Correspondance entre le RGPD et l'ISO 27001 : L'ISO 27001 est-elle suffisante pour la conformité au RGPD ?

Le RGPD et l'ISO 27001 sont deux normes de conformité importantes qui ont beaucoup en commun. Les deux visent à renforcer la sécurité des données et à réduire le risque de violations de données, et exigent tous deux que les organisations garantissent la confidentialité, l'intégrité et la disponibilité des données sensibles. L'ISO 27001 est l'une des normes de meilleures pratiques les plus détaillées, et en fait, l'article 24 du RGPD précise que l'adhésion à des codes de conduite et à des certifications approuvées, comme l'ISO 27001, peut être utilisée comme élément pour démontrer la conformité. Pas étonnant que j'entende souvent des questions telles que, « Suis-je entièrement conforme au RGPD si je suis déjà certifié ISO 27001 ? »

Cependant, le RGPD a une portée bien plus large et une compréhension plus fondamentale de la sécurité des données et de la vie privée. Dans cet article de blog, je vais répondre à plusieurs questions fréquemment posées sur l'ISO 27001 et le RGPD, afin que vous puissiez mieux comprendre les similitudes et les différences entre ces normes, et décider comment vous pourriez utiliser le cadre de l'ISO 27001 pour réussir les audits de GDPR compliance :

• Qu'est-ce que le GDPR ?
• Qu'est-ce que l'ISO 27001 ?
• Quelles sont les similitudes entre ISO 27001 et GDPR ?
• La conformité à l'ISO 27001 garantit-elle le respect du RGPD ?

Qu'est-ce que le GDPR ?

The General Data Protection Regulation (GDPR) is a compliance standard that aims to strengthen data protection; it applies to all organizations — inside or outside the EU — that store or process the personal data of EU residents. The standard will come into force on May 25, 2018, and it is already changing the way companies handle data protection. The GDPR broadens the rights of individuals with respect to their personal data, mandates new approaches (e.g., data protection by design and by default) and involves large penalties for violations.

Les exigences les plus critiques du RGPD incluent :

1. Champ d'application plus large des données nécessitant une protection

Le RGPD protège un large ensemble de données, incluant non seulement des informations personnelles telles que les noms, les identifiants et les numéros de Sécurité sociale, mais aussi des données médicales, biométriques, des opinions politiques et plus encore (Articles 5–11).

2. Consentement explicite requis pour l'utilisation des données

L'article 6 du RGPD exige que les organisations obtiennent un consentement explicite pour la collecte et l'utilisation des données des individus. Pour répondre à cette exigence, les organisations doivent conserver des preuves documentées que le consentement a été donné et prouver que toutes les demandes de consentement sont claires et concises.

3. Droits étendus des sujets de données

Le chapitre 3 fournit une longue liste de règles pour aider les individus à mieux contrôler leurs données. Les résidents de l'UE auront le droit d'obtenir des informations sur le fait que leurs données personnelles soient traitées (Article 15), de transférer facilement leurs données entre les fournisseurs de services (Article 20) et de s'opposer au traitement de leurs données (Article 21). L'une des exigences les plus importantes du RGPD est le “droit à l'oubli” (Article 17), qui permet aux individus de contraindre les entreprises à effacer leurs données de tous les systèmes. Le RGPD est sans doute la seule norme de conformité qui donne le pouvoir aux consommateurs et place leurs intérêts au-dessus de ceux des organisations, et les entreprises qui se préparent pour le RGPD voient déjà la différence :

Kyle Reyes, Administrateur des systèmes d'infrastructure, Midland Information Resources

4. Amendes énormes pour non-conformité

Fines for compliance failures are 2–4% of the company’s annual worldwide turnover or €10-20 million, whichever is higher. The most serious violations include accidental destruction, loss, change or transmission of personal data, as well as failure to demonstrate explicit consent for data processing (Articles 83–84).

5. Règles strictes de notification en cas de violation de données

Selon l'Article 33, les responsables du traitement des données doivent signaler les violations de données aux autorités de contrôle dans les 72 heures suivant leur découverte. Si une entreprise ne le fait pas, elle doit fournir des motifs valables pour le retard. Cela représente nettement moins de temps que ce qui est requis par toute norme de conformité américaine (telle que HIPAA ou SOX).

Qu'est-ce que l'ISO 27001 ?

ISO 27001 (formellement connue sous le nom d'ISO/IEC 27001:2013) est une norme internationale de sécurité de l'information qui fournit des exigences pour la mise en œuvre, le maintien et l'amélioration d'un système de gestion de la sécurité de l'information (ISMS). Un ISMS est un cadre de politiques et de procédures qui comprend les contrôles juridiques, techniques et physiques impliqués dans les processus de IT risk management d'une entreprise. Les facteurs qui affectent la mise en œuvre de l'ISMS incluent les objectifs de l'organisation, les exigences de sécurité, la taille et la structure.

