ISO 27701 est l’extension sur la vie privée de la norme mondialement reconnue ISO/CEI 27001 relative aux systèmes de management de la sécurité de l’information. Elle fournit une orientation en matière de gestion des informations confidentielles et permet aux organisations de témoigner de la façon dont elles satisfont au règlement général sur la protection des données (RGPD). La norme fournit un cadre au traitement d’informations personnelles identifiables (PII) et aide les contrôleurs et processeurs de PII à satisfaire aux exigences des clients en matière de vie privée.
Rob Acker, responsable technique chez LRQA fournit des explications : « Alors que la norme ISO/CEI 27701 est une extension d’ISO/CEI 27001, il est important de la considérer comme une gestion des risques étendue plutôt que comme de simples contrôles supplémentaires. Bien que la norme ISO/CEI 27001 constitue un bon point de départ, l’extension d’un système de management de la sécurité de l’information intégrant la vie privée améliore sa portée. »
Selon l’enquête mondiale sur la vie privée des consommateurs réalisée par EY en 2020, 63 % des consommateurs estiment que la collecte de données et les pratiques de stockage d’une organisation constituent les facteurs les plus importants lorsqu’ils partagent des informations sensibles avec cette organisation.
Monsieur Acker ajoute : « Quel que soit le cas de figure, le traitement des PII doit être pris en charge dans toutes les organisations, mais le volume et les types de données gagnent en ampleur et évoluent au gré de l’économie numérique. Ainsi, l’atténuation des risques liés au traitement de l’information est essentielle. C’est d’autant plus important qu’une violation de données peut avoir un impact considérable et nuire gravement à l’image de l’organisation. »
En collaborant avec des auditeurs expérimentés, les organisations sont amenées à remettre en cause leur façon de gérer les PII et à se remettre en question pour s’assurer que les processus mis en place sont adéquats.
« La confiance est essentielle lorsqu’on interagit avec des clients. La clé est donc de leur fournir une raison de confier leurs informations à caractère personnel à une organisation », souligne monsieur Acker. « Il est essentiel que les contrôleurs et processeurs de PII comprennent leurs rôle et responsabilités afin que chacun sache qui est responsable. Alors que nous évoluons vers une économie de services, les partenariats tout au long de la chaîne d’approvisionnement deviendront un maillon essentiel, ce qui signifie que la coopération entre organisations est indispensable. »