Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La certification ISO 27001 est-elle suffisante pour la conformité RGPD ?

juin 2018 par Pierre-Louis Lussan, Country Manager France, Netwrix

Le RGPD et la norme ISO 27001 sont deux standards qui ont beaucoup en commun. Tous deux visent à renforcer la sécurité des données et réduire le risque de failles de sécurité, et tous deux exigent des entreprises qu’elles assurent la confidentialité, l’intégrité et la disponibilité des données sensibles. ISO 27001 est l’un des standards de bonnes pratiques les plus détaillés en la matière, et il faut noter que l’article 24 du RGPD stipule que l’adhésion aux codes de conduite et certifications approuvées – comme ISO 27001 – peut être utilisée pour démontrer la conformité.

D’où la question légitime : « Suis-je pleinement conforme au RGPD si je suis déjà certifié ISO 27001 ? ».

Le RGPD ayant un cadre beaucoup plus large et une compréhension plus fondamentale de la sécurité et de la confidentialité des données, il est toutefois nécessaire d’expliquer les similarités et les différentes entre les deux standards pour savoir si le cadre d’ISO 27001 peut être utilisé pour passer les audits RGPD.

Quelles similarités entre RGPD et ISO 27001 ?

Les deux standards ont beaucoup de points communs, la plupart étant liés à la sécurité des informations. Voici les principaux :

• Confidentialité, disponibilité et intégrité des données.
L’article 5 du RGPD définit les principes généraux pour le traitement des données, comme la protection contre les traitements non-autorisés ou illégaux, les pertes de données accidentelles, leur destruction ou leur altération. L’article 32 précise que les entreprises doivent mettre en place les mesures techniques et organisationnelles pour assurer la sécurité des données : encryptage, résilience des systèmes de traitement, capacité de restaurer rapidement la disponibilité des données personnelles, etc.

De la même manière, plusieurs contrôles dans ISO 27001 visent à aider les entreprises à assurer la confidentialité, la disponibilité et l’intégrité des données. La clause 4 stipule qu’elles doivent identifier les facteurs internes et externes qui peuvent impacter leurs programmes de sécurité. La clause 6 leur demande de déterminer leurs objectifs de sécurité IT et de créer un programme ad hoc. La clause 8 définit les standards pour la maintenance continue de leur programme de sécurité et leur impose de documenter ce dernier pour démontrer leur conformité.

• Evaluation des risques
RGPD et ISO 27001 exigent tous deux une approche de la sécurité des données basée sur les risques. L’article 35 du RGPD impose aux entreprises d’effectuer des évaluations d’impact sur la protection des données et d’identifier les risques pour les données des personnes. Ces évaluations doivent obligatoirement être faites avant tout traitement de données à haut risque, notamment pour les données hautement sensibles.

ISO 27001 conseille également aux entreprises de faire des évaluations rigoureuses pour identifier les menaces et les points de vulnérabilité qui peuvent altérer les actifs (clause 6.1.2), et de prendre les mesures de sécurité appropriées (clause 6.1.3).

• Gestion des parties prenantes
La clause 8 de l’ISO 27001 demande aux entreprises d’identifier les actions de traitement qui sont externalisées et de s’assurer qu’elles restent sous contrôle. La clause 15 donne des directives spécifiques pour les relations avec les fournisseurs et demande aux entreprises de surveiller et évaluer le niveau de service des fournisseurs.

Des enjeux similaires sont couverts par l’article 28 du RGPD, qui exige que les contrôleurs de données sécurisent les termes contractuels et les assurances des processeurs, avec un « accord de traitement des données ».

• Notification des failles de sécurité
Selon les articles 33 et 34 du RGPD, les entreprises doivent informer les autorités de contrôle dans les 72 heures suivant la découverte d’une faille de sécurité de données personnelles. Les sujets de données doivent être notifiés sans délai, mais seulement si les données représentent un « risque élevé pour les droits et libertés des sujets des données ».

La clause A.16 de l’ISO 27001 ne spécifie pas de délai pour la notification en cas de faille de sécurité, mais stipule que les entreprises doivent signaler rapidement tout incident de sécurité et communiquer de manière à faciliter toute action corrective rapide.

