Comment démontrer la conformité à l'article 32 du RGPD

Commentaire technique

L'article 32 du RGPD demande aux organisations d'adopter une approche du traitement des données basée sur les risques qui prend en considération plusieurs variables clés :

• Une évaluation approfondie des risques qui prend en compte la destruction ou l’altération accidentelle ou illégale des données personnelles, l’accès aux données et la manière dont les données sont gérées.
• Rechercher des mesures techniques qui atténuent les risques dans l’ensemble de l’organisation.
• Mettre en œuvre des techniques et des mesures adaptées aux risques le plus susceptible de se produire.
• Codes de conduite qui tiennent l'organisation et les individus qui la composent responsables de leurs actions lors du traitement des données.
• Garantit aux personnes concernées que toute personne interagissant avec leurs données le fait de manière appropriée et licite.

Clause 27701 de la norme ISO 5.2.1 (Comprendre l'organisation et son contexte) et article 32 (3) du RGPD de l'UE

Les organisations doivent se soumettre à un exercice de cartographie répertoriant les facteurs internes et externes liés à la mise en œuvre d'un PIMS.

L'organisation doit être en mesure de comprendre comment elle va atteindre ses objectifs en matière de protection de la vie privée, et tout problème qui fait obstacle à la protection des informations personnelles doit être identifié et résolu.

Avant de tenter d’aborder la protection de la vie privée et de mettre en œuvre des informations personnelles, les organisations doivent d’abord comprendre leurs obligations en tant que contrôleur et/ou sous-traitant unique ou conjoint des informations personnelles.

Ceci comprend :

• Examiner les lois, réglementations ou « décisions judiciaires » en vigueur en matière de protection de la vie privée.
• Tenir compte de l'ensemble unique d'exigences de l'organisation liées au type de produits et de services qu'elle vend, ainsi que des documents, politiques et procédures de gouvernance spécifiques à l'entreprise.
• Tous les facteurs administratifs, y compris la gestion quotidienne de l'entreprise.
• Accords avec des tiers ou contrats de service susceptibles d'avoir un impact sur les informations personnelles et la protection de la vie privée.

Clause 27701 de la norme ISO 5.2.3 (Détermination de la portée du système de gestion de la sécurité de l'information) et article 32 (2) du RGPD de l'UE

L'ISO recommande un exercice de cadrage approfondi, afin que les organisations soient en mesure de produire un PIMS qui, d'une part, répond à ses exigences en matière de protection de la vie privée et, d'autre part, ne s'immisce pas dans des domaines de l'entreprise qui n'ont pas besoin d'attention.

Les organisations doivent établir et documenter :

1. Tout problème externe ou interne, comme indiqué dans la norme ISO 27001 4.1.
2. Exigences de tiers telles que décrites dans la norme ISO 27001 4.2.
3. Comment l'organisation interagit avec elle-même et avec les organismes externes (par exemple, points de contact client, interfaces TIC).

Tous les exercices de cadrage qui planifient la mise en œuvre d'un PIMS doivent inclure une évaluation approfondie des activités de traitement et de stockage des informations personnelles.

ISO 27701, clause 5.2.4 (Système de gestion de la sécurité de l'information) et article 32 (2) du RGPD de l'UE

Les organisations devraient chercher à mettre en œuvre, gérer et optimiser un système de gestion des informations confidentielles (PIMS), conformément aux normes ISO publiées.

ISO 27701, clause 5.4.1.2 (évaluation des risques liés à la sécurité de l'information) et article 32 (1)(b) et 32 ​​(2) du RGPD de l'UE

Les organisations doivent définir et mettre en œuvre un processus d’évaluation des risques en matière de protection de la vie privée qui :

• Comprend des critères d'acceptation des risques, aux fins de la réalisation d'évaluations de la protection de la vie privée.
• Fournit un cadre pour l’analyse comparable de toutes les évaluations de la protection de la vie privée.
• Identifie les risques en matière de protection de la vie privée (et leurs propriétaires).
• Prend en compte les dangers et les risques inhérents à la perte de « confidentialité, disponibilité et intégrité » des informations personnelles.
• Analyse les risques en matière de protection de la vie privée en fonction de trois facteurs :
• Leurs conséquences potentielles.
• La probabilité qu’ils se produisent.
• Leur gravité.
• analyse et priorise les risques identifiés en fonction de leur niveau de risque.

