{"id":6879,"date":"2018-12-02T11:00:24","date_gmt":"2018-12-02T10:00:24","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog\/?p=6879"},"modified":"2019-04-29T11:11:23","modified_gmt":"2019-04-29T09:11:23","slug":"smsi-iso-27001-vs-rgpd","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/smsi-iso-27001-vs-rgpd","title":{"rendered":"SMSI certifi\u00e9 ISO 27001 vs conformit\u00e9 RGPD"},"content":{"rendered":"

Quel rapport y a-t-il entre la mise en oeuvre d’un SMSI (syt\u00e8me de management de la s\u00e9curit\u00e9 de l’information) certifi\u00e9 ISO 27001 et la conformit\u00e9 au RGPD? Est-ce une solution pour r\u00e9pondre aux obligations r\u00e9glementaires et l\u00e9gales? J’entends souvent cette question. Essayons-donc de voir quelle relation il peut y avoir entre les deux. Et\u00a0essayons de comprendre en quoi la certification ISO 27001 peut vous aider \u00e0 am\u00e9liorer votre conformit\u00e9.<\/i><\/p>\n

\"ISO
Cr\u00e9dit \u00a9 Adobe Stock<\/figcaption><\/figure>\n

Le RGPD et la norme ISO 27001 ont beaucoup en commun. Tous deux visent \u00e0 renforcer la s\u00e9curit\u00e9 des donn\u00e9es et r\u00e9duire le risque de failles de s\u00e9curit\u00e9. De m\u00eame, tous deux exigent des entreprises qu\u2019elles assurent la confidentialit\u00e9, l\u2019int\u00e9grit\u00e9 et la disponibilit\u00e9 des donn\u00e9es sensibles. ISO 27001 est une norme tr\u00e8s d\u00e9taill\u00e9e en la mati\u00e8re. Le RGPD est une r\u00e9glementation Europ\u00e9enne. Il faut d’ailleurs noter que l\u2019article 24 du RGPD stipule que l\u2019adh\u00e9sion aux codes de conduite et certifications approuv\u00e9es \u2013 comme ISO 27001 \u2013 peut \u00eatre utilis\u00e9e pour d\u00e9montrer la conformit\u00e9.<\/p>\n

D\u2019o\u00f9 la question : \u00ab\u00a0Suis-je conforme au RGPD si j’obtiens la certification ISO 27001 de mon SMSI<\/a> ?\u00a0\u00bb.<\/p>\n

Les similarit\u00e9s entre ISO 27001 et le RGPD<\/h2>\n

Le RGPD<\/a> est un cadre beaucoup plus large avec une couverture plus fondamentale de la s\u00e9curit\u00e9 et de la confidentialit\u00e9 des donn\u00e9es. Toutefois il est n\u00e9cessaire de bien comprendre les similarit\u00e9s et les diff\u00e9rences entre les deux standards pour savoir si un SMSI certifi\u00e9 ISO 27001 peut avoir une utilit\u00e9 pour passer les audits de conformit\u00e9 au RGPD.<\/p>\n

Les deux cadres ont beaucoup de points communs.<\/p>\n

Confidentialit\u00e9, int\u00e9grit\u00e9 et disponibilit\u00e9 des donn\u00e9es<\/h3>\n

L\u2019article 5 du RGPD d\u00e9finit les principes g\u00e9n\u00e9raux pour le traitement des donn\u00e9es, comme la protection contre les traitements non-autoris\u00e9s ou ill\u00e9gaux, les pertes de donn\u00e9es accidentelles, leur destruction ou leur alt\u00e9ration. L\u2019article 32 pr\u00e9cise que les entreprises doivent mettre en place les mesures techniques et organisationnelles pour assurer la s\u00e9curit\u00e9 des donn\u00e9es\u00a0: encryptage, r\u00e9silience des syst\u00e8mes de traitement, capacit\u00e9 de restaurer rapidement la disponibilit\u00e9 des donn\u00e9es personnelles, etc.<\/p>\n

