Skip to content
FR

ISO Privacy Framework - Principes de protection des données - Partie 1

Les clients finaux attendent une protection stricte de leurs données et de leur sphère privée. Les entreprises qui le planifient à temps obtiennent non seulement un avantage concurrentiel, mais peuvent aussi éviter des coûts ultérieurs. Une bonne sécurité de l’information n’implique toutefois pas automatiquement la protection de la sphère privée −, car celle-ci doit être bien conçue et planifiée.La sphère privée est un sujet qui revient régulièrement à l’ordre du jour. La dénonciation répétée d’abus de traitement de données et de violations de données d’une part et la transformation numérique lors de laquelle les utilisateurs placent des données sensibles dans le cloud d’autre part poussent les clients à poser des exigences toujours plus élevées en matière de protection de leurs données. Avec le GDPR ou le RGPD, les exigences légales élevées viennent s’y ajouter.

 

Sécurité de l'information et protection de la vie privée

De nombreuses entreprises se demandent actuellement si leurs mesures de sécurité informatique et leur éventuel ISMS répondent déjà aux exigences de la protection des données. Selon l'environnement, les entreprises doivent se conformer à la LPD suisse, au RGPD ainsi qu'à d'autres directives spécifiques à la branche. Dans notre série d'articles sur la protection des données, nous répondons aux questions suivantes :

  • Quelle est la voie vers la protection de la sphère privée ?
  • Sur quelles normes les entreprises peuvent-elles s'appuyer ?
  • Avec quels outils les mesures peuvent-elles être documentées et démontrées à des tiers ?

En matière de protection de la vie privée, l'objectif est, comme le formule la LPD suisse, de"protéger la personnalité et les droits fondamentaux des personnes au sujet desquelles des données sont traitées". La sécurité de l'information a pour but de protéger les informations. Les deux thèmes ne sont pas identiques, mais s'accordent à merveille : Grâce au travail conceptuel effectué dans le cadre de la protection de la vie privée, la sécurité de l'information apprend à mieux comprendre les besoins de protection qu'elle doit satisfaire.

Dans la protection de la vie privée se pose également la question de savoir quelles données sont collectées et dans quel but. La protection de la vie privée a donc une influence sur la définition du processus d'entreprise et du service à fournir (ce qui est collecté, pourquoi et dans quel but). En fin de compte, les domaines spécialisés travaillent main dans la main : le processus doit satisfaire aux exigences de la protection de la vie privée ; la sécurité de l'information doit protéger aussi bien le processus que les données. L'un ne va pas sans l'autre.

Le cadre de la protection de la vie privée ISO

Dans la norme 29100:2011, l'ISO définit un"cadre de protection de la vie privée". Il s'agit d'un cadre de base et d'une terminologie pour le traitement des IIP. Ce dernier - Personally Identifiable Information - se réfère à toutes les formes de données qui permettent d'une part d'identifier une personne et d'autre part de tirer des conclusions sur son comportement ou sa situation personnelle. La formulation est volontairement laissée ouverte à ce stade. La norme elle-même contient de longues explications sur la manière dont les planificateurs peuvent identifier les données pertinentes dans leur projet.

Un exemple : les IIP peuvent être par exemple un numéro de carte de crédit, de téléphone ou de client ainsi que les données de transaction correspondantes qui peuvent être attribuées à une personne. Il importe peu que cette personne soit son propre client. Les données dont on dispose sur les collaborateurs de ses clients ou sur les clients de ses clients peuvent également être pertinentes. Pour un prestataire de services informatiques, son système de billetterie peut donc être pertinent dès que de telles données sont recopiées dans un ticket sans qu'il le demande.

Organismes impliqués et échange de données

La norme divise le traitement des données en quatre entités, comme le montre le graphique ci-dessous. Le principal PII est la personne physique qui devient identifiable. Le contrôleur PII décide pourquoi les données doivent être collectées et traitées et également comment. D'un point de vue juridique, il est responsable du respect des règles.

Un PII Controller peut également désigner un PII Processor en tant que suppléant, qui effectuera le traitement des données à sa place ou le soutiendra conformément à ses instructions. Les trois postes mentionnés sont entièrement interconnectés, ce qui signifie que les PII peuvent circuler librement dans les deux sens.

grafik

Il importe peu que le chef des DPI ait une relation contractuelle avec le contrôleur des DPI ou le processeur des DPI, car en fin de compte, les deux sont responsables de tous les DPI qu'ils ont, indépendamment du canal entrant, et tous deux doivent s'assurer qu'ils agissent conformément aux directives convenues. Il faut donc aussi clarifier ce qui se passe si des données sont envoyées par des tiers sans qu'on le leur demande.

