Certification ISO 27701

Comment assurer la protection des données personnelles ?

Les consommateurs exigent des entreprises une plus grande transparence sur les données qu'elles collectent. L’inquiétude grandit : comment les entreprises récupèrent, utilisent et protègent ces données.
En réponse à la pression du public, des réglementations ambitieuses sont mises en oeuvre pour garantir la confidentialité et la sécurité des informations privées : le Règlement Général sur la Protection des Données (RGPD) au sein de l'Union européenne, la Loi générale sur la protection des données (LGPD) au  Brésil et la California Consumer Privacy Act (CCPA) en Californie.

Pour aider les organisations à gérer les données personnelles conformément aux attentes des consommateurs et aux exigences réglementaires de plus en plus strictes, Bureau Veritas propose la certification ISO 27701. 

la norme ISO 27701 : la sécurité du traItement des données personnelles

Il s’agît d’une norme internationale qui décrit la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données personnelles, en prolongeant deux normes bien connues en sécurité informatique.
En effet la norme ISO 27701, publiée en août 2019, se base sur deux normes ISO :

• l’ISO 27001, qui certifie un système de management de la sécurité de l'information ;
• l’ISO 27002, qui détaille les bonnes pratiques pour la mise en œuvre des mesures de sécurité nécessaires.

L'ISO 27701 s'appuie sur le système de management de la sécurité de l’information (ISO 27001). La norme précise :

• les particularités des traitements de données personnelles
• le rôle de l’organisme : responsable de traitement, sous-traitant, sous-traitant de sous-traitant.

Cibler la conformité aux exigences réglementaires RGPD

Les principes et exigences énoncés dans l'ISO 27701 s'alignent sur les principes énoncés dans les récentes législations sur la protection des données en Europe et dans le monde. La mise en œuvre d'un système de gestion pour le traitement des données personnelles ISO 27701 aide les organisations à démontrer leur conformité à aux attentes réglementaires ou de cahiers des charges privés.

La proximité de la norme avec le RGPD est ainsi matérialisée par une annexe dédiée, qui établit la correspondance entre les articles de la norme et ceux du RGPD. Et la mise en place d’un système de management, avec la gestion et la documentation de la protection des données, répond au principe général de responsabilité (accountability) du RGPD.

Instaurer de la confiance avec les parties prenantes internes et externes

L’ISO 27701 exige qu'une organisation produise régulièrement de la documentation sur la façon dont elle traite les données personnelles et les protège contre les violations. La transparence de la gouvernance des données de votre entreprise offre une garantie aux consommateurs, aux employés, aux investisseurs, aux clients et aux gouvernements : vous préservez la confidentialité de leurs données.