Clause 27701 de la norme ISO 5.4.1.3 (Traitement des risques liés à la sécurité de l'information) et article (32)(1)(b) du RGPD de l'UE

Les organisations doivent rédiger et mettre en œuvre un « processus de traitement des risques » en matière de protection de la vie privée et d’informations personnelles qui :

• Mettre en œuvre un « plan de traitement des risques » en matière de protection de la vie privée.
• Identifie la manière dont un PIMS doit traiter les niveaux de risque individuels, sur la base d'un ensemble de résultats d'évaluation.
• Met en évidence une série de contrôles nécessaires à la mise en œuvre du traitement des risques en matière de protection de la vie privée.
• Faites un renvoi à tous les contrôles identifiés avec la liste complète fournie par l'ISO dans Annexe A de la norme ISO 27001.
• Documenter et justifier l'utilisation de tout contrôle utilisé dans une « Déclaration d'applicabilité » formelle.
• Demandez l'approbation de tous les propriétaires de risques avant de finaliser un plan de traitement des risques liés à la protection de la vie privée qui inclut tout risque « résiduel » de protection de la vie privée et de renseignements personnels.

Clause 27701 de la norme ISO 6.11.1.2 (Sécurité dans les processus de développement et de support) et article 32 (1)(a) du RGPD de l'UE

Les procédures de sécurité des applications doivent être développées parallèlement à des politiques plus larges de protection de la vie privée, généralement via une évaluation des risques structurée qui prend en compte plusieurs variables.

Les exigences de sécurité des applications doivent inclure :

• Les niveaux de confiance inhérents à toutes les entités du réseau (voir ISO 27002 Contrôles 5.17, 8.2 et 8.5).
• La classification des données que l'application est configurée pour traiter (y compris les informations personnelles).
• Toute exigence de séparation.
• Protection contre les attaques internes et externes, et/ou les utilisations malveillantes.
• Toute exigence légale, contractuelle ou réglementaire en vigueur.
• Protection robuste des informations confidentielles.
• Données qui doivent être protégées pendant le transit.
• Toutes les exigences cryptographiques.
• Contrôles d’entrée et de sortie sécurisés.
• Utilisation minimale de champs de saisie sans restriction – en particulier ceux qui ont le potentiel de stocker des données personnelles.
• Le traitement des messages d’erreur, y compris une communication claire des codes d’erreur.

Les services transactionnels qui facilitent le flux de données confidentielles entre l'organisation et une organisation tierce, ou une organisation partenaire, devraient :

1. Établir un niveau de confiance approprié entre les identités organisationnelles.
2. Incluez des mécanismes qui vérifient la confiance entre les identités établies (par exemple, hachage et signatures numériques).
3. Décrivez des procédures robustes qui régissent ce que les employés sont capables de gérer des documents transactionnels clés.
4. Contenir des procédures de gestion des documents et des transactions qui couvrent la confidentialité, l'intégrité, la preuve d'envoi et de réception des documents et transactions clés.
5. Incluez des conseils spécifiques sur la manière de préserver la confidentialité des transactions.

Pour toute application impliquant une commande et/ou un paiement électronique, les organisations doivent :

• Définir des exigences strictes en matière de protection des données de paiement et de commande.
• Vérifiez les informations de paiement avant de passer une commande.
• Stockez en toute sécurité les données transactionnelles et liées à la confidentialité d'une manière inaccessible au public.
• Faites appel à des autorités de confiance lors de la mise en œuvre de signatures numériques, en gardant toujours à l’esprit la protection de la vie privée.

Prise en charge des contrôles ISO 27002

• ISO 27002 5.17
• ISO 27002 8.2
• ISO 27002 8.5

Clause 27701 de la norme ISO 6.12.1.2 (traitement de la sécurité dans les accords avec les fournisseurs) et article 32 (1)(b) du RGPD de l'UE

Lorsqu'elles abordent la sécurité dans les relations avec les fournisseurs, les organisations doivent s'assurer que les deux parties sont conscientes de leurs obligations en matière de sécurité des informations confidentielles, ainsi que celles de l'autre.