Toutes lesparties tierces(3rd Parties) sont également concernées, car elles reçoivent des DPI et peuvent les traiter, mais n'agissent pas selon les instructions du contrôleur de DPI. Ils mettent en place leur propre cadre de protection de la vie privée et deviennent ainsi eux-mêmes des contrôleurs de DPI - mais sans que le premier contrôleur de DPI d'origine ne puisse les voir.

Cela signifie que les IIP peuvent parcourir une chaîne de cadres de protection de la vie privée jusqu'à ce qu'elles atterrissent quelque part et que ni le contrôleur initial ni le principal des IIP ne sachent plus exactement comment elles sont traitées. Celui qui promet à ses clients une forte protection de la sphère privée devrait donc réfléchir dès le début aux services tiers qui doivent être impliqués et surtout pourquoi.

Les onze principes de la vie privée dans le traitement des données

Le contrôleur des IIP est compétent pour décider pourquoi et comment les IIP sont traitées. Dans le cadre de la décision relative au déroulement du traitement, il lui incombe également d'appliquer les"principes de protection de la vie privée " de la norme ISO 29100:2011 :

  1. Consent and Choice : les DPI doivent être collectées selon une procédure "opt-in" - c'est-à-dire que le responsable des DPI peut donner ou retirer son consentement par une procédure simple.
  2. Purpose Legitimacy and Specification : la collecte des données n'a lieu que dans la mesure où elle est autorisée par la loi. Le responsable des DPI reçoit une explication simple sur la finalité de la collecte et du traitement.
  3. Collection Limitation : Les IIP ne doivent être collectées que dans la mesure où cela est nécessaire pour fournir le service. Le contrôleur PII doit pouvoir expliquer la finalité de la collecte.
  4. Minimisation des données : seules les données nécessaires doivent être prises en compte dans les processus de traitement. Les données ne doivent donc pas être distribuées partout, mais uniquement là où se déroulent les processus pertinents.
  5. Limitation de l'utilisation, de la rétention et de la divulgation : le transfert des IIP, ainsi que la transmission à des tiers, ne doivent avoir lieu que dans la mesure où ils sont nécessaires à la fourniture du service concerné.
  6. Accuracy and Quality : la qualité doit être garantie - c'est-à-dire qu'aucune donnée erronée ou expirée ne doit être collectée - en particulier dans les cas où le principal DPI peut subir un préjudice en raison de données erronées.
  7. Openness, Transparency and Notice : les chefs PII ont accès aux politiques et aux directives du contrôleur PII, qui doivent être formulées de manière claire et facile à comprendre.
  8. Participation et accès individuels : les chefs des DPI ont accès aux données et peuvent demander des corrections et la suppression de celles-ci. Cela doit se faire gratuitement et après une authentification appropriée.
  9. Accountability : la responsabilité de la mise en œuvre des mesures de protection des IIP doit être définie et les mesures et leur efficacité doivent être régulièrement contrôlées.
  10. Information Security : tous les systèmes impliqués doivent être protégés au niveau technique, par exemple en appliquant les contrôles de l'annexe A de la norme ISO 27001 (ou ISO 27002) et une procédure standardisée d'analyse des risques.
  11. Conformité en matière de protection de la vie privée : les entités impliquées doivent démontrer qu'elles respectent les directives (notamment la politique et les directives juridiques) et, si cela s'avère utile, procéder à des audits réguliers.

Le contrôleur PII doit faire en sorte que les professionnels et les responsables commerciaux concernés se familiarisent avec ces principes. Il est également responsable de la documentation des directives et des décisions et de leur mise en œuvre par les PII Processors mandatés.

Pourquoi c'est important

Ces onze principes de la protection de la vie privée n'ont pas d'équivalent direct dans les SI. Les décisions concernant la confidentialité, l'intégrité et la disponibilité ne signifient pas encore en soi une décision concernant la protection souhaitée des PII Principals.

Les principes de protection de la vie privée sont plutôt quelque chose qui doit être appliqué parallèlement à la sécurité de l'information. Ils doivent être déterminés et évalués séparément. Dans le cadre d'un projet, les deux exigences, celles de la sécurité et celles de la protection de la vie privée, doivent être prises en compte et coordonnées.

Perspectives

Le prochain article de notre série de blogs montrera comment, grâce à unPrivacy Impact Assessment (PIA), ces exigences peuvent être identifiées et évaluées de manière structurée.

 

You may be interested in

Incident bell icon

Réaction immédiate

Vous avez besoin d'une réaction immédiate face à une cyberattaque ? Appelez-nous.
+4121 519 05 01

Notre équipe de support est disponible du lundi au vendredi, de 8h00 à 18h00. Les clients disposant d'un SLA actif bénéficient d'un accès 24/7. 

Remarque : nous ne soutenons que les entreprises et les organisations. Les particuliers sont priés de contacter leur fournisseur d'accès ou les autorités locales.