % du chiffre d’affaires annuel de l’entreprise à l’échelle mondiale ou de 10 à 20 millions d’euros, le montant le plus élevé étant retenu. Les violations les plus graves comprennent la destruction accidentelle, la perte, la modification ou la transmission de données à caractère personnel, ainsi que l’absence de consentement explicite au traitement des données (articles 83-84).
5. Règles strictes de notification des violations de données
Conformément à l’article 33, les responsables du traitement des données doivent signaler les violations de données aux autorités de contrôle dans les 72 heures suivant leur découverte. Si une entreprise ne le fait pas, elle doit fournir des raisons valables pour expliquer le retard. C’est beaucoup moins de temps que n’importe quelle norme de conformité américaine (telle que HIPAA ou SOX).
Qu’est-ce que ISO 27001 ?
ISO 27001 (officiellement connue sous le nom d’ISO/CEI 27001 : 2013) est une norme internationale sur la sécurité de l’information qui énonce les exigences relatives à la mise en œuvre, au maintien et à l’amélioration d’un système de gestion de la sécurité de l’information (SGSI). Un SGSI est un cadre de politiques et de procédures qui comprend des contrôles juridiques, techniques et physiques impliqués dans les processus de gestion des risques informatiques d’une entreprise. Les facteurs qui influent sur la mise en œuvre du SGSI comprennent les objectifs de l’organisation, les exigences en matière de sécurité, la dimension et la structure.
Le respect des meilleures pratiques ISO 27001 aide les entreprises à faire face aux risques de sécurité, à protéger les données sensibles et à identifier la portée et les limites de leurs programmes de sécurité. La norme s’applique à un large éventail d’organisations, comme les entreprises, les groupes gouvernementaux, les institutions académiques et les entreprises à but non lucratif.
Les exigences les plus critiques de la norme ISO 27001 comprennent :
1. Gestion d’actifs
Les entreprises sont tenues d’assurer et de maintenir une protection appropriée de leurs actifs, ce qui signifie qu’elles doivent identifier leurs actifs et documenter des règles acceptables d’utilisation de l’information (Contrôles A.8). De plus, toute l’information doit être classifiée en fonction de sa valeur, des exigences juridiques, de sa sensibilité et de sa criticité pour l’entreprise.
2. Sécurité opérationnelle
Ce vaste ensemble de contrôles décrit les procédures et responsabilités opérationnelles de base, comme la séparation des environnements de développement, d’essai et d’exploitation, la gestion des modifications et la documentation des procédures opérationnelles (A.12).
3. Contrôle d’accès
Cette famille de contrôles (A.9) fournit des lignes directrices pour contrôler l’utilisation des données au sein de l’entreprise et pour prévenir les accès non autorisés aux systèmes d’exploitation, aux services en réseau, aux installations de traitement de l’information, etc. Cela implique des règles pour la gestion des accès des utilisateurs, la gestion des droits d’accès privilégiés, les responsabilités des utilisateurs et le contrôle d’accès au système et aux applications.
4. Gestion des incidents liés à la sécurité de l’information
La famille de contrôle A.16 décrit les règles à suivre pour signaler les événements et les faiblesses en matière de sécurité informatique, pour gérer les incidents de sécurité informatique et améliorer ces processus. Les entreprises doivent s’assurer que les incidents de sécurité sont signalés d’une manière qui permet une intervention rapide et efficace.
5. Sécurité des ressources humaines
La famille de contrôle A.7 exige que les entreprises doivent s’assurer que les membres du personnel et les sous contractants ont conscience de leurs responsabilités en matière de sécurité de l’information et les respectent. Les entreprises doivent donner aux membres du personnel une formation pour la sensibilisation et prendre les mesures disciplinaires officielles contre les employés qui commettent une atteinte à la sécurité de l’information.
6. Continuité des activités
Cet ensemble de contrôles (A.17) décrit les aspects de sécurité de l`information pour la gestion de la continuité des activités. Les entreprises doivent déterminer les exigences en matière de gestion de la continuité de la sécurité de l’information dans les situations défavorables, documenter et maintenir les contrôles de sécurité, pour assurer le niveau de continuité requis, et vérifier ces contrôles régulièrement.