Suivre les meilleures pratiques de l'ISO 27001 aide les organisations à faire face aux risques de sécurité, à protéger les données sensibles et à identifier la portée et les limites de leurs programmes de sécurité. La norme s'applique à un large éventail d'organisations, telles que les entreprises, les groupes gouvernementaux, les institutions académiques et les organisations à but non lucratif.

Les exigences les plus critiques de l'ISO 27001 incluent :

1. Gestion des actifs

Les organisations doivent atteindre et maintenir une protection appropriée des actifs organisationnels, ce qui signifie qu'elles doivent identifier leurs actifs et documenter les règles d'utilisation acceptable de l'information (Contrôles A.8). De plus, toutes les informations doivent être classifiées en termes de valeur, d'exigences légales, de sensibilité et de criticité pour l'organisation.

2. Sécurité opérationnelle

Cet ensemble important de contrôles décrit les procédures opérationnelles de base et les responsabilités, telles que la séparation des environnements de développement, de test et d'exploitation ; la gestion des changements ; et la documentation des procédures opérationnelles (A.12).

3. Contrôle d'accès

Cette famille de contrôles (A.9) fournit des directives pour contrôler l'utilisation des données au sein de l'organisation et prévenir l'accès non autorisé aux systèmes d'exploitation, services en réseau, installations de traitement de l'information, etc. Cela implique des règles pour la gestion des accès utilisateurs, la gestion des droits d'accès privilégiés, les responsabilités des utilisateurs, et le contrôle d'accès aux systèmes et applications.

4. Gestion des incidents de sécurité de l'information

La famille de contrôles A.16 décrit les règles pour le signalement des événements et des faiblesses de sécurité informatique, la gestion des incidents de sécurité informatique et l'amélioration de ces processus. Les organisations doivent s'assurer que les incidents de sécurité sont communiqués d'une manière qui permet une réponse rapide et efficace.

5. Sécurité des ressources humaines

La famille de contrôles A.7 exige que les organisations s'assurent que les employés et les contractants sont conscients de leurs responsabilités en matière de sécurité de l'information et les respectent. Les organisations doivent fournir aux membres du personnel une formation à la sensibilisation et prendre des mesures disciplinaires formelles contre les employés qui commettent une violation de la sécurité de l'information.

6. Continuité des affaires

Cet ensemble de contrôles (A.17) décrit les aspects de la sécurité de l'information liés à la gestion de la continuité des activités. Les organisations doivent déterminer les exigences pour la continuité de la gestion de la sécurité de l'information dans des situations défavorables, documenter et maintenir les contrôles de sécurité pour assurer le niveau de continuité requis, et vérifier régulièrement ces contrôles.

Corrélation entre l'ISO 27001 et le RGPD : Quelles sont les similitudes ?

Il existe de nombreux domaines où l'ISO 27001 et le RGPD se recoupent. La plupart d'entre eux sont liés à la sécurité de l'information : l'ISO 27001 spécifie des règles similaires pour la protection des données à celles décrites dans les articles 5, 24, 25, 28, 30 et 32 du RGPD. Voici juste quelques points qui correspondent dans les deux normes :

Confidentialité, disponibilité et intégrité des données

L'article 5 du RGPD spécifie les principes généraux pour le traitement des données, tels que la protection contre le « traitement non autorisé ou illégal, la perte accidentelle, la destruction ou les dommages. » Des directives plus détaillées sont données dans l'article 32, qui précise que les organisations sont tenues de mettre en œuvre, d'exploiter et de maintenir des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, telles que le chiffrement, la résilience des systèmes et services de traitement, la capacité de restaurer la disponibilité des données personnelles en temps opportun, et plus encore.

De même, plusieurs contrôles dans l'ISO 27001 visent à aider les organisations à assurer la confidentialité, la disponibilité et l'intégrité des données. À partir de l'article 4, l'ISO 27001 exige des organisations qu'elles identifient les problèmes internes et externes susceptibles d'affecter leurs programmes de sécurité. L'article 6 les oblige à déterminer leurs objectifs de sécurité informatique et à créer un programme de sécurité qui les aidera à atteindre ces objectifs. L'article 8 établit des normes pour le maintien continu du programme de sécurité et exige des organisations qu'elles documentent leur programme de sécurité pour démontrer la conformité réglementaire.

