Certification ISO 27018 : garantissez le respect de la protection des informations personnelles
Dans le monde entier, la réglementation tend à protéger de façon de plus en plus stricte les données relatives aux consommateurs. Gare aux entreprises qui, par négligence ou malveillance, feraient fi des directives du législateur ! Elles s’exposent à de lourdes sanctions financières, si lourdes qu’elles pourraient mettre en péril un fournisseur de service Cloud public, par exemple, s’il se trouvait dans le collimateur des autorités.
La certification ISO/IEC 27018 s’adresse aux fournisseurs de Cloud public, agissant comme processeurs de données, qu’elle contraint à des règles strictes de respect de la vie privée des consommateurs.
Certification ISO 27018 : l’assurance du respect scrupuleux de la loi
Que l’on se trouve d’un côté ou de l’autre de l’Atlantique, les exigences légales en matière de détention d’informations personnelles ne sont pas du tout les mêmes. Aux États-Unis, la protection de la vie privée concerne essentiellement les PII (Personal Identifying Informations), ou Informations Personnelles Identifiables (IPI) en français, qui sont de « simples » données d’identification comme :
- Les prénom/nom des personnes
- Leur date de naissance
- Leur numéro de téléphone
- Leur adresse postale
- Leur numéro de Sécurité Sociale
- Leur numéro de passeport
- Leur numéro de Permis de conduire
- Leur numéro de carte bancaire…
En Europe, la loi est beaucoup plus stricte encore puisque le RGPD (Règlement Général sur la Protection des Données) étend la notion d’IIP (ou IPI) à toute information relative à la vie privée, professionnelle ou publique d’un résident de l’UE. Autrement dit, sont concernées par le RGPD :
- Les adresses IP
- Les informations bancaires
- Les adresses électroniques
- Les informations des réseaux sociaux…
Toutes ces informations sont considérées comme ayant un caractère personnel. En Europe, avant d’être autorisée à les stocker, une organisation doit donc solliciter l’autorisation de la personne concernée. Elle doit aussi s’assurer que ces informations sont utilisées dans le contexte (raison, durée) pour lequel elles ont été collectées.
Complémentaire de la certification ISO 27001, relative aux Systèmes de Management de la Sécurité des Informations, l’ISO/IEC 27018 regroupe un grand nombre de bonnes pratiques en matière de protection des données personnelles.
En se prévalant de la norme ISO 27018, l’entreprise garantit un niveau maximum de contrôles dans le domaine de la sécurité des data et dans celui de la protection des données personnelles stockées dans le Cloud.
ISO 27018 : quels bénéfices ?
Cette certification permet aux fournisseurs de services de Cloud computing public de garantir à leurs prospects, clients et partenaires un niveau maximum de contrôles dans le domaine de la sécurité des data et dans celui de la protection des données personnelles qu’ils conservent. En somme, ils les rassurent sur le sujet ô combien sensible du respect de la vie privée.
A l’heure actuelle, tous les grands fournisseurs de Cloud public sont certifiés ISO 27018. En France, certains standards nationaux reprennent les exigences de la certification ISO 27018. C’est le cas, par exemple, de la certification des Hébergeurs de Données de Santé (HDS).
Pour aller plus loin :
- Le Cloud de confiance, un nouveau label pour sécuriser les opérations en ligne
- RGPD : 1 an après l’entrée en vigueur, où en sont les entreprises ?
- RGPD : Le guide pour les Petites et Moyennes Entreprises [guide]