Mapping ISO 27001 comparée au RGPD : quelles sont les similitudes ?
Il existe de nombreux domaines où ISO 27001 et le RGPD se chevauchent. La plupart d’entre eux sont liés à la sécurité de l’information : La norme ISO 27001 spécifie des règles de protection des données similaires à celles décrites dans les articles 5, 24, 25, 28, 30 et 32 du RGPD. Voici quelques points communs aux deux normes :
-
Confidentialité, disponibilité et intégrité des données
L’article 5 du RGPD énonce les principes généraux du traitement des données, tels que la protection contre « le traitement non autorisé ou illicite, la perte accidentelle, la destruction ou les dommages ». Des directives plus détaillées sont données à l’article 32, qui précise que les entreprises sont tenues de mettre en œuvre, d’exploiter et de maintenir des mesures techniques et organisationnelles appropriées, pour assurer la sécurité des données, telles que le cryptage, la résilience des systèmes et services de traitement, la capacité de rétablir la disponibilité des données personnelles en temps utile, etc.
De même, de multiples contrôles de la norme ISO 27001 visent à aider les entreprises à assurer la confidentialité, la disponibilité et l’intégrité des données. En partant de l’article 4, la norme ISO 27001 exige que les entreprises identifient les problèmes internes et externes qui pourraient avoir un impact sur leurs programmes de sécurité. L’article 6 exige qu’ils déterminent leurs objectifs en matière de sécurité informatique, et créent un programme de sécurité qui les aidera à atteindre ces objectifs. L’article 8 établit des normes pour le maintien en continu du programme de sécurité et exige que les entreprises documentent leur programme de sécurité afin de démontrer la conformité réglementaire.
-
Évaluation des risques
La norme ISO 27001 et le RGPD exigent une approche fondée sur les risques en matière de sécurité des données. L’article 35 du RGPD exige des entreprises qu’elles réalisent des études d’impact sur la protection des données afin d’évaluer et d’identifier les risques pour les données personnelles. Ces évaluations sont obligatoires avant d’entreprendre un traitement à haut risque, comme la surveillance systématique de données extrêmement sensibles.
ISO 27001 conseille également aux entreprises d’effectuer une évaluation approfondie des risques, afin d’identifier les menaces et les vulnérabilités qui pourraient affecter leurs actifs (article 6.1.2) et de choisir les mesures de sécurité de l’information appropriées, en fonction des résultats de cette évaluation des risques (article 6.1.3).
-
Gestion des fournisseurs
L’article 8 de la norme ISO 27001 exige que les entreprises identifient les actions de traitement externalisées, et s’assurent qu’elles sont en mesure de contrôler ces actions. L’article A.15 fournit des directives précises sur les relations avec les fournisseurs et exige des entreprises qu’elles surveillent et examinent de près les prestations de services des fournisseurs.
Des questions similaires sont couvertes par l’article 28 du RGPD, qui exige des responsables du traitement des données qu’ils obtiennent des conditions contractuelles et des assurances de la part des sous-traitants, créant ainsi un « accord sur le traitement des données ».
-
Notification d’intrusion
Selon les articles 33 et 34 du RGPD, les entreprises doivent notifier aux autorités une violation des données à caractère personnel dans les 72 heures après sa découverte. Les personnes concernées doivent également être notifiées sans retard injustifié, mais seulement si les données présentent un « risque élevé pour les droits et la liberté des personnes concernées ».
La clause A.16 de la norme ISO 27001, qui traite des contrôles de gestion des incidents de sécurité de l’information, ne précise pas de délai précis pour la notification des atteintes à la sécurité des données, mais elle précise que les entreprises doivent signaler rapidement les incidents de sécurité et transmettre ces événements d’une manière qui permette » de prendre des mesures correctives en temps opportun « .
-
Protection des données par conception et par défaut
L’article 25 du RGPD stipule que les entreprises doivent mettre en œuvre des mesures techniques et organisationnelles pendant la phase de conception de tous les projets afin d’assurer la confidentialité des données dès le début (« protection des données dès la conception »). En outre, les entreprises devraient protéger la confidentialité des données par défaut, et veiller à ce que seules les informations nécessaires à chaque finalité spécifique du traitement soient utilisées (« protection des données par défaut »).