Ce faisant, les organisations devraient :

• Proposez une description claire qui détaille les informations de confidentialité auxquelles il faut accéder et comment ces informations seront accessibles.
• Classer les informations de confidentialité auxquelles il faut accéder conformément à un système de classification accepté (voir ISO 27002 Contrôles 5.10, 5.12 et 5.13).
• Tenir dûment compte du propre système de classification des fournisseurs.
• Classez les droits en quatre domaines principaux – légaux, statutaires, réglementaires et contractuels – avec une description détaillée des obligations par domaine.
• Veiller à ce que chaque partie soit tenue d'adopter une série de contrôles qui surveillent, évaluent et gèrent les niveaux de risque pour la sécurité des informations confidentielles.
• Décrivez la nécessité pour le personnel du fournisseur d'adhérer aux normes de sécurité des informations d'une organisation (voir ISO 27002 Contrôle 5.20).
• Faciliter une compréhension claire de ce qui constitue une utilisation à la fois acceptable et inacceptable des informations confidentielles et des actifs physiques et virtuels de l’une ou l’autre partie.
• Adoptez les contrôles d'autorisation requis pour que le personnel du côté fournisseur puisse accéder ou consulter les informations de confidentialité d'une organisation.
• Tenez compte de ce qui se passe en cas de rupture de contrat ou de non-respect des stipulations individuelles.
• Décrivez une procédure de gestion des incidents, y compris la manière dont les événements majeurs sont communiqués.
• Veiller à ce que le personnel reçoive une formation de sensibilisation à la sécurité.
• (Si le fournisseur est autorisé à faire appel à des sous-traitants), ajoutez des exigences pour garantir que les sous-traitants sont alignés sur le même ensemble de normes de sécurité des informations confidentielles que le fournisseur.
• Réfléchissez à la manière dont le personnel des fournisseurs est sélectionné avant d'interagir avec les informations confidentielles.
• Stipuler la nécessité d'attestations de tiers attestant de la capacité du fournisseur à répondre aux exigences de sécurité des informations confidentielles de l'organisation.
• Avoir le droit contractuel d’auditer les procédures d’un fournisseur.
• Exigez des fournisseurs qu’ils fournissent des rapports détaillant l’efficacité de leurs propres processus et procédures.
• Concentrez-vous sur la prise de mesures pour affecter la résolution rapide et complète de tout défaut ou conflit.
• Veiller à ce que les fournisseurs opèrent avec une politique BUDR adéquate, pour protéger l'intégrité et la disponibilité des informations personnelles et des actifs liés à la confidentialité.
• Exiger une politique de gestion des changements côté fournisseur qui informe l’organisation de tout changement susceptible d’avoir un impact sur la protection de la vie privée.
• Mettez en œuvre des contrôles de sécurité physique proportionnels à la sensibilité des données stockées et traitées.
• (Lorsque les données doivent être transférées), demandez aux fournisseurs de garantir que les données et les actifs sont protégés contre la perte, les dommages ou la corruption.
• Décrivez une liste des mesures à prendre par l'une ou l'autre des parties en cas de résiliation.
• Demandez au fournisseur d'expliquer comment il a l'intention de détruire les informations confidentielles après la résiliation, ou si les données ne sont plus nécessaires.
• Prenez des mesures pour garantir une interruption minimale des activités pendant une période de transfert.

Les organisations devraient également maintenir un registre des accords, qui répertorie tous les accords conclus avec d’autres organisations.

Prise en charge des contrôles ISO 27002

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

Clause 27701 de la norme ISO 6.15.2.1 (Examen indépendant de la sécurité de l'information) et article 32 du RGPD de l'UE

Dans cette section, nous parlons des articles 32 (1)(b), 32 (1)(d), 32 (2) du RGPD.

Les organisations devraient développer des processus permettant des examens indépendants de leurs pratiques en matière de sécurité des informations confidentielles, y compris à la fois des politiques spécifiques à un sujet et des politiques générales.

