Dernières nouvelles

Restez au courant de tout ce qui se passe à Approach

Publication

La norme ISO 27701, un excellent outil pour assurer votre conformité en matière de protection de la vie privée

Date de publication

08.04.2021

image
Obtenez des conseils sur la manière de mettre en place un programme durable de respect de la vie privée au sein de votre organisation.
« Vous pouvez assurer la sécurité sans la protection de la vie privée, mais vous ne pouvez pas assurer la protection de la vie privée sans la sécurité.

Depuis l’entrée en vigueur des lois sur la protection de la vie privée et, en Europe, plus particulièrement du GDPR, nous avons constaté une augmentation du nombre de certifications ISO 27001 ainsi qu’un changement dans le type d’entreprises certifiées. Pourquoi ? Parce que le respect de la vie privée ne peut être assuré efficacement sans une gouvernance de la sécurité éprouvée.

Mais si la certification ISO 27001 peut améliorer le niveau de sécurité des organisations et mieux les préparer à faire face aux obligations réglementaires en matière de protection de la vie privée, le système mondial de gestion de la sécurité de l’information (SGSI) ne fournit pas de cadres ni de mesures spécifiques de contrôle de la protection de la vie privée. C’est pourquoi la nouvelle norme ISO 27701 a vu le jour.

Lors des Journées suisses de la cybersécurité 2021, nous avons été invités à parler de la norme ISO 27701 : Quels sont ses avantages dans le paysage commercial actuel ? Comment mettre en place un programme de conformité à la protection de la vie privée réussi et durable tout en évitant les obstacles et les pièges les plus courants ?

Laurent Deheyer, directeur de l’approche, qui a déjà mené avec succès de nombreux projets de certification ISMS et ISO 27001 chez des clients, a partagé ses conseils et astuces.

Qu’est-ce que la norme ISO 27701 ?

La norme ISO 27701 est une extension de la norme ISO/IEC 27001 (qui spécifie les exigences en matière de sécurité de l’information) et de la norme ISO/IEC 27002 (qui fournit des conseils de mise en œuvre pour la sécurité de l’information) pour la gestion de la protection de la vie privée.

Il précise les exigences liées au PIMS (Privacy Information Management System) et fournit des conseils aux responsables du traitement des données et aux sous-traitants qui assument la responsabilité du traitement des données à caractère personnel.

Il comprend également une cartographie :

  • ISO/IEC 27018, qui fournit des informations supplémentaires aux organisations agissant en tant que sous-traitants et fournissant des services de cloud public.
  • ISO/IEC 29151 qui fournit des contrôles et des conseils supplémentaires pour le traitement des données à caractère personnel par les responsables du traitement.
  • Le règlement général sur la protection des données de l’UE.

L’utilisation de cette norme, en conjonction avec la norme ISO/IEC 27001, peut, si vous le souhaitez, fournir une vérification indépendante de ces preuves.

Comment la norme ISO 27701 peut-elle aider votre organisation à relever les défis liés à la protection de la vie privée ?

Votre organisation est confrontée à des législations multiples et/ou changeantes en matière de protection de la vie privée, ce qui entraîne des frais opérationnels importants pour atteindre, maintenir et démontrer la conformité en matière de protection de la vie privée ? L’adoption d’une norme internationale et reconnue vous donne l’occasion de construire d’abord un cadre de gestion unique et d’y ajouter ensuite les spécificités locales. Il en résulte un gain d’efficacité et une réduction des coûts opérationnels.

Adoptez-vous les technologies en nuage en tant que consommateur ou en tant que fournisseur ? Dans ce cas, l’importance de la protection de la vie privée et des données est un élément essentiel de votre stratégie d’adoption de l’informatique dématérialisée. Des normes telles que ISO 27018 et ISO 27701 fournissent aux parties intéressées une assurance suffisante.

La norme ISO 27701 ajoute des exigences telles que la définition de rôles et de responsabilités clairs entre les responsables du traitement des données et les sous-traitants, l ‘unification des risques pour la vie privée et des risques pour la sécurité de l’information. Elle comprend des lignes directrices pour des contrôles tels que la sensibilisation, la classification des informations, le contrôle d’accès et le cryptage. Elle fournit également des orientations pour la mise en œuvre de la gestion des fournisseurs et d’autres mesures spécifiques telles que la « protection de la vie privée dès la conception ».

Comment assurer une mise en œuvre réussie ?

Avant tout, vous devez définir vos objectifs pour la mise en œuvre de la norme ISO 27701. Cela dépendra du niveau de maturité que vous voulez ou devez atteindre dans un délai donné.

