Devant l’augmentation du nombre de vols de données et la vigilance de chacun sur l’utilisation de ses données, les organisations – entreprises, services publics ou associations – doivent renforcer leur mesure de sécurité.
La norme internationale ISO 27701, RGPD compatible, est un guide indispensable pour prendre en compte les meilleures pratiques de protection des données à caractère personnel.
Éclairage de Kamel GADOUCHE, Directeur du CASD (Centre d’accès sécurisé aux données).
L’ISO 27701, pour protéger les données personnelles
Publiée en 2019, l’ISO 27701 s’appuie sur l’ISO 27001 et l’ISO 27002. Elle précise notamment le champ des responsabilités entre sous-traitants et responsable du traitement, lors de la gestion des données à caractère personnel (DCP).
CASD1 est le premier certifié ISO 27701 avec Bureau Veritas Certification. Son expérience est intéressante. « L’ISO 27701 se focalise sur les DCP (donnée à caractère personnel) ; la gestion des données personnelles est au cœur de notre métier. En effet, nous disposons des informations issues des secteurs judicaires, médicaux,... pour les mettre à disposition dans le cadre de recherche ou d’analyse spécifique » explique Kamel Gadouche.
Dans ce contexte, la confidentialité et la sécurité sont au centre des préoccupations. L’intérêt de l’ISO 27701 est de servir de garantie à ses partenaires et à leur DPO. Conséquence : les délais de contractualisation diminuent. Autre aspect : la CNIL encourage le développement de cette norme qui répond aux objectifs de protection des droits des personnes et de reconnaissance internationale.
Certification et confiance en la sécurité et la protection des données
CASD est aujourd’hui certifié ISO 27001, ISO 27701 et hébergeur de données de santé (HDS). Cet engagement s’appuie sur deux réflexions.
La notion de confiance :
« Dans notre mode de fonctionnement, nous avons besoin de la confiance des producteurs de données. Pour que cela fonctionne au mieux, il faut évidemment qu’ils aient confiance en notre système de management de la sécurité » rappelle K. GADOUCHE. La certification par un tiers de confiance reconnu internationalement, comme Bureau Veritas Certification permet de rassurer et d’apporter des garanties essentielles, en particulier sur la gouvernance, la prise en compte de la sécurité à tous les niveaux de l’organisation et la formalisation documentaire.
La démarche globale :
Dans notre démarche, nous avons pris ensemble, de manière cohérente, les exigences et mesures des référentiels pertinents pour notre activité. Cela évite les redondances et fait gagner en efficacité dans l’implémentation. Ces normes vont dans le même sens. La norme ISO 27001 est le socle incontournable : l’ISO 27701 vient la compléter pour la dimension « protection des données personnelles », quand la certification HDS traite spécifiquement des exigences sur les données de santé.
Les enjeux sur les données personnelles appellent une réponse adaptée, parfois multi-référentiels comme c’est le cas pour le CASD. Les exigences des clients ou des partenaires s’intensifient sur ces questions de sécurité et de responsabilité autour de la gestion des données. Les certifications encadrent ses réflexions et fixent des exigences partagées au niveau international.
A propos de :
1 : Le CASD est un groupement d’intérêt public ; il rassemble l’État représenté par INSEE, le GENES, le CNRS, l’École polytechnique et HEC Paris.
Ses missions sont les suivantes :
- Dans le public, le CASD met à disposition des données de l’INSEE, des ministères de la Justice, de l’Éducation nationale, de l’Agriculture et de l’alimentation, de l’Economie et des Finances pour les données fiscales.
- Dans le domaine de la santé, l’accès aux données de l’ensemble des séjours hospitaliers publics et privés en France ainsi qu’à certaines cohortes de santé par exemple est réalisé via le CASD.
- Dans le privé, de nombreuses entreprises sont d’ores et déjà partenaires du CASD pour accroître la sécurité de leurs données en accès externe dans le cadre de collaboration avec des chercheurs, des start-up ou des consultants.