Normes ISO et RGPD

Normes ISO et RGPD
Article RGPD

Vous avez sûrement déjà entendu dire que le RGPD était une “nouveauté”. Surtout lors de son entrée en application le 25 mai 2018 : “c’est une nouvelle règlementation, il va tout changer”.

Ce n’est pas entièrement vrai : car si le RGPD a effectivement amené un certain nombre de nouveautés, il ne nous est pas réellement tombé dessus en 2018. Et surtout, il n’a pas été créé à partir de rien. Le RGPD s’inscrit dans une longue évolution juridique dont l’objectif principal est d’amener sécurité et transparence aux personnes concernées par des traitements de données à caractère personnel.

Arrêtons-nous sur ce terme : sécurité.

Le RGPD n’a pas amené de nouveauté concrète sur la sécurité. Si son article 32 nous confirme que cela est bien une obligation, la sécurité a toujours été une nécessité !

En effet, un système d’information (SI) présentant un défaut de sécurité, même mineure, peut très vite devenir handicapant. Car qui dit « incident » dit parfois interruption d’activité.

En parlant de sécurité, une question fréquente est : “Si je suis certifié ISO 27001 ou 27002, est-ce suffisant ?”

Si la question est “est-ce que c’est suffisant pour être conforme au RGPD ?”, la réponse sera toujours non. Le RGPD nous parle de “mesures techniques et organisationnelles” de manière large : il inclut la sécurité classique (mot de passe, cloisonnement, sauvegardes, etc.) mais aussi la sécurité juridique ou encore toutes les mesures permettant de respecter les nouvelles obligations du RGPD.

L’intérêt des normes ISO

Les normes ISO existantes en matière de sécurité sont insuffisantes pour répondre à toutes les obligations du RGPD. Ce n’est pas la ISO 27001 qui vous permettra d’encadrer vos transferts hors Union Européenne par exemple.

Il existe par contre la norme ISO 27701 qui présente un certain intérêt. Publiée en 2019, elle inclut les normes ISO précédemment citées mais va un peu plus loin. La norme prend en compte le RGPD et va même jusqu’à inclure un tableau de correspondances entre articles du RGPD et exigences de la norme.

La CNIL nous avertit

La CNIL nous avertit tout de même : il s’agit d’une norme internationale et en ce sens, elle ne prend pas en compte que le RGPD ! En plus de cela, les normes ISO ne sont pas des “certifications” telles qu’elles sont prévues à l’article 42 du RGPD.

En conclusion, on peut donc indiquer que l’ensemble des normes ISO existantes en matière de sécurité sont intéressantes pour un organisme qui souhaite démontrer qu’il présente un certain niveau de maturité ou qu’il prend bien en compte la sécurité et la protection des données dans ses process.

Pour autant, il ne faut pas l’oublier, ces normes ne font que s’inclure dans la démarche de conformité d’un organisme et dans une obligation essentielle du RGPD : l’accountability.

(L’accountability c’est quoi ? Suivez RGPD Academy sur les réseaux sociaux pour le découvrir !)

Sensibilisez vos équipes au RGPD grâce à nos formations en ligne

Partager l'article

Articles similaires

Les codes de conduite RGPG
Article RGPD

Les codes de conduite RGPG

Démontrez votre conformité au RGPD grâce aux codes de conduite
Lire la suite
La décision d’adéquation #laminuteRGPD
Article RGPD

La décision d’adéquation #laminuteRGPD

RGPD Academy vous propose une définition claire et efficace sur la décision d'adéquation.
Lire la suite