Les entreprises qui disposent d'un ISMS connaissent les normes ISO de la série 27000 et sont peut-être déjà certifiées selon ces normes. La norme 27701:2019, encore relativement récente, permet désormais d'étendre l'ISMS aux aspects de la protection de la vie privée. Le graphique montre à quoi peut ressembler l'intégration et comment les normes interagissent.
Qu'est-ce que le PIMS ?
Un système de gestion des informations relatives à la vie privée (PIMS) permet aux entreprises d'intégrer durablement dans leur environnement un cadre de protection de la vie privée et des procédures d'évaluation de l'impact sur la vie privée, de les contrôler et de les améliorer en permanence. Cela permet de garantir une forte protection des données. Avec ISO 27701:2019, les entreprises disposent d'une norme qui leur permet d'étendre leur ISMS et de gérer ainsi de manière coordonnée la sécurité de l'information et la protection des données.
Ceux qui ont déjà travaillé avec un ISMS connaissent les normes suivantes :
- ISO 27001 pour le système de gestion et la mise en place du cycle PDCA.
- ISO 27005 comme méthodologie pour la gestion des risques
- Annexe A d'ISO 27001 (ou ISO 27002) comme meilleure pratique pour le choix des contrôles.
Dans le domaine de la protection de la vie privée, chaque norme a son pendant :
- ISO 29100 (Privacy Framework article précédent )pour un framework
- ISO 29134 (Privacy Impact Assessment article précédent ) comme méthodologie pour l'évaluation des risques
- en option ISO 29151 (Code of Practice PII Protection) comme meilleure pratique pour le choix des contrôles
ISO 27701:2019 fait désormais le lien entre les deux mondes : Les exigences de la norme ISO 27001 sont étendues et le cadre de protection de la vie privée ainsi que les PIA font également partie du cycle PDCA. L'extension à d'autres contrôles en fait également partie. Il est ainsi possible d'étendre son propre Statement of Applicability (SoA) aux aspects relatifs à la protection de la vie privée.
Selon le domaine thématique, il existe encore d'autres normes qui expliquent les meilleures pratiques :
- ISO 29151 peut être considérée comme optionnelle - les compléments apportés dans ISO 27701 suffisent pour commencer. La norme ISO 29151 sera intéressante plus tard pour augmenter le niveau de détail.
- La norme ISO 27018 est spécifiquement conçue pour tous ceux qui utilisent un service cloud en tant que processeur PII et qui doivent choisir les mesures de protection correspondantes. Cela peut également constituer une aide ultérieure pour augmenter le niveau de détail.
- ISO 29101 convient aux développeurs et aux architectes de logiciels qui souhaitent approfondir la construction d'un cadre d'architecture de protection de la vie privée - parce qu'ils développent eux-mêmes des logiciels de traitement des IIP, par exemple.
Mise en œuvre - pour les nouveaux venus dans le domaine etsans ISMS existant
Si l'on débute dans le domaine et que l'on ne dispose pas encore d'un ISMS, il est préférable d'oublier la plupart des normes et de se concentrer dans un premier temps sur les normes ISO 29100 et ISO 29134 présentées dans les articles précédents. En effet, si l'on souhaite parvenir rapidement à un état acceptable, on commence par mettre en œuvre dans un environnement les réflexions du cadre de la protection de la vie privée ISO et par effectuer les premiers PIA sur les processus et les systèmes importants.
Les risques sont ainsi identifiés et les meilleures pratiques appliquées. Afin de faire le lien avec la SI, il convient de vérifier quels risques identifiés dans le PIA sont déjà traités par des mesures. Il manque bien sûr la formalité qu'impliquerait un système de gestion, mais il est toujours préférable de commencer de manière simplifiée que de ne pas commencer du tout. La preuve de l'utilité de ces premières activités peut également justifier le budget nécessaire à une formalisation plus poussée.
moyen ou long terme, l'objectif peut être de formaliser la sélection des contrôles à l'aide de l'annexe A de la norme ISO 27001, de créer et de tenir à jour un inventaire structuré des mesures de protection des SI, de l'informatique et de la vie privée et de maintenir la protection à un niveau constant sur la base des PIA. Il ne s'agit toujours pas d'un ISMS, mais cela peut représenter une nette amélioration de la maturité par rapport à la situation actuelle.
Pour toutes les entreprises qui, en raison d'exigences légales ou réglementaires, sont soumises à une forte pression pour démontrer un haut degré de maturité et fournir des preuves, un démarrage rapide n'est toutefois pas la bonne solution. Il convient alors d'établir dès le début une planification de projet pour la mise en place d'un ISMS et d'un PIMS et de déterminer ce qui doit être mis en œuvre et dans quel ordre.
