La norme ISO/CEI 27701 est un complément aux normes ISO/CEI 27001 et ISO/CEI 27002. Elle a été publiée en août 2019, à la suite de la ratification de lois dans différents pays sur la protection des données personnelles (la Loi Informatique et Liberté en France, le RGPD en Union Européenne mais aussi le DPA, Data Protection Act, au Royaume-Uni ou encore le CCPA, California Consumer Protection Act, en Californie, aux États-Unis…).
Cette norme ISO/CEI 27701 a donc pour but la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données à caractère personnel, ainsi que la gestion d’un système de management de la protection de la vie privée (appelé « PIMS » pour Privacy Information Management System) qui se greffe au SMSI. La norme étant éditée par l’ISO et la CEI, cette norme a une portée internationale.
La norme ISO/CEI 27701 est composée de 8 clauses, dont les quatre dernières spécifient les exigences et les extensions supplémentaires à ajouter aux normes ISO/CEI 27001 et 27002.
Elle contient aussi le processus de mise en place d’un PIMS, composés de différentes étapes à respecter pour être certifié conforme.
Même si ces deux référentiels ont un sujet similaire, la conformité à la norme ISO/CEI 27701 n’assure pas la conformité au RGPD, et inversement.
La norme ISO/CEI 27701 a un aspect international, donc plus générique que le RGPD sur le traitement et la protection des données à caractère personnel. Cependant, la mise en place d’un PIMS conforme contribue au respect des articles 42 et 43 du RGPD, sur le principe de responsabilité.
Plus d’informations sur l’article de la CNIL.
La certification Implementer ISO/CEI 27701 s’adressent aux différentes personnes qui supervisent ou gèrent la confidentialité et la gestion de données à caractère personnel, ainsi qu’aux responsables et membres d’une équipe PIMS.
Obtenir cette certification est une garantie de plus pour l’entreprise qui emploient des implementers certifiés, mais également pour leurs clients.
Cette certification peut également complémenter une certification Implementer ISO/CEI 27001 et/ou une certification Délégué·e à la Protection des Données (DPO).