En tant qu’extension de la norme ISO 27001, vous avez plusieurs possibilités :

  • Vous disposez déjà d’un SMSI conforme à la norme ISO 27001 : intégrez les éléments relatifs à la protection de la vie privée dans votre cadre de gestion existant.
  • Vous n’avez pas d’ISMS. Vous pouvez soit commencer par le SGSI, puis le SGIP, soit les mener en parallèle. L’option la plus efficace est de mener les deux en parallèle, mais cela dépend de la capacité de votre entreprise à assimiler le changement.

Dans les deux cas, la mise en œuvre d’un système de gestion implique un cycle de vie d’amélioration continue.

Deuxièmement, il est essentiel de trouver des catalyseurs clés pour réussir. Ceux-ci peuvent varier en fonction de la taille et de la complexité de votre organisation :

  • Les personnes: Trouvez des alliés au sein de votre organisation, car il s’agit avant tout de gérer le changement.
  • Méthodologies: Adoptez des méthodes de gestion de projet conformes à la culture de votre entreprise. Créez de la visibilité grâce à un plan de communication bien défini et concentrez-vous sur les gains rapides.
  • Outils: En fonction de la taille et de la complexité de votre entreprise, sélectionnez les outils qui vous conviennent.

Comment faire face aux obstacles et aux pièges ?

Les obstacles que vous pouvez rencontrer lors du lancement d’un tel projet sont les suivants :

  • Priorités organisationnelles : Les projets ISMS ou PIMS peuvent devenir secondaires car ils ne génèrent pas de flux de revenus directs tangibles, jusqu’à ce que vos clients l’imposent.
  • Gestion du changement : La mise en œuvre d’un SGSI et d’un SGIP implique de modifier nos comportements. Vous trouverez toujours des personnes réticentes au changement.
  • Manque de compréhension : Un problème lorsque vous essayez d’expliquer la valeur de ces initiatives.
  • Le budget : L’estimation n’est pas un exercice trivial pour de telles initiatives.

En termes d’écueils, nous observons généralement des problèmes lorsque les rôles et les responsabilités ne sont pas clairement définis, auquel cas des conflits d’intérêts peuvent apparaître au cours de la mise en œuvre.

Deuxièmement, il est essentiel de choisir le bon champ d’application : essayer de choisir le champ d’application le plus large peut créer des obstacles, en particulier pour une organisation peu mature. Il est préférable de choisir un champ d’application plus restreint et de l’étendre au fil du temps.

Lors du choix d’une lunette de visée, vous devez faire preuve de prudence pour deux raisons principales :

  • Veillez à ce que le champ d’application choisi apporte une valeur ajoutée aux parties intéressées.
  • Veillez à ne pas exclure les éléments de votre système qui sont indispensables à une bonne gestion de votre sécurité et de votre vie privée.

Enfin, comme pour tout projet, une mauvaise planification affectera votre capacité à respecter les délais, la qualité et le budget. Veillez à ce qu’une personne ayant des compétences en matière de gestion de projet soit impliquée pour maintenir les choses sur la bonne voie.

Vous voulez en savoir plus sur notre client Sofico ? Lisez leur témoignage

Prêt à vous lancer dans l’aventure ISO 27701 ? Contactez nous

AUTRES HISTOIRES

La loi sur la cyber-résilience : Ce que les entreprises belges doivent savoir

Alors que les organisations belges naviguent dans les méandres de la conformité NIS2, une nouvelle vague réglementaire se profile déjà à l’horizon. La loi de l’Union européenne sur la cyber-résilience (CRA) est entrée en vigueur le 10 décembre 2024 et remodèlera fondamentalement la façon dont les entreprises abordent la cyber-sécurité pour les produits comportant des éléments numériques. Contrairement à la NIS2, qui se concentre sur les mesures de sécurité organisationnelles, l’ARC cible les produits eux-mêmes – des appareils domestiques intelligents aux systèmes IoT industriels.

De la conformité à la confiance : Dorian Pacquet parle de cybersécurité pour les FinTechs

Dorian Pacquet nous explique comment les FinTechs peuvent aller au-delà de la conformité pour bâtir une véritable cyberconfiance grâce à une gestion proactive des risques et à la résilience.

La cybersécurité en Wallonie : aperçu de la situation

Dans une interview accordée à Dynam!sme, le magazine numérique de l’Union Wallonne des Entreprises (UWE), David Vanderoost, CEO de Approach Cyber, évoque le paysage wallon de la cybersécurité.

Contactez-nous pour en savoir plus sur nos services et solutions

Notre équipe vous aidera à entamer votre voyage vers la cyber-sérénité

Préférez-vous nous envoyer un courriel ?

info@approach-cyber.com

Facebook-f Linkedin-in Youtube

Nos certifications et labels

Facebook-f Linkedin-in Youtube
Facebook-f Linkedin-in Youtube