Quelles similarités entre RGPD et ISO 27001 ?

Quelles similarités entre RGPD et ISO 27001 ?

Les deux standards ont beaucoup de points communs, la plupart étant liés à la sécurité des informations. Voici les principaux :

• Confidentialité, disponibilité et intégrité des données.

L’article 5 du RGPD définit les principes généraux pour le traitement des données, comme la protection contre les traitements non-autorisés ou illégaux, les pertes de données accidentelles, leur destruction ou leur altération. L’article 32 précise que les entreprises doivent mettre en place les mesures techniques et organisationnelles pour assurer la sécurité des données : encryptage, résilience des systèmes de traitement, capacité de restaurer rapidement la disponibilité des données personnelles, etc.

De la même manière, plusieurs contrôles dans ISO 27001 visent à aider les entreprises à assurer la confidentialité, la disponibilité et l’intégrité des données. La clause 4 stipule qu’elles doivent identifier les facteurs internes et externes qui peuvent impacter leurs programmes de sécurité. La clause 6 leur demande de déterminer leurs objectifs de sécurité IT et de créer un programme ad hoc. La clause 8 définit les standards pour la maintenance continue de leur programme de sécurité et leur impose de documenter ce dernier pour démontrer leur conformité.

• Evaluation des risques

RGPD et ISO 27001 exigent tous deux une approche de la sécurité des données basée sur les risques. L’article 35 du RGPD impose aux entreprises d’effectuer des évaluations d’impact sur la protection des données et d’identifier les risques pour les données des personnes. Ces évaluations doivent obligatoirement être faites avant tout traitement de données à haut risque, notamment pour les données hautement sensibles.

ISO 27001 conseille également aux entreprises de faire des évaluations rigoureuses pour identifier les menaces et les points de vulnérabilité qui peuvent altérer les actifs (clause 6.1.2), et de prendre les mesures de sécurité appropriées (clause 6.1.3).

• Gestion des parties prenantes

La clause 8 de l’ISO 27001 demande aux entreprises d’identifier les actions de traitement qui sont externalisées et de s’assurer qu’elles restent sous contrôle. La clause 15 donne des directives spécifiques pour les relations avec les fournisseurs et demande aux entreprises de surveiller et évaluer le niveau de service des fournisseurs.

Des enjeux similaires sont couverts par l’article 28 du RGPD, qui exige que les contrôleurs de données sécurisent les termes contractuels et les assurances des processeurs, avec un « accord de traitement des données ».

• Notification des failles de sécurité

Selon les articles 33 et 34 du RGPD, les entreprises doivent informer les autorités de contrôle dans les 72 heures suivant la découverte d’une faille de sécurité de données personnelles. Les sujets de données doivent être notifiés sans délai, mais seulement si les données représentent un « risque élevé pour les droits et libertés des sujets des données ».

La clause A.16 de l’ISO 27001 ne spécifie pas de délai pour la notification en cas de faille de sécurité, mais stipule que les entreprises doivent signaler rapidement tout incident de sécurité et communiquer de manière à faciliter toute action corrective rapide.

• Protection des données dès la conception et par défaut

L’article 25 du RGPD stipule que les entreprises doivent mettre en place les mesures techniques et organisationnelles au cours de la phase de conception de tout projet, afin de garantir les droits de confidentialité des données dès le début (« protection des données dès la conception »). De plus, les entreprises doivent protéger la confidentialité des données par défaut et s’assurer que seules les informations nécessaires à chaque objectif de traitement sont utilisées (« protection des données par défaut »).

Dans ISO 27001, des exigences similaires sont décrites dans les clauses 4 et 6. La clause 4 exige que les entreprises comprennent le périmètre et le contexte des données qu’elles collectent et traitent, tandis que la clause 6 recommande qu’elles effectuent régulièrement des évaluations de risque pour garantir l’efficacité de leur programme de gestion de la sécurité.

• Conservation des historiques

L’article 30 du RGPD exige que les entreprises conservent les historiques de leurs activités de traitement, y compris la catégorie des données, la finalité du traitement, et la description générale des mesures de sécurité techniques et organisationnelles.

ISO 27001 stipule que les entreprises doivent documenter leurs processus de sécurité, ainsi que les résultats de leurs évaluations de risque de sécurité et de risque de traitement (clause 8). Les informations doivent être stockées et classées, les propriétaires des données doivent être désignés et les procédures pour l’utilisation acceptable des données doivent être définies.

Est-ce que la conformité avec ISO 27001 garantit la conformité RGPD ? Comme nous l’avons vu, la certification ISO 27001 peut simplifier le processus de mise en conformité RGPD. Toutefois, il y a plusieurs différences entre les deux standards. Le RGPD est un standard global qui fournit aux entreprises une vision stratégique de la manière dont elles doivent assurer la confidentialité des données. ISO 27001 est un ensemble de bonnes pratiques avec un focus sur la sécurité des informations. La norme fournit des conseils pratiques sur la manière de protéger les informations et réduire les cyber-menaces. A la différence du RGPD, elle ne couvre pas directement les enjeux suivants liés à la confidentialité des données (que l’on retrouve dans le chapitre 3 du RGPD portant sur « Les droits des sujets de données ») :

• Consentement : les contrôleurs de données doivent prouver que les sujets de données ont donné leur accord pour le traitement de leurs données personnelles (articles 7 et 8). La demande de consentement doit être faite sous une forme facilement accessible, avec la finalité du traitement des données clairement décrit. Les sujets de données ont également le droit d’annuler leur consentement à tout moment.

• Portabilité des données : les personnes concernées ont le droit d’obtenir et réutiliser leurs données personnelles pour leurs propres objectifs et pour différents services, et de transmettre ces données à un autre contrôleur sans entrave à l’utilisation.

• Droit à l’oubli : les individus ont le droit de faire effacer leurs données personnelles et de stopper toute diffusion ultérieure, et ce sans délai.

• Droit à la restriction de traitement : les individus ont le droit de limiter la manière dont une organisation utilise leurs données personnelles si les données ont été traitées de manière illégale ou si l’individu conteste l’exactitude des données.

• Droit d’opposition : la personne concernée a le droit de s’opposer au traitement des données à des fins marketing, d’étude ou de statistique (article 21).

• Transfert international de données personnelles : les organisations doivent s’assurer que les transferts internationaux de données sont faits en accord avec les règles approuvées par le Commission Européenne (article 46).

Conclusion

Le RGPD se concentre sur la confidentialité des données et la protection des informations personnelles. Il impose aux entreprises de déployer les moyens nécessaires pour obtenir un consentement explicite pour collecter des données et s’assurer que ces données sont traitées de manière légale. Toutefois, il ne donne pas les détails techniques sur la manière de maintenir un niveau de sécurité des données adéquat ou pour réduire les menaces internes et externes. A cet égard, ISO 27001 apporte des réponses : la norme fournit des orientations pratiques sur la manière de développer des politiques claires et complètes pour réduire les risques qui peuvent générer des incidents de sécurité.

Bien que la conformité ISO 27001 ne garantit pas le conformité RGPD, elle peut être une étape qui présente un intérêt certain. Les entreprises ont donc intérêt à considérer la possibilité de se certifier ISO 27001 pour s’assurer que leurs mesures de sécurité sont suffisamment fortes pour protéger les données sensibles.