De fa\u00e7on similaire, plusieurs mesures de s\u00e9curit\u00e9 dans ISO 27001 visent \u00e0 aider les entreprises \u00e0 assurer la confidentialit\u00e9, la disponibilit\u00e9 et l\u2019int\u00e9grit\u00e9 des donn\u00e9es. Elles doivent, selon la clause 4, identifier les facteurs internes et externes susceptibles d’impacter leurs programmes de s\u00e9curit\u00e9. La clause 6 leur impose de d\u00e9terminer leurs objectifs de s\u00e9curit\u00e9 des TI et de cr\u00e9er un programme ad hoc. Enfin, La clause 8 d\u00e9finit les exigences pour la maintenance et l’am\u00e9lioration continue de leur programme de s\u00e9curit\u00e9 . Elle leur impose de documenter ce dernier pour d\u00e9montrer leur conformit\u00e9.<\/p>\n

Evaluation des risques<\/h3>\n

RGPD et ISO 27001 exigent tous deux une approche de la s\u00e9curit\u00e9 des donn\u00e9es bas\u00e9e sur les risques. L\u2019article 35 du RGPD impose aux entreprises d\u2019effectuer des \u00e9valuations d\u2019impact sur la protection des donn\u00e9es et d\u2019identifier les risques pour les donn\u00e9es personnelles. Ces \u00e9valuations doivent obligatoirement \u00eatre faites avant tout traitement de donn\u00e9es \u00e0 haut risque. C’est le cas notamment pour les donn\u00e9es sensibles.<\/p>\n

ISO 27001 impose \u00e9galement aux entreprises de faire des \u00e9valuations rigoureuses pour identifier les menaces et les \u00a0vuln\u00e9rabilit\u00e9 pouvant affecter les actifs (clause 6.1.2). Elles doivent ensuite mettre en oeuvre les mesures de s\u00e9curit\u00e9 appropri\u00e9es (clause 6.1.3).<\/p>\n

Gestion des parties int\u00e9ress\u00e9es<\/h3>\n

La clause 8 de l\u2019ISO 27001 demande aux entreprises d\u2019identifier les actions de traitement qui sont externalis\u00e9es et de s\u2019assurer qu\u2019elles restent sous contr\u00f4le. La clause 15 donne des directives sp\u00e9cifiques pour les relations avec les fournisseurs et demande aux entreprises de surveiller et \u00e9valuer le niveau de service des fournisseurs.<\/p>\n

Des enjeux similaires sont couverts par l\u2019article 28 du RGPD, qui exige que les contr\u00f4leurs de donn\u00e9es s\u00e9curisent les termes contractuels et les assurances des processeurs, avec un \u00ab\u00a0accord de traitement des donn\u00e9es\u00a0\u00bb.<\/p>\n

Notification des failles de s\u00e9curit\u00e9<\/h3>\n

En vertu des articles 33 et 34 du RGPD, les entreprises doivent informer l’autorit\u00e9 de contr\u00f4le dans les 72 heures suivant la d\u00e9couverte d\u2019une violation de s\u00e9curit\u00e9 de donn\u00e9es personnelles. Les personnes concern\u00e9es doivent \u00eatre notifi\u00e9s sans d\u00e9lai, mais seulement si les donn\u00e9es repr\u00e9sentent un \u00ab\u00a0risque \u00e9lev\u00e9 pour les droits et libert\u00e9s des personnes concern\u00e9es \u00bb.<\/p>\n

La mesure de s\u00e9curit\u00e9 A.16 de l\u2019ISO 27001 ne sp\u00e9cifie pas de d\u00e9lai pour la notification en cas de faille de s\u00e9curit\u00e9. Cependant, \u00a0elle stipule que les entreprises doivent signaler rapidement tout incident de s\u00e9curit\u00e9 et communiquer de mani\u00e8re \u00e0 permettre une action corrective rapide.<\/p>\n