Les examens doivent être effectués par :

• Auditeurs internes.
• Gestionnaires de département indépendants.
• Organismes tiers spécialisés.

Les examens doivent être indépendants et effectués par des personnes ayant une connaissance suffisante des directives en matière de protection de la vie privée et des procédures propres à l'organisation.

Les évaluateurs doivent déterminer si les pratiques de sécurité des informations confidentielles sont conformes aux « objectifs et exigences documentés » de l'organisation.

En plus des examens périodiques structurés, les organisations peuvent être confrontées au besoin de mener des examens ad hoc déclenchés par certains événements, notamment :

• Suite à des modifications des politiques internes, des lois, des directives et des réglementations qui affectent la protection de la vie privée.
• Après des incidents majeurs qui ont eu un impact sur la protection de la vie privée.
• Chaque fois qu'une nouvelle entreprise est créée ou que des changements majeurs sont apportés à l'entreprise actuelle.
• Suite à l’adoption d’un nouveau produit ou service traitant de quelque manière que ce soit de la protection de la vie privée.

Clause 27701 de la norme ISO 6.15.2.3 (examen de la conformité technique) et articles 32 (1)(d) et (32)(2) du RGPD de l'UE

Les organisations doivent s'assurer que le personnel est en mesure de consulter les politiques de confidentialité dans l'ensemble des opérations commerciales.

La direction doit développer des méthodes techniques de reporting sur le respect de la confidentialité (y compris l'automatisation et des outils sur mesure). Les rapports doivent être enregistrés, stockés et analysés pour améliorer davantage les efforts de sécurité des informations personnelles et de protection de la vie privée.

Lorsque des problèmes de conformité sont découverts, les organisations doivent :

• Établissez la cause.
• Décidez d’une méthode d’action corrective pour combler les lacunes en matière de conformité.
• Revenez sur le problème après une période de temps appropriée, pour vous assurer qu'il est résolu.

Il est d’une importance vitale de mettre en œuvre des mesures correctives le plus rapidement possible. Si les problèmes ne sont pas entièrement résolus au moment du prochain examen, des preuves doivent au minimum être fournies pour montrer que des progrès ont été réalisés.

Clause 27701 de la norme ISO 6.5.2.1 (Classification des informations) et article (32)(2) du RGPD de l'UE

Plutôt que de mettre toutes les informations détenues sur un pied d'égalité, les organisations devraient classer les informations sur une base thématique spécifique.

Les propriétaires d'informations doivent prendre en compte quatre facteurs clés, lors de la classification des données (en particulier concernant les informations personnelles), qui doivent être révisés périodiquement, ou lorsque ces facteurs changent :

1. Les confidentialité des données.
2. Les intégrité des données.
3. Données disponibilité les niveaux.
4. L'organisation obligations légales vers les informations personnelles.

Afin de fournir un cadre opérationnel clair, les catégories d'informations doivent être nommées en fonction du niveau de risque inhérent, en cas d'incident compromettant l'un des facteurs ci-dessus.

Pour garantir la compatibilité multiplateforme, les organisations doivent mettre leurs catégories d'informations à la disposition de tout personnel externe avec lequel elles partagent des informations et veiller à ce que le propre système de classification de l'organisation soit largement compris par toutes les parties concernées.

Les organisations doivent se méfier de la sous-classification ou, à l’inverse, de la surclassification des données. La première peut conduire à des erreurs dans le regroupement des informations personnelles avec des types de données moins sensibles, tandis que la première entraîne souvent des dépenses supplémentaires, un plus grand risque d'erreur humaine et d'anomalies de traitement.

