Différences entre l’ISO 27701 et l’ISO 27018

Le traitement des informations personnelles n’est pas quelque chose de nouveau aujourd’hui, mais l’utilisation exponentielle qui a lieu en raison de la nécessité d’échanger entre les départements d’une même entreprise ou plus si possible, entre différentes organisations pour une fourniture correcte de services, ainsi que la prolifération de l’utilisation du stockage de ce type d’informations dans le cloud, ce qui rend nécessaire de vérifier que ces informations sont correctement gérées et protégées sous la protection des normes ISO spécifiquement développées à cet effet, telles que ISO 27701 et ISO 27018.

La norme ISO 27701 est une norme de sécurité qui découle de la publication du Règlement général sur la protection des données (RGPD) en 2018 et dont l’objectif est de mettre en œuvre un système de gestion de la confidentialité de l’information (IMMS) pour l’application de politiques et de contrôles qui protègent les données personnelles de l’entreprise conformément à la législation et à la réglementation spécifiques de chaque pays. soit du point de vue d’un Responsable de Traitement, soit d’un Sous-Traitant.

Cette norme exige que les entreprises qui vont être certifiées ISO 27701 soient déjà certifiées ISO 27001, car son objectif est d’aider les entreprises à intégrer un SMSI dans le système de management de la sécurité de l’information (SMSI) actuel d’ISO 27001, qui réduit le risque pour le droit à la vie privée des individus et pour l’organisation en améliorant un système de management de la sécurité des informations existantes. À cette fin, l’ISO 27701 étend les exigences de l’ISO 27001 pour prendre en compte la protection de la vie privée des personnes concernées susceptibles d’être potentiellement affectées par le traitement d’informations personnellement identifiables (ci-après PII), en plus de la sécurité de l’information.

La norme élargit les exigences en matière de protection de l’information des sections 4 à 10 de la norme ISO 27001, en particulier la section 4 sur le contexte organisationnel et la section 6 sur la planification de la gestion des risques, sans prévoir de besoins supplémentaires dans les autres sections. Il étend également les exigences du guide de bonnes pratiques ISO 27002 sur certains contrôles spécifiques, en particulier sur 31*¹ où des conseils supplémentaires pour leur application sont inclus.

En outre, il ajoute également des exigences spécifiques de la SGPI dans les annexes de la norme 27701, plus précisément en A (31 contrôles – Responsable du traitement des PII) et B (18 contrôles – Sous-traitant). Ces contrôles sont divisés en plusieurs blocs :

• Conditions de collecte et de traitement des informations personnelles.
• Obligations vis-à-vis des parties intéressées.
• Privacy dès la conception et confidentialité par défaut.
• Échange, transfert et communication des PII.

La confidentialité est un aspect crucial dans les environnements cloud, c’est pourquoi l’ISO 27018 fournit une base de bonnes pratiques pour la protection des PII dans le cloud pour les organisations qui agissent en tant que sous-traitants de ces informations, c’est-à-dire en tant que « sous-traitants ».

La mise en œuvre de cette norme est liée à la norme 27001, qui sert de base à la spécification des exigences de la norme. En fait, sur la base des contrôles de sécurité définis à l’annexe A des normes ISO 27001, i.e. ISO 27002, la norme ajoute des exigences de sécurité pour les informations personnelles à des contrôles spécifiques. Plus précisément, sur les 114 commandes*¹ proposées par l’ISO 27002, l’ISO 27018 établit des exigences supplémentaires sur 15 des commandes.

Contrairement à l’ISO 27701, elle n’ajoute aucun ajout aux contrôles de l’ISO 27001, c’est-à-dire qu’elle n’a pas d’exigences relatives au système de management en tant que tel.

De plus, l’ISO 27018 établit 25 contrôles divisés en 8 principes de confidentialité des informations suivants, qui établissent un ensemble d’exigences pour la protection des PII dans le cloud :

• Consentement et choix.
• Légitimation et spécification de la finalité.
• Minimisation des données.
• Limitation de l’utilisation, de la conservation et de la divulgation.
• Ouverture, transparence et notification.
• Responsabilité.
• Sécurité de l’information.
• Respect de la vie privée.

ISO 27018 se concentre sur la confidentialité des données dans les environnements cloud, car elle est pertinente pour les entreprises qui agissent en tant que « sous-traitants » et qui traitent des informations personnelles identifiables (PII) dans le cloud. Cette norme établit des contrôles et des lignes directrices spécifiques pour assurer la protection des informations personnelles dans le cloud, en ajoutant des exigences de sécurité supplémentaires aux contrôles déjà établis par l’ISO 27001.

D’autre part, ISO 27701 étend les exigences de confidentialité de l’ISO 27001, dans le but d’aider les organisations, qu’elles soient « responsables du traitement » ou « sous-traitants », à gérer et à protéger les données personnelles de manière plus efficace. Cette norme n’est pas limitée à un environnement cloud spécifique, mais s’applique à toute organisation qui traite des données personnelles, fournissant un cadre pour la mise en œuvre d’un système de gestion de la confidentialité de l’information (IMMS) qui s’intègre au système de gestion de la sécurité de l’information (ISMS) existant.

Chez GlobalSuite Solutions, nous offrons l’aide et le soutien nécessaires à l’adaptation complète de votre organisation à la fois à l’ISO 27701 et à l’ISO 27018, nos experts vous guideront en identifiant vos besoins spécifiques et en vous fournissant les meilleures pratiques en matière de gestion de la vie privée et de protection des données. Notre logiciel GlobalSuite®, quant à lui, facilitera l’automatisation des processus, en offrant une plate-forme intuitive qui vous permettra d’intégrer et de gérer tous vos systèmes de sécurité de l’information et de gestion de la confidentialité de manière efficace et efficiente. De cette façon, nous aidons votre organisation à assurer le respect des normes, en minimisant les risques, en optimisant vos ressources pour vous aider à obtenir les certifications correspondantes.

Contactez-nous dès aujourd’hui et faites passer la sécurité et la confidentialité de vos informations au niveau supérieur !