Le RGPD – Comment une organisation peut-elle se certifier?
Depuis 2018, toutes les organisations qui entreposent ou qui gèrent des données personnelles de citoyens européens sont sujettes au Règlement Général sur la Protection des Données (RGPD).
Que l’organisation soit canadienne, belge ou chinoise, cela ne fait pas de différence.
Les sociétés québécoises se demandent quelquefois si elles sont concernées par le RGPD. Souvent, elles ont des employés européens ou elles ont comme clients des entreprises qui ont à gérer des données personnelles de citoyens de la zone euro. Dans ce genre de situations, ces organisations doivent respecter le RGPD.
L’autre question que les entreprises québécoises se demandent est : Comment pouvons-nous respecter et nous certifier à l’égard du RGPD?
En fait, il n’y a pas de certification formelle à l’égard du RGPD. Les articles 42 et 43 du RGPD définissent certains principes généraux mais aucune norme de certification n’est définie. Quoiqu’en Europe, un certain mythe existe à l’effet que la norme ISO 27001 représente une certaine forme de certification avec le RGPD, ce n’est pas vraiment le cas. La norme ISO 27001 répond à certains volets du RGPD, mais pas à tous. Que faire alors?
Le nouveau cadre ISO 27701 cherche à répondre à cette problématique. Ce nouveau cadre (septembre 2019) se veut un cadre totalement dédié aux questions touchant la vie privée. Cependant, il doit être jumelé au cadre ISO 27001. Donc, une société qui est déjà certifiée ISO 27001 pourrait-elle, en implantant ISO 27701, devenir certifiée pour le RGPD?
Oui, mais en partie seulement. Les autorités responsables du RGPD n’ont défini aucune certification précise. Est-ce que la nouvelle norme ISO 27701 deviendra, de facto, la norme de certification pour le RGPD? Plusieurs personnes ou institutions proches du monde RGPD le croient ou l’espèrent.
En fait, nous sommes ici en présence d’une bataille de normes internationales. Les autorités européennes n’ont pas établi une norme spécifique permettant de prouver, hors de tout doute, que le RGPD a été respecté. Les belligérants sont : Les normes européennes ISO 27001 et 27701 contre la norme américaine SOC 2*.
Peut-on croire que la norme ISO 27701 sera, de facto, considérée par les autorités européennes comme la norme à respecter pour devenir conforme au RGPD? Les paris sont ouverts.
L’expérience avec mes clients nord-américains m’indiquent que trois tendances sont en train de se dessiner :
1) Les sociétés qui ont déjà une certification ISO 27001, voudront certainement la nouvelle certification ISO 27701 pour démontrer qu’ils respectent les différents articles du RGPD;
2) Les sociétés qui ont déjà un rapport SOC 2 voudront rajouter le principe « Privacy » à leur rapport afin de démontrer qu’ils respectent le RGPD. En outre, la norme SOC 2 est un agrégateur de normes, et il sera possible d’utiliser la norme ISO 27701 pour répondre aux objectifs de contrôles du rapport SOC 2 « Privacy »;
3) Ceux qui n’ont pas de certification auront à décider quelle certification est la plus appropriée pour eux. Les sociétés dont les clients sont principalement européens seront certainement attirées par le duo ISO 27701/27701, tandis que ceux dont les clients sont surtout nord-américains seront attirés par les rapports de type SOC 2.
Qu’importe qui sera le gagnant, la gestion des données personnelles devient l'enjeu le plus important et plusieurs entreprises ne pourront l’éviter. Quelle que soit l’approche sélectionnée, le débat est ouvert.
* Service Organization Control (SOC 2)