Loading AI tools
De Wikipédia, l'encyclopédie libre
L'ISO/CEI 27701:2019 (anciennement ISO/CEI 27552 pendant la période de rédaction) est une extension de l'ISO/IEC 27001 sur la confidentialité. L'objectif de la rédaction de cette norme est d'améliorer le système de management de la sécurité de l'information existante (SMSI) avec des exigences supplémentaires pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de gestion des données à caractère personnel (PIMS)[1]. La norme décrit un cadre pour les contrôleurs de PII (informations personnelles identifiables, ou Personally Identifiable Information en anglais) et les processeurs de PII pour gérer les contrôles de confidentialité afin de réduire le risque aux droits de confidentialité des personnes[2].
L'ISO/IEC 27701 a pour but d'être une extension référentielle dans le cadre des certifications l'ISO/IEC 27001. En d'autres termes, les organisations qui envisagent d'être certifiées ISO/IEC 27701 devront également être certifiées ISO/IEC 27001.
L'application prévue d'ISO/IEC 27701 est d'augmenter le SMSI existant avec des contrôles de confidentialité spécifiques et donc de créer des PIMS pour permettre une gestion efficace de la confidentialité au sein d'une organisation.
Un PIMS robuste présente de nombreux avantages potentiels pour les contrôleurs de PII et les processeurs de PII, avec au moins trois avantages significatifs :
Tout d'abord, atteindre la conformité aux exigences de confidentialité (notamment selon les lois et règlements, puis les accords avec des tiers, ainsi que les politiques de confidentialité d'entreprise, etc.) est imposant, surtout si les exigences ne sont pas organisées de la manière la plus efficace pour les contrôleurs de PII et processeurs de PII. Les organisations soumises à plusieurs obligations de respect de la vie privée (par exemple, si elles opèrent dans plusieurs juridictions, ou bien si les propriétaires des données répondent à une autre juridiction), elles sont soumises à des charges supplémentaires pour concilier, satisfaire et surveiller toutes les exigences applicables. Une approche gérée facilite la charge de conformité, comme en témoigne l'annexe C de la norme, un contrôle de confidentialité unique peut répondre à de multiples exigences du règlement général sur la protection des données (RGPD)[3].
Deuxièmement, la réalisation et la maintenance en conformité avec les exigences applicables est un sujet de gouvernance et de sécurité. Sur la base du PIMS (et éventuellement de sa certification), les délégués à la protection des données peuvent fournir les preuves nécessaires pour assurer aux personnes concernées, telles que des supérieurs hiérarchiques, des propriétaires et des autorités, que les exigences de confidentialité applicables sont remplies.
Troisièmement, la certification PIMS peut être précieuse pour communiquer le respect de la vie privée aux clients et partenaires. Les contrôleurs de PII exigent généralement des preuves des processeurs de PII, que le système de gestion de la confidentialité des processeurs de PII satisfait aux exigences de confidentialité applicables. Un cadre de tests uniforme basé sur des normes internationales peut grandement simplifier cette communication de transparence en conformité, en particulier lorsque les preuves sont validées par un auditeur tiers accrédité[4]. Ce besoin de communication de la transparence en conformité est également essentiel pour les décisions stratégiques d'affaires telles que les fusions et acquisitions, et les scénarios de co-contrôleurs impliquant l'accord d'échange de données. Enfin, la certification PIMS peut potentiellement faire preuve de fiabilité auprès du public.
L'ISO/IEC 27701 fait référence normativement aux documents suivants :
Les exigences de la norme sont réparties selon les quatre groupes suivants :
La norme comprend également les annexes suivantes[5] :
Un nouveau point de travail a été proposé au JTC 1/SC 27 (JTC : Joint Technical Committee, soit comité technique conjoint) par le JTC 1/SC 27/WG 5 "Gestion de l'identité et des technologies de la vie privée" en basé sur une initiative d'experts du Corps national français du JTC 1/SC 27.
Le projet a été développé au JTC 1/SC 27/WG 5 sous le numéro ISO/CEI 27552.
La British Standards Institution (BSI) a réalisé le premier certificat de dépôt ISO/IEC 27552, disponible publiquement sur son site en .
Le deuxième certificat de dépôt ISO/CEI 27552 a été publié en .
Le DIS (Draft International Standard, version préliminaire de la norme en français) de l'ISO/CEI 27552 a été publié en et approuvé en . Comme il n'y avait pas de modifications techniques nécessaires, le vote du FDIS (Final Draft International Standard, soit version finale de la norme internationale en français) a été contourné.
Le JTC 1/SC 27 a achevé les travaux techniques sur l'ISO/CEI 27552 en .
Avant sa publication, la norme ISO/CEI 27552 a été renommée en ISO/IEC 27701 conformément à la résolution 39/2019 du Conseil de Gestion Technique de l'ISO, qui ordonne que tout système de gestion "type A" (qui contient des exigences) ait un "01" pour ses deux derniers chiffres. La réaffectation de numéro a été terminée en .
La norme a été publiée le .
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.