La conformité n’est pas une fin en soi : elle doit servir les objectifs de votre organisation. Mobiliser les équipes et trouver les ressources pour un projet de certification ne peut se faire que face à un objectif plus large que le simple fait de « cocher les cases ». C’est ce qui s’est passé chez Médiamétrie, qui a lancé en 2021 un projet de certification ISO 27701 (la norme ISO 27701 porte sur la protection des données à caractère personnel), avec le concours des équipes Cyberconformité d’Advens. La certification est prévue pour le second trimestre 2023.
Sécuriser les données, et en particulier les données à caractère personnel, est l’un des objectifs évidents du RSSI. Y parvenir est le fruit d’un travail de longue haleine, qui concerne toutes les parties prenantes d’une organisation. Comment faire de la protection des données un projet d’entreprise? Comment réussir une certification ISO 27701 ?
Le projet a été motivé, en premier lieu, par la sensibilité croissante de Médiamétrie face à la protection des données à caractère personnel, phénomène amplifié par l’entrée en vigueur du RGPD en 2018. La confiance des particuliers envers l’organisation est un prérequis incontournable, explique Arnaud Philippe.
« La protection des données a toujours été une priorité chez Médiamétrie, bien avant le RGPD : Médiamétrie ne peut remplir sa mission que si des individus et des foyers acceptent de partager quelques-unes de leurs données. »
Le second facteur est davantage tourné vers l’organisation. Médiamétrie a défini un nouveau plan stratégique, qui contient notamment un axe relatif à la privacy. « En tant que tiers de confiance, il nous semble indispensable de donner à nos parties prenantes, et à tout l’écosystème média, des gages quant à notre manière de traiter les données à caractère personnel ; c’est une démarche volontaire, qui n’a été imposée par personne. » Enfin, « le RGPD est un texte riche, mais pas toujours simple à appréhender ! La norme 27701 a le mérite d’apporter du concret. Elle fixe un cadre pour avancer sur le sujet de la privacy. »
Pour cela, ne négligez pas la motivation managériale, purement interne, mais fondamentale pour réussir le projet. La certification permet la reconnaissance de la qualité des équipes et « démontre concrètement que leur travail a du sens et est pertinent. »
Pourquoi un projet de certification ISO 27701 ?
La norme ISO 27701 est une norme de la célèbre famille « ISO 27000 » et porte sur la protection des données personnelles. C’est une extension d’ISO/IEC 27001 et ISO/IEC 27002 au management de la protection de la vie privée. Elle est certifiante et s’appuie sur les piliers de la 27001, c’est-à-dire la gestion des risques, l’engagement de la direction, l’approche processus et l’amélioration continue.
En pratique, elle introduit la notion de PIMS : Privacy Information Management System – la déclinaison du SMSI à la protection des données personnelles. Ce système de management se focalise donc sur la privacy, en reprenant les principes du “Plan Do Check Act” et en s’appuyant sur les mesures de sécurité issues de la 27001 ; le tout est complété par des mesures propres à cette norme.
Responsabilité des parties prenantes, sensibilisation des équipes, gestion des violations, security et privacy “by design”, gestion des tiers et des contrats et veille juridique : tout est prévu pour imbriquer sécurité et protection des données personnelles – dans le but simple de protéger la vie privée des individus.
À l’image de la 27001, la norme ISO 27701 est certifiante. Votre organisation peut donc formaliser, par la certification, le respect de ces exigences relatives à la privacy.
Les leçons apprises
Au démarrage, il faut s’organiser et prendre du recul sur les pratiques internes en matière de traitement de données. Il faut également se préparer à démontrer le respect des exigences de la norme. C’est essentiel pour structurer les travaux. Le projet de certification est une occasion de mesurer l’efficacité des mesures de protection mises en place au titre du RGPD. Il faut accepter d’être évalué, d’abord en interne via un audit à blanc, puis en externe par l’organisme certificateur.
Pour réussir la mise en place des mesures, un mot d’ordre : accompagner ! Toutes les organisations ont mis en place des démarches pour le RGPD. Mais tous les collaborateurs n’ont pas été impliqués de la même façon.
« Le projet de certification ISO 27701 est une opportunité d’impliquer toutes les parties prenantes, et avec un objectif commun ! »
Arnaud Philippe le précise à propos des fonctions support, comme les équipes
RH : “Elles avaient été impliquées pour la protection des données collaborateurs, désormais elles sont impliquées pour la protection des données métier, ce qui a convaincu le DRH d’engager ses équipes dans le projet.”
Les équipes Advens et Médiamétrie se sont retrouvées sur un point : un projet
de certification est une démarche d’entreprise. Et la norme 27701 permet de renforcer l’implication de chacun en matière de protection des données à caractère personnel.
Selon Arnaud Philippe, le projet démontre la nécessité de faire front commun dans la protection des données : “Ça n’est pas qu’une question de DSI, c’est bien l’engagement de toutes les équipes et la transversalité qui nous permettront d’aller jusqu’au bout du projet !” Et s’il fallait une dernière raison pour s’en convaincre ? C’est une occasion en or pour que RSSI et DPO travaillent de concert !
Article initialement paru dans Cyberun