Clause 27701 de la norme ISO 6.5.3.1 (gestion des supports amovibles) et article 32 (1)(a) du RGPD de l'UE

Lors de l’élaboration de politiques régissant le traitement des ressources multimédias impliquées dans le stockage des informations personnelles, les organisations doivent :

• Élaborer des politiques spécifiques à un sujet uniques basées sur les exigences du département ou du poste.
• Assurez-vous que l'autorisation appropriée est demandée et accordée avant que le personnel puisse retirer les supports de stockage du réseau (y compris en gardant un enregistrement précis et à jour de ces activités).
• Stockez les supports conformément aux spécifications du fabricant, sans aucun dommage environnemental.
• Envisagez d'utiliser le cryptage comme condition préalable à l'accès ou, lorsque cela n'est pas possible, de mettre en œuvre des mesures de sécurité physique supplémentaires.
• Minimisez le risque de corruption des informations personnelles en transférant les informations entre les supports de stockage, comme requis.
• Introduisez la redondance des informations personnelles en stockant les informations protégées sur plusieurs actifs en même temps.
• Autorisez l'utilisation de supports de stockage uniquement sur les entrées approuvées (c'est-à-dire les cartes SD et les ports USB), actif par actif.
• Surveillez de près le transfert des informations personnelles sur des supports de stockage, à quelque fin que ce soit.
• Prendre en considération les risques inhérents au transfert physique des supports de stockage (et par procuration, des informations personnelles qu'ils contiennent), lors du déplacement d'actifs entre le personnel ou les locaux (voir ISO 27002 Contrôle 5.14).

Lors de la réutilisation, de la réutilisation ou de l'élimination de supports de stockage, des procédures robustes doivent être mises en place pour garantir que les informations personnelles ne soient pas affectées de quelque manière que ce soit, notamment :

• Formater le support de stockage et garantir que toutes les informations personnelles sont supprimées avant leur réutilisation (voir ISO 27002 Contrôle 8.10), y compris la conservation d'une documentation adéquate de toutes ces activités.
• Éliminer en toute sécurité tout support dont l'organisation n'a plus l'utilité et qui a été utilisé pour stocker des informations personnelles.
• Si l'élimination nécessite l'intervention d'un tiers, l'organisation doit veiller très soigneusement à s'assurer qu'elle est un partenaire compétent et approprié pour accomplir ces tâches, conformément à la responsabilité de l'organisation en matière d'informations personnelles et de protection de la vie privée.
• Mettre en œuvre des procédures qui identifient les supports de stockage disponibles pour une réutilisation ou pouvant être éliminés en conséquence.

Si les appareils qui ont été utilisés pour stocker des informations personnelles sont endommagés, l'organisation doit soigneusement déterminer s'il est plus approprié ou non de détruire ces supports ou de les envoyer pour réparation (en privilégiant le premier).

L'ISO met en garde les organisations contre l'utilisation de périphériques de stockage non chiffrés pour tous Activités liées aux informations personnelles.

Prise en charge des contrôles ISO 27002

• ISO 27002 5.14

Clause 27701 de la norme ISO 6.5.3.3 (Transfert de supports physiques) et article 32 (1)(a) du RGPD de l'UE

Voir la section ci-dessus sur la clause 27701 de la norme ISO 6.5.3.1.

renseignements supplémentaires

Si des médias contenant des informations personnelles doivent être supprimés, les organisations doivent mettre en œuvre des procédures qui documentent la destruction des informations personnelles et des données liées à la confidentialité, y compris l'assurance catégorique qu'elles ne sont plus disponibles.

Prise en charge des contrôles ISO 27002

• ISO 27002 5.14

Clause 27701 de la norme ISO 6.7.1.1 (Politique relative à l'utilisation des contrôles cryptographiques) et article 32 (1)(a) du RGPD de l'UE

Les organisations doivent utiliser le cryptage pour protéger les confidentialité, authenticité ainsi que intégrité des informations personnelles et des informations liées à la confidentialité, et de respecter leurs diverses obligations contractuelles, légales ou réglementaires.

Le chiffrement est un concept ambitieux : il n'existe pas d'approche universelle. Les organisations doivent évaluer leurs besoins et choisir une solution cryptographique qui répond à leurs objectifs commerciaux et opérationnels uniques.