Dans la norme ISO 27001, des exigences similaires sont décrites dans les clauses 4 et 6. L’article 4 exige que les entreprises comprennent la portée et le contexte des données qu’elles recueillent et traitent, tandis que l’article 6 recommande d’effectuer régulièrement des évaluations des risques pour assurer l’efficacité de leur programme de gestion de la sécurité.
-
Tenue de registres
L’article 30 du RGPD exige que les entreprises enregistrent leurs activités de traitement, y compris les catégories de données, la finalité du traitement, et une description générale des mesures pertinentes de sécurité techniques et organisationnelles.
De même, la norme ISO 27001 stipule que les entreprises doivent documenter leurs processus de sécurité, ainsi que les résultats de leurs évaluations des risques pour la sécurité et le traitement de ces risques (article 8). Selon le Contrôle A.8, les actifs d’information doivent être inventoriés et classifiés, les propriétaires d’actifs doivent être désignés et des procédures acceptables d’utilisation des données doivent être définies.
La conformité à la norme ISO 27001 garantit-elle la conformité avec la norme RGPD ?
Comme vous pouvez le constater, la certification ISO 27001 peut simplifier le processus de mise en conformité de RGPD. Toutefois, il existe plusieurs différences entre ces normes. RGPD est une norme mondiale qui fournit une vision stratégique de la manière dont les entreprises doivent assurer la confidentialité des données. ISO 27001 est un ensemble de pratiques exemplaires axées sur la sécurité de l’information ; elle fournit des conseils pratiques sur la façon de protéger l’information, et de réduire les cyber-menaces. Contrairement au RGPD, elle ne couvre pas directement les questions suivantes liées à la confidentialité des données, qui sont décrites dans le chapitre 3 du RGPD (Droits des Personnes concernées) :
- Consentement – Les responsables du traitement doivent prouver que les personnes concernées ont donné leur accord au traitement de leurs données à caractère personnel (articles 7 et 8). La demande de consentement doit être présentée sous une forme facilement accessible, avec en annexe la finalité du traitement des données. Les personnes concernées ont également le droit de retirer leur consentement à tout moment.
- Portabilité des données – Les personnes ont le droit d’obtenir et de réutiliser leurs données personnelles pour leurs propres besoins dans différents services, ainsi que de transmettre ces données à un autre responsable du traitement, sans entrave à la facilité d’utilisation (article 20).
- Le droit d’être oublié – Les personnes ont le droit de voir leurs données personnelles effacées ou d’en cesser la diffusion sans délai (article 17).
- Droit à la limitation du traitement – Les personnes ont le droit de limiter la manière dont une organisation utilise leurs données à caractère personnel, si les données ont été traitées illégalement, ou si la personne conteste l’exactitude des données (article 18).
- Droit d’opposition – Les personnes concernées ont le droit de s’opposer au traitement des données à des fins de marketing direct, d’exécution de tâches légales ou à des fins de recherche et de statistiques (article 21).
- Transferts internationaux de données à caractère personnel – Les entreprises doivent veiller à ce que les transferts internationaux de données soient effectués conformément aux règles approuvées par la Commission Européenne (article 46).
En quelques mots
Comme nous pouvons le constater, le RGPD met l’accent sur la confidentialité des données et la protection des renseignements personnels ; il exige des entreprises qu’elles s’efforcent d’obtenir un consentement explicite pour la collecte de données, et qu’elles s’assurent que toutes les données sont traitées légalement. Cependant, il manque des détails techniques sur la façon de maintenir un niveau approprié de sécurité des données, ou d’atténuer les menaces internes et externes. À cet égard, la norme ISO 27001 est très utile : elle fournit des conseils pratiques sur la façon d’élaborer des politiques claires et complètes, pour réduire au minimum les risques de sécurité qui pourraient mener à des incidents de sécurité.
Bien que la conformité à la norme ISO 27001 ne garantisse pas la conformité avec la norme RGPD, il s’agit d’une étape importante. Les entreprises devraient envisager d’obtenir la certification ISO 27001 pour s’assurer que leurs mesures de sécurité sont suffisamment solides pour protéger les données sensibles.