Mise en œuvre - pour les nouveaux venus dans le domaine etavec un ISMS existant
Ceux qui disposent déjà d'un ISMS peuvent l'étendre et commencer à intégrer les principes du Privacy Framework dans leur travail quotidien via la norme ISO 27701. La formation du personnel aux principes de l'ISO 29100 et à l'évaluation selon l'ISO 29134 devrait représenter l'effort le plus important.
Il faut également tenir compte de l'extension des processus propres au PIA. Par exemple, dans le cadre de la gestion du changement, il est nécessaire non seulement de comparer le changement à discuter avec les risques identifiés des SI, mais aussi de le comparer avec le PIA.
Dès que l'entreprise a réalisé un premier PIA des services critiques, il est possible de procéder à une comparaison avec les contrôles et de compléter la déclaration d'applicabilité (SoA). Dans un premier temps, il suffit d'utiliser les contrôles complémentaires des annexes A et B de la norme ISO 27701 et de vérifier ultérieurement si l'on souhaite augmenter le niveau de détail avec les normes ISO 29151, 29101 ou 27018 - à moins que la protection de la vie privée ne joue un rôle si important pour l'entreprise et ses clients qu'une approche détaillée se justifie dès le départ.
Rôles pertinents
ISO 27701 exige désormais d'une part de définir unData Protection Officer, mais aussi d'offrir aux PII Principals un point de contact pour les demandes concernant le traitement de leurs données.
LeData Protection Officer joue un rôle similaire à celui duCISO: il doit être indépendant, connaître les exigences légales, réglementaires et autres et avoir reçu les compétences nécessaires de la part de la direction. Cela peut avoir pour conséquence qu'une personne de plus sera impliquée dans de nombreux projets de l'entreprise - outre leCISO, leDPO. Pour les chefs de projet, il peut parfois être désagréable de voir une personne supplémentaire siéger dans le comité d'experts - mais cela est indispensable dans l'optique d'une protection forte des données.
Ladirection de l'entreprise joue également un rôle important : ce qui est la politique de sécurité de l'information dans le cadre du SMSI devient la "politique de sécurité et de confidentialité de l'information" lors de la mise en œuvre de la norme ISO 27701. En outre, il est parfois nécessaire d'adapter les politiques à d'autres endroits. Un engagement du management est donc indispensable et la direction doit jouer un rôle de modèle en la matière.
Lien avec le RGPD et d'autres lois
Quiconque suit la voie de l'ISO 27701 et procède à une extension de son SMSI sera en mesure à l'avenir de cartographier son propre SoA et son PIA par rapport aux paragraphes du RGPD. Comme le montre le tableau suivant, un principe de protection de la vie privée issu de la norme ISO 29100 et un contrôle ISO 27701 représentent chacun une référence à un ou plusieurs paragraphes du RGPD.
Le PIA permet de montrer dans quelle mesure certains services sont sélectivement conformes aux dispositions du RGPD ; un SoA permet quant à lui de montrer comment l'ensemble de l'entreprise est conforme au RGPD.
De la même manière, il est possible d'effectuer des mappings avec d'autres lois, par exemple la LPD suisse.
Indépendamment d'un tel mappage, les rapports du PIA, dans la mesure où ils sont établis et consultables pour les services stratégiquement importants de l'entreprise, constituent déjà à eux seuls une bonne documentation pour un audit. Dans la mesure où ils sont préparés en conséquence, ils conviennent également bien pour montrer au client le niveau de protection de ses données.
Pourquoi est-ce important ?
Il est important de comprendre qu'aucun des standards ne sera à lui seul la solution pour atteindre un niveau de maturité très élevé et documenter de manière structurée et compréhensible le respect d'un RGPD. Pour cela, il faut placer les différents composants au bon endroit et les faire interagir.
Ceux qui ont déjà de l'expérience dans l'entretien d'un ISMS devront apprendre les concepts nouveaux pour eux du Privacy Framework et du PIA et seront ensuite assez rapidement en mesure de faire évoluer leur ISMS vers un PIMS. Un environnement déjà fortement formalisé avec une maturité élevée est très facilement extensible.
Celui qui n'a pas encore de SMSI n'est pas encore perdu - la question qui se pose ici est de savoir ce qu'il faut atteindre. Il n'est parfois pas faux de ne s'occuper que du Privacy Framework et du PIA, avec beaucoup de retenue, et de ne développer le formalisme que plus tard. Une entrée en matière simplifiée ne donne toutefois que des résultats simplifiés et toute personne soumise à une pression extérieure devrait réfléchir précisément à ce qu'elle doit faire. Dans le cadre de nos services de conseil, Swiss Post Cybersecurity vous aide à concevoir et à mettre en œuvre la solution adéquate.
Face à la quantité de normes ISO relatives au Privacy Framework, il est facile de perdre la vue d'ensemble. Ce tableau, qui est également utilisé lors des entretiens de conseil de Swiss Post Cybersecurity, doit vous aider à vous y retrouver dans la jungle ISO.