Les organisations devraient considérer :

• Mettre en place un spécifique au sujet approche de la cryptographie, qui prend en compte diverses exigences départementales, basées sur les rôles et opérationnelles.
• Le niveau de protection approprié (ainsi que le type d’informations à chiffrer).
• Appareils mobiles et supports de stockage.
• Gestion des clés cryptographiques (stockage, traitement etc.).
• Rôles et responsabilités spécialisés pour les fonctions cryptographiques, y compris la mise en œuvre et la gestion des clés (voir ISO 27002 Contrôle 8.24).
• Les normes techniques de chiffrement qui doivent être adoptées, y compris les algorithmes, la force de chiffrement et les lignes directrices des meilleures pratiques.
• Comment le chiffrement fonctionnera parallèlement à d’autres efforts de cybersécurité, tels que la protection contre les logiciels malveillants et la sécurité des passerelles.
• Lois et lignes directrices transfrontalières et interjuridictionnelles (voir ISO 27002 Contrôle 5.31).
• Contrats avec des partenaires de cryptographie tiers couvrant tout ou partie de la responsabilité, de la fiabilité et des délais de réponse.

Gestion des clés

Les procédures de gestion des clés doivent être réparties sur 7 fonctions principales :

1. Génération.
2. Stockage.
3. Archivage.
4. Récupération.
5. Distribution.
6. Sortant.
7. Destruction.

Les systèmes de gestion des clés organisationnels doivent :

• Gérez la génération de clés pour toutes les méthodes de chiffrement.
• Implémentez des certificats de clé publique.
• Veiller à ce que toutes les entités humaines et non humaines concernées reçoivent les clés requises.
• Stockez les clés.
• Modifier les clés, si nécessaire.
• Mettez en place des procédures pour gérer les clés potentiellement compromises.
• Désactivez les clés ou révoquez l'accès utilisateur par utilisateur.
• Récupérez les clés perdues ou défectueuses, à partir de sauvegardes et d'archives de clés.
• Détruisez les clés qui ne sont plus nécessaires.
• Gérez le cycle de vie d'activation et de désactivation, de sorte que certaines clés ne soient disponibles que pendant la période pendant laquelle elles sont nécessaires.
• Traiter les demandes d'accès officielles émanant des organismes chargés de l'application de la loi ou, dans certaines circonstances, des organismes de réglementation.
• Contient des contrôles d'accès qui protègent l'accès physique aux clés et aux informations cryptées.
• Considérez l'authenticité des clés publiques, avant leur mise en œuvre (autorités de certification et certificats publics).

Prise en charge des contrôles ISO 27002

• ISO 27002 5.31
• ISO 27002 8.24

Clause 27701 de la norme ISO 6.9.3.1 (sauvegarde des informations) et article 32 (1)(c) du RGPD de l'UE

Les organisations doivent rédiger des politiques spécifiques à un sujet qui traitent directement de la manière dont l'organisation sauvegarde les zones pertinentes de son réseau afin de protéger les informations personnelles et d'améliorer la résilience contre les incidents liés à la confidentialité.

Les procédures BUDR devraient être rédigées pour atteindre l’objectif principal de garantir que TOUTE les données, logiciels et systèmes critiques pour l'entreprise peuvent être récupérés après La perte de données, intrusion, interruption de travail ainsi que échecs critiques.

En priorité, les plans BUDR devraient :

• Décrivez les procédures de restauration qui couvrent tous les systèmes et services critiques.
• Être capable de produire des copies exploitables de tous les systèmes, données ou applications faisant partie d'un travail de sauvegarde.
• Répondre aux exigences commerciales et opérationnelles de l'organisation (voir ISO 27002 Contrôle 5.30).
• Stockez les sauvegardes dans un emplacement protégé contre l'environnement, physiquement séparé des données sources (voir ISO 27002 Control 8.1).
• Testez et évaluez régulièrement les tâches de sauvegarde par rapport aux temps de récupération imposés par l'organisation, afin de garantir la disponibilité des données.
• Chiffrez toutes les données de sauvegarde liées aux PII.
• Vérifiez à nouveau toute perte de données avant d’exécuter une tâche de sauvegarde.
• Adhérez à un système de reporting qui alerte le personnel de l’état des tâches de sauvegarde.
• Cherchez à incorporer des données provenant de plates-formes basées sur le cloud qui ne sont pas directement gérées par l'organisation, dans les tâches de sauvegarde internes.
• Stockez les sauvegardes conformément à une politique de conservation des informations personnelles appropriée (voir ISO 27002 Control 8.10).