Évaluation des risques

L'ISO 27001 et le RGPD exigent une approche basée sur le risque pour la sécurité des données. L'article 35 du RGPD oblige les entreprises à réaliser des évaluations d'impact sur la protection des données pour évaluer et identifier les risques pour les données des individus. Cette évaluation des risques RGPD est obligatoire avant d'entreprendre des traitements à haut risque, tels que la surveillance systématique de données extrêmement sensibles.

L'ISO 27001 recommande également aux organisations de réaliser une évaluation approfondie des risques afin d'identifier les menaces et les vulnérabilités susceptibles d'affecter leurs actifs (Article 6.1.2), et de sélectionner les mesures de sécurité de l'information appropriées en fonction des résultats de cette évaluation des risques (Article 6.1.3).

Gestion des fournisseurs

Clause 8 of ISO 27001 requires organizations to identify which processing actions are outsourced and ensure that they are able to keep those actions under control. Clause A.15 provides specific guidance on supplier relationships and requires organizations to monitor and review supplier service delivery.

Similar issues are covered in Article 28 of the GDPR, which requires data controllers to secure contractual terms and assurances from processors, creating a “data processing agreement.”

Breach notification

According to Articles 33–34 of the GDPR, companies have to notify authorities within 72 hours after discovery of a breach of personal data. Data subjects also have to be notified without undue delay, but only if the data poses a “high risk to data subjects’ rights and freedom.”

Clause A.16 of ISO 27001, which addresses information security incident management controls, does not specify an exact timeframe for data breach notification, but it does say that organizations have to report security incidents promptly and communicate these events in a manner that enables “timely corrective action to be taken.”

Data protection by design and by default

Article 25 of the GDPR says that companies need to implement technical and organizational measures during the design stage of all projects so they can ensure data privacy right from the start (“data protection by design”). Moreover, organizations should protect data privacy by default and ensure that only information that is necessary for each specific purpose of the processing is used (“data protection by default”).

In ISO 27001, similar requirements are outlined in Clauses 4 and 6. Clause 4 requires organizations to understand the scope and context of data that they collect and process, while Clause 6 recommends they perform regular security risk assessments to ensure the effectiveness of their security management program.

Record keeping

Article 30 of the GDPR requires organizations to maintain records of their processing activities, including the categories of data, the purpose of processing, and a general description of the relevant technical and organizational security measures.

Similarly, ISO 27001 says that organizations must document their security processes, as well as the results of their security risk assessments and risk treatment (Clause 8). According to Control A.8, information assets must be inventoried and classified, asset owners must be assigned and procedures for acceptable data use must be defined.

Does compliance with ISO 27001 guarantee GDPR compliance?

As you can see, certification with ISO 27001 can simplify the process of achieving GDPR compliance. However, there are several differences between these standards. GDPR is a global standard that provides a strategic vision of how organizations need to ensure data privacy. ISO 27001 is a set of best practices with a narrow focus on information security; it provides practical advice on how to protect information and reduce cyber threats. Unlike the GDPR, it does not directly cover the following issues associated with data privacy, which are outlined in Chapter 3 of the GDPR (Data Subject Rights):

• Consent — Data controllers have to prove that data subjects have agreed to the processing their personal data (Articles 7 and 8). The request for consent must be given in an easily accessible form, with the purpose for data processing attached. Data subjects also have the right to withdraw their consent at any time.
• Data portability — Individuals have the right to obtain and reuse their personal data for their own purposes across different services, as well as transmit that data to another controller without hindrance to usability (Article 20).
• The right to be forgotten — Individuals have the right to have their personal data erased or stop further dissemination of it without delay (Article 17).
• The right to restriction of processing — Individuals have the right to limit the way an organization uses their personal data if the data has been unlawfully processed or the individual contests the accuracy of the data (Article 18).
• Right to object — Data subjects have the right to object to data processing for direct marketing, performance of legal tasks, or research purposes and statistics (Article 21).
• International transfers of personal data — Organizations have to ensure that international data transfers are carried out in accordance with rules approved by the European Commission (Article 46).

In a nutshell

As we can see, the GDPR focuses on data privacy and the protection of personal information; it requires organizations to put more effort into obtaining explicit consent for data collection and ensuring that all data is processed lawfully. However, it lacks technical details on how to maintain an appropriate level of data security or mitigate internal and external threats. In this regard, ISO 27001 comes in handy: It provides practical on how to develop clear, comprehensive policies to minimize security risks that might lead to security incidents.

Although conforming to ISO 27001 does not guarantee GDPR compliance, it is a valuable step. Organizations should consider pursuing ISO 27001 certification to ensure their security measures are strong enough to protect sensitive data.