• Protection des données dès la conception et par défaut
L’article 25 du RGPD stipule que les entreprises doivent mettre en place les mesures techniques et organisationnelles au cours de la phase de conception de tout projet, afin de garantir les droits de confidentialité des données dès le début (« protection des données dès la conception »). De plus, les entreprises doivent protéger la confidentialité des données par défaut et s’assurer que seules les informations nécessaires à chaque objectif de traitement sont utilisées (« protection des données par défaut »).

Dans ISO 27001, des exigences similaires sont décrites dans les clauses 4 et 6. La clause 4 exige que les entreprises comprennent le périmètre et le contexte des données qu’elles collectent et traitent, tandis que la clause 6 recommande qu’elles effectuent régulièrement des évaluations de risque pour garantir l’efficacité de leur programme de gestion de la sécurité.

• Conservation des historiques
L’article 30 du RGPD exige que les entreprises conservent les historiques de leurs activités de traitement, y compris la catégorie des données, la finalité du traitement, et la description générale des mesures de sécurité techniques et organisationnelles.

ISO 27001 stipule que les entreprises doivent documenter leurs processus de sécurité, ainsi que les résultats de leurs évaluations de risque de sécurité et de risque de traitement (clause 8). Les informations doivent être stockées et classées, les propriétaires des données doivent être désignés et les procédures pour l’utilisation acceptable des données doivent être définies.

Est-ce que la conformité avec ISO 27001 garantit la conformité RGPD ?
Comme nous l’avons vu, la certification ISO 27001 peut simplifier le processus de mise en conformité RGPD. Toutefois, il y a plusieurs différences entre les deux standards. Le RGPD est un standard global qui fournit aux entreprises une vision stratégique de la manière dont elles doivent assurer la confidentialité des données. ISO 27001 est un ensemble de bonnes pratiques avec un focus sur la sécurité des informations. La norme fournit des conseils pratiques sur la manière de protéger les informations et réduire les cyber-menaces. A la différence du RGPD, elle ne couvre pas directement les enjeux suivants liés à la confidentialité des données (que l’on retrouve dans le chapitre 3 du RGPD portant sur « Les droits des sujets de données ») :

• Consentement : les contrôleurs de données doivent prouver que les sujets de données ont donné leur accord pour le traitement de leurs données personnelles (articles 7 et 8). La demande de consentement doit être faite sous une forme facilement accessible, avec la finalité du traitement des données clairement décrit. Les sujets de données ont également le droit d’annuler leur consentement à tout moment.
• Portabilité des données : les personnes concernées ont le droit d’obtenir et réutiliser leurs données personnelles pour leurs propres objectifs et pour différents services, et de transmettre ces données à un autre contrôleur sans entrave à l’utilisation.
• Droit à l’oubli : les individus ont le droit de faire effacer leurs données personnelles et de stopper toute diffusion ultérieure, et ce sans délai.
• Droit à la restriction de traitement : les individus ont le droit de limiter la manière dont une organisation utilise leurs données personnelles si les données ont été traitées de manière illégale ou si l’individu conteste l’exactitude des données.
• Droit d’opposition : la personne concernée a le droit de s’opposer au traitement des données à des fins marketing, d’étude ou de statistique (article 21).
• Transfert international de données personnelles : les organisations doivent s’assurer que les transferts internationaux de données sont faits en accord avec les règles approuvées par le Commission Européenne (article 46).

Conclusion

Le RGPD se concentre sur la confidentialité des données et la protection des informations personnelles. Il impose aux entreprises de déployer les moyens nécessaires pour obtenir un consentement explicite pour collecter des données et s’assurer que ces données sont traitées de manière légale. Toutefois, il ne donne pas les détails techniques sur la manière de maintenir un niveau de sécurité des données adéquat ou pour réduire les menaces internes et externes. A cet égard, ISO 27001 apporte des réponses : la norme fournit des orientations pratiques sur la manière de développer des politiques claires et complètes pour réduire les risques qui peuvent générer des incidents de sécurité.

Bien que la conformité ISO 27001 ne garantit pas le conformité RGPD, elle peut être une étape qui présente un intérêt certain. Les entreprises ont donc intérêt à considérer la possibilité de se certifier ISO 27001 pour s’assurer que leurs mesures de sécurité sont suffisamment fortes pour protéger les données sensibles.


Voir les articles précédents

    

Voir les articles suivants