Les organisations doivent développer des procédures distinctes qui traitent uniquement des informations personnelles (bien que contenues dans leur plan BUDR principal).

Les variations régionales des normes PII BUDR (contractuelles, légales et réglementaires) doivent être prises en compte chaque fois qu'un nouvel emploi est créé, que des emplois sont modifiés ou que de nouvelles données PII sont ajoutées à la routine BUDR.

Chaque fois qu'il est nécessaire de restaurer des informations personnelles à la suite d'un incident BUDR, les organisations doivent prendre grand soin de remettre les informations personnelles à leur état d'origine et revoir les activités de restauration pour résoudre tout problème avec les nouvelles données.

Les organisations doivent conserver un journal des activités de restauration, incluant tout le personnel impliqué dans la restauration, ainsi qu'une description des informations personnelles restaurées.

Les organisations doivent vérifier auprès de toutes les agences législatives ou réglementaires et s'assurer que leurs procédures de restauration de PII sont conformes à ce que l'on attend d'elles en tant que processeur et contrôleur de PII.

Prise en charge des contrôles ISO 27002

• ISO 27002 5.30
• ISO 27002 8.1
• ISO 27002 8.10

Clause 27701 de la norme ISO 7.2.1 (objectif d'identification et de documentation) et article 32 (4) du RGPD de l'UE

Les organisations doivent d’abord identifier et alors record les raisons spécifiques du traitement des informations personnelles qu'ils utilisent.

Les responsables des PII doivent être parfaitement au courant de toutes les différentes raisons pour lesquelles leurs PII sont traitées.

Il est de la responsabilité de l'organisation de transmettre ces raisons aux responsables des PII, ainsi qu'une « déclaration claire » expliquant pourquoi ils doivent traiter leurs informations.

Toute la documentation doit être claire, complète et facilement comprise par tout responsable des PII qui la lit – y compris tout ce qui concerne le consentement, ainsi que des copies des procédures internes (voir ISO 27701, clauses 7.2.3, 7.3.2 et 7.2.8).

Prise en charge des contrôles ISO 27701

• ISO 27701 7.2.3
• ISO 27701 7.3.2
• ISO 27701 7.2.8

Clause 27701 de la norme ISO 7.4.5 (Désidentification et suppression des informations personnelles à la fin du traitement) et article 32 (1)(a) du RGPD de l'UE.

Les organisations doivent soit détruire complètement toutes les informations personnelles qui ne remplissent plus leur objectif, soit les modifier de manière à empêcher toute forme d'identification du principal.

Dès que l'organisation établit que les informations personnelles n'ont plus besoin d'être traitées à aucun moment dans le futur, les informations doivent être supprimé or désidentifié, selon les circonstances.

Clause 27701 de la norme ISO 8.2.2 (fins organisationnelles) et article 32 (4) du RGPD de l'UE

Dès le départ, les informations personnelles ne doivent être traitées que conformément aux instructions du client.

Les contrats doivent inclure des SLA relatifs aux objectifs mutuels et tous les délais associés dans lesquels ils doivent être exécutés.

Les organisations doivent reconnaître leur droit de choisir les méthodes distinctes utilisées pour traiter les informations personnelles, qui permettent d'obtenir légalement ce que le client recherche, mais sans avoir besoin d'obtenir des autorisations granulaires sur la façon dont l'organisation s'y prend au niveau technique.

Prise en charge des clauses ISO 27701 et des contrôles ISO 27002

Comment ISMS.online vous aide

La plateforme ISMS.online dispose de conseils intégrés à chaque étape, combinés à notre approche de mise en œuvre « Adopter, Adapt, Add », de sorte que les efforts requis pour démontrer votre approche du RGPD sont considérablement réduits. Toi SERONT bénéficiez d'une gamme de fonctionnalités puissantes qui vous font gagner du temps.

ISMS.online vous permet également de vous lancer directement dans votre démarche de conformité au RGPD et de démontrer facilement un niveau de protection qui va au-delà du « raisonnable », le tout dans un emplacement sécurisé et toujours disponible.

En savoir plus par réserver une courte démo de 30 minutes.