C’est l’un des revers de la transformation numérique, toutes les entreprises stockant et exploitant les données de leurs clients doivent impérativement se conformer à un certain nombre de normes. C’est ce que l’on appelle la Data compliance. RGPD, norme ISO 27701, norme ISO 27017/ISO 27018… Le point sur les différentes normes et régulations entourant les données personnelles.
RGPD : Règlement Général sur la Protection des Données
Le RGPD est un règlement dont l’objectif est d’encadrer le traitement des données personnelles dans l’Union Européenne. En effet, face à l’essor important du commerce en ligne et de l’usage des outils numériques, ce règlement, entré en vigueur en 2018, permet de poser un cadre en s’inscrivant dans la continuité de la Loi française Informatique et Libertés de 1978.
L’objectif du Règlement Général sur la Protection des Données est avant tout de renforcer le contrôle qu’ont les utilisateurs au sujet de l’utilisation qui peut être faite de leurs données. Les règles européennes sont ainsi harmonisées.
Pour qu’une entreprise se mette en conformité avec le RGPD, elle doit entre autres :
- Recenser les traitements de données personnelles opérés dans ses locaux ;
- Identifier et maîtriser l’ensemble des sous-traitants ;
- S’équiper des outils nécessaires à la conformité (logiciels et autres solutions digitales) ;
- Mettre à jour ses supports de collecte de données et d’information
- Etc.
Tenir un registre des traitements est désormais obligatoire, ce qui permet d’identifier les catégories de données traitées, leur usage, la façon dont elles sont partagées, leur durée de conservation, etc. L’objectif du RGPD est d’offrir davantage de transparence aux utilisateurs, notamment en matière de cookies.
Norme ISO 27701 : norme internationale pour la protection des données
L’intégrité des données est désormais elle aussi régie par une norme : ISO 27701. Cette norme internationale définit la gouvernance ainsi que les mesures de sécurité à mettre en place pour une meilleure intégrité des données.
Mise en place à l’été 2019, la norme 27701 se base sur deux normes ISO de sécurité de l’information et étend leur action à la protection des données personnelles :
- ISO 27001 : qui établit un système de management de sécurité informatique
- ISO 27002 : qui décrit les bonnes pratiques en matière de mesures de sécurité et de conformité des données
La norme ISO 27701 a pour objectif de standardiser et de renforcer la protection et la conformité des données personnelles en reprenant les effets des normes ISO 27001 et ISO 27002 : droit des personnes, conformité aux exigences légales et réglementaires, gestion unifiée des risques informatiques, etc. Elle a été rédigée en partenariat étroit avec la CNIL (Commission nationale de l’informatique et des libertés) et en prenant en compte le RGPD. Des contraintes fortes à respecter pour les entreprises qui sont dans l’obligation de faire évoluer leur système d’information et leur infrastructure informatique dans ce sens.
Norme ISO 27017/ISO 27018 : norme internationale pour la sécurité des données dans le cloud
La norme ISO 27017/ISO 27018 a pour objectif d’encadrer les objectifs de contrôles et les grandes lignes directrices de la mise en œuvre des mesures de protection des données personnelles dans le cloud. Publiée en 2014 sous le nom français « Technologies de l’information, Techniques de sécurité – Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l’informatique en nuage public agissant comme processeur de PII », elle s’appuie sur les normes ISO 177883, 291002 et 27002.
L’objectif de la norme ISO 27017/ISO 27018 est de davantage sécuriser les données stockées chez des fournisseurs de services publics et de services de cloud computing. Cette norme concerne les entreprises de toutes tailles, privées ou publiques, ainsi que les organisations à but non lucratif et les entités gouvernementales. Elle se base sur six notions clés :
- Le consentement
- Le contrôle
- La transparence
- La responsabilité
- La communication
- Un audit annuel indépendant
Dans un univers où le Big Data tient de plus en plus de place, la conformité des données ou Data Compliance n’est plus un enjeu isolé, du seul ressort de l’IT ou du service qualité, et fait aujourd’hui partie des priorités des directions pour placer la sécurité des données personnelles au cœur de chaque projet.