La protection des données personnelles et de la vie privée est au cœur des préoccupations. Depuis 2019, la norme internationale ISO 27701 est devenue un critère pour de nombreuses entreprises et organisations. Mais, qu’est-ce que la norme ISO 27701 ? Quels sont ses enjeux, les changements apportés et qui concernent-ils ?
Qu’est-ce que la norme ISO 27701 ?
La norme ISO 27701 a été publiée en août 2019. Elle décrit la gouvernance et les mesures de sécurité à adopter pour traiter des données personnelles.
Pour cela, elle étend 2 normes ISO de sécurité de l’information (l’ISO 27001 et l’ISO 27002) en spécifiant et en définissant les processus et mesures à mettre en place pour la protection des données personnelles et de la vie privée. Son objectif est de standardiser et renforcer la protection des données personnelles.
La norme ISO 27701 a une portée internationale.
Les enjeux de la norme
La norme ISO 27701 est une marque de fiabilité. Elle a pour objectif de crédibiliser son système de management afin que les parties prenantes soient rassurées par rapport au respect des principes de protection des données personnelles.
Cette norme internationale pourrait rapidement devenir un gage de confiance largement reconnu. Elle pourrait même intégrer la liste des critères incontournables dans l’élaboration des appels d’offres.
Les plaintes au sujet de la confidentialité et la protection des données sont nombreuses. Une norme est donc la bienvenue. Les organisations la possédant seront ainsi « digne de confiance » ce qui rassura leurs clients, fournisseurs et partenaires.
Les changements apportés par la norme ISO 27701
Grâce à l’ISO 27701, le système de management de la sécurité de l’information est étendu afin d’inclure les particularités des traitements de données personnelles.
Aussi, l’ISO 27701 permet de prendre en compte le rôle de l’organisme (responsable de traitement, sous-traitant…) pour apporter des mesures spécifiques aux traitements des données personnelles.
Les relations concernées
L’ISO 27701 s’impose dans vos relations commerciales, avec vos partenaires, mais aussi avec vos clients.
En effet, elle est un gage de confiance recherché par vos partenaires commerciaux dès lors que votre collaboration intègre un traitement de données personnelles. Les clients apprécient également que leurs fournisseurs soient conformes à cette norme, notamment lorsqu’ils envisagent d’intégrer un programme de fidélité.
La certification ISO 27701 est un support sur lequel les entreprises peuvent se confronter et qui peut être utilisée par les DPO pour effectuer un audit clair.
À l’échelle internationale, cette nouvelle norme est une petite révolution qui était attendue.
ISO 27701 et RGPD
Tout comme le RGPD, l’ISO 27701 concerne la protection des données personnelles. Mais, attention, elle n’est pas synonyme de conformité au RGPD. Elle vient établir des règles à l’échelle internationale et sa publication a été saluée par la CNIL, entre autres. Pour sa rédaction, de nombreux experts de protection des données ainsi que des autorités ont apporté leurs contributions.
Malgré tout, bien qu’elle ait pris en compte le RGPD, elle manque de précisions sur certaines thématiques par rapport à celui-ci. L’ISO 27701 n’est pas considérée comme une certification au sens de l’article 42 du RGPD.
Toutefois, les entreprises qui l’adoptent prouvent l’intérêt qu’elles portent à la protection des données personnelles.