Protection des informations par d\u00e9faut et d\u00e8s la conception<\/h3>\n

L\u2019article 25 du RGPD stipule que les entreprises doivent mettre en place les mesures techniques et organisationnelles au cours de la phase de conception de tout projet, afin de garantir les droits de confidentialit\u00e9 des donn\u00e9es d\u00e8s le d\u00e9but du projet (\u00ab\u00a0protection des donn\u00e9es d\u00e8s la conception\u00a0\u00bb). De plus, les entreprises doivent prot\u00e9ger la confidentialit\u00e9 des donn\u00e9es par d\u00e9faut. Ceci signifie qu’elle doivent s\u2019assurer que seules les informations n\u00e9cessaires \u00e0 chaque objectif de traitement sont utilis\u00e9es (\u00ab\u00a0protection des donn\u00e9es par d\u00e9faut\u00a0\u00bb). Il s’agit en fait du principe de minimisation des donn\u00e9es.<\/p>\n

Dans ISO 27001, des exigences similaires sont d\u00e9crites dans les clauses 4 et 6. La clause 4 exige que les entreprises comprennent le p\u00e9rim\u00e8tre et le contexte des donn\u00e9es qu\u2019elles collectent et traitent. La clause 6 impose qu\u2019elles effectuent r\u00e9guli\u00e8rement des \u00e9valuations de risque pour garantir l\u2019efficacit\u00e9 de leur programme de gestion de la s\u00e9curit\u00e9.<\/p>\n

Conservation des enregistrements<\/h3>\n

L\u2019article 30 du RGPD exige que les entreprises conservent les historiques de leurs activit\u00e9s de traitement. Ceci inclut la cat\u00e9gorie des donn\u00e9es, la finalit\u00e9 du traitement, et la description g\u00e9n\u00e9rale des mesures de s\u00e9curit\u00e9 techniques et organisationnelles.<\/p>\n

ISO 27001 stipule que les entreprises doivent documenter leurs processus de s\u00e9curit\u00e9. Elles doivent aussi documenter les r\u00e9sultats de leurs \u00e9valuations de risque de s\u00e9curit\u00e9 et de risque de traitement (clause 8). Les informations doivent \u00eatre stock\u00e9es et class\u00e9es, les propri\u00e9taires des donn\u00e9es doivent \u00eatre d\u00e9sign\u00e9s et les proc\u00e9dures pour l\u2019utilisation acceptable des donn\u00e9es doivent \u00eatre d\u00e9finies.<\/p>\n

ISO 27001 et RGPD : est-ce la m\u00eame chose?<\/h2>\n

Comme nous l\u2019avons vu, la certification ISO 27001 peut simplifier le processus de mise en conformit\u00e9 RGPD. Toutefois, il existe des diff\u00e9rences importantes entre les deux cadres. Le RGPD est une r\u00e9glementation europ\u00e9enne \u00e0 laquelle doit se conformer toute organisation publique ou priv\u00e9e. C’est un cadre global qui fournit aux entreprises une vision strat\u00e9gique de la mani\u00e8re dont elles doivent prot\u00e9ger les donn\u00e9es personnelles. ISO 27001 est une norme et les organisation peuvent, \u00e0 leur choix, faire certifier leur SMSI ou pas. C’est un ensemble de bonnes pratiques centr\u00e9es sur la s\u00e9curit\u00e9 des informations.<\/p>\n

Les diff\u00e9rences entre ISO 27001 et le RGPD<\/h3>\n

La norme fournit des conseils pratiques sur la mani\u00e8re de prot\u00e9ger les informations et r\u00e9duire les cyber-menaces. A la diff\u00e9rence du RGPD, elle ne couvre pas directement les enjeux li\u00e9s \u00e0 la confidentialit\u00e9 des donn\u00e9es personnelles (que l\u2019on retrouve dans le chapitre 3 du RGPD portant sur \u00ab\u00a0Les droits des personnes concern\u00e9es \u00bb